Controles en Tecnologìa de la Informaciòn y Articulos Relacionados

Feliz Navidad y Prospero año 2012

2011-12-24T18:53:00.001-04:30

Feliz navidad y prospero año nuevo para todos ustedes, que la prosperidad, salud, amor y proyectos se concreten durante los próximos años, en especial el año 2012, por supuesto ayuden al prójimo, actúen de corazón y perdonen, nuestra Venezuela vivirá momentos muy emocionales y debemos de estar presentes y consolidar estrategias que nos permitan seguir evolucionando. En el año del dragón no podemos de perder de vista nuestra espiritualidad y sobretodo pedir al padre celestial que nos ayude a centrar y nos guie por los caminos que hemos diseñado

Se les quiere su amigo de siempre

Freddy Márquez

Banco Bicentenario líder en movilidad tecnológica

2011-12-24T04:11:00.001-04:30

http://www.vtv.gov.ve/index.php/economicas/73374-banco-bicentenario-lider-en-movilidad-tecnologica

Económicas

Única institución en Venezuela que abarca todas las plataformas: WAP, Smartphones y Tablets / A través de la aplicación TuBancaMóvil, el usuario puede consultar saldo, realizar transferencias entre cuentas de Banco Bicentenario, transferencias a terceros en otros bancos y realizar el pago de sus tarjetas de crédito

Banco Bicentenario ofrece a sus usuarios y usuarias TuBancaMóvil, el nuevo servicio con el que se pueden realizar operaciones y consultas, desde la comodidad de su teléfono inteligente o tablet, en cualquier lugar y en todo momento.

Freddy Márquez, Vicepresidente de Operaciones y Seguridad de la Información señaló: “La aplicación puede ser utilizada en teléfonos WAP, smartphones Android y Blackberry, así como en las Tablets, Playbook de blackberry, iPad y las que corren con OS Android, ofreciéndole lo último en tecnología e inmediatez para los usuarios y usuarias de Banco Bicentenario”.
A través de la aplicación TuBancaMóvil, el usuario puede consultar saldo, realizar transferencias entre cuentas de Banco Bicentenario, transferencias a terceros en otros bancos y realizar el pago de sus tarjetas de crédito.
Para acceder a TuBancaMóvil puede descargarlo directamente desde la web www.bicentenariobu.com escaneando el código QR con su dispositivo blackberry o en el Android Market, buscando BANCO BICENTENARIO para tu dispositivo.
TuBancaMóvil ha procesado exitosamente más de dos millones quinientas mil solicitudes, cifra que evidencia la tendencia de adaptación humana a las nuevas tecnologías.
Con la puesta en marcha de este servicio, demuestran que los procesos y estrategias implementadas permiten que los clientes, tengan fácil acceso a los servicios que la entidad financiera ofrece; más de 4 millones de usuarios y usuarias apostaron a la institución, que desde su creación ha contribuido con el plan de socialización de la banca a escala nacional, fortaleciendo el nuevo modelo económico incluyente del Estado venezolano

Irregularidades en seguridad de datos de tarjetas de crédito en Latinoamérica

2011-06-20T22:36:00.003-04:30

Alumna: Joselyn Márquez
CI 14.323.852

De acuerdo a una encuesta realizada en la página web negocios y tecnologia.netviarsa.com, se pudo determinar que en Latinoamérica la mitad de las empresas encuestadas no dispone de mecanismos básicos para la seguridad de la información. Un 48% desconocía el estándar PCI DSS.
La encuesta, realizada a principios de 2008, se presentó en una muestra significativa de empresas en Latinoamérica para conocer la forma en que almacenan y protegen los datos de tarjetas de créditos. Analizando también el nivel de conocimiento y aplicación del Estándar de Seguridad de Datos en la Industria de Pagos de Tarjeta de Crédito (PCI- DSS), que constituye un marco de buenas prácticas aplicable a todas las organizaciones que recopilan, procesan o almacenan información crediticia.
Los siguientes aspectos pueden ser destacados entre los resultados del trabajo:
Tarjetas de crédito ¿Qué datos se almacenan? Y lo más importante ¿dónde?
• Los datos de tarjetas de crédito residen en múltiples capas dentro de la infraestructura de la información – desde base de datos hasta correo electrónico-, lo que implica grandes desafíos para las empresas en el corto y mediano plazo para prevenir la pérdida de datos.
• Las empresas encuestadas destacaron que las ubicaciones más comunes de los datos de tarjetas de crédito son: base de datos (37%); aplicaciones internas (34%); sistemas de punto de venta (POS) (24%); sistemas de almacenamiento (21%); archivos y carpetas en los servidores (12%); documentos no estructurados, como hojas de cálculo (12%), y correo electrónico (9%).
¿Cómo proteger los datos de tarjetas de crédito? Tecnología + Factor humano
• La mitad de las empresas encuestadas aún no dispone de mecanismos básicos para la seguridad de la información. Sólo el 46%de las empresas encripta los datos almacenados de tarjetas de crédito; mientras que el 49% no encripta ningún dato.
• Por otra parte, el 50% de las empresas consultadas no aplica ninguna solución para monitorear el acceso a estos datos.
• Brindar un acceso remoto seguro a estos datos para empleados, partners y contratistas reduce la exposición al riesgo. En este sentido se observa que sólo el 43% de las empresas encuestadas aplican la autenticación de doble factor - como la seguridad mediante tokens -.
Desconocimiento vs. Cumplimiento
• El 48% de las empresas encuestadas en Latinoamérica desconocían absolutamente el estándar PCI DSS.

• Y entre el 52% que dijo conocerla: el 74% respondió que había tomado medidas para cumplir con los requisitos, el 35% ya estaban en condiciones para cumplir con la norma o esperaban estarlo en los próximos seis meses; y un 25% esperaba poder cumplir con la norma en el transcurso de un año.
Algunos datos acerca de la encuesta de Seguridad de los Datos de las Tarjetas de Crédito en Latinoamérica, realizada por RSA:
• Un total de 164 personas de empresas latinoamericanas respondieron la encuesta de RSA.

• La mayoría de las repuestas se generaron a través de una encuesta online para empresas latinoamericanas a principios de 2008 (123 respuestas).
• Una muestra menor (41 respuestas) fue recolectada durante un evento que tuvo lugar en la Ciudad de México.

• Entre los países con mayor índice de respuesta se encuentran México (39%), Brasil (24%), Argentina (9%), Colombia (7%), Chile (6%), Venezuela (3%), Perú (3%) y Ecuador (3%).
Haciendo un análisis del lo comentado en el articulo podemos deducir que en Latinoamérica existe un mayor porcentaje de empresas que no protegen los datos del cliente en el momento que los mismos hacen uso de las tarjetas de crédito. Esta situación se debe al desconocimiento por parte de las empresas del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS).
A pesar del interés de las empresas por tratar de proteger los datos de las tarjetas de créditos muchas de ellas aun no disponen de mecanismos fundamentales para el resguardo de la información procesada dando como consecuencia que el 48% ----- encripta datos almacenados y el 19% no
Por tal motivo es importante establecer políticas y mecanismos de aplicación, en Latinoamérica para así poder proteger la información crediticia de cada cliente y mantener el buen funcionamiento de las empresas.

VENEZUELA: Citi confirma robo de datos bancarios de 1 % de sus clientes en EEUU y Canadá

2011-06-19T22:31:00.001-04:30

Referencia Hilda Fuentes

Nueva York, 9 jun (EFE).- El banco estadounidense Citigroup confirmó hoy que "recientemente" sufrió un ataque informático que comprometió los datos bancarios del 1 por ciento de sus clientes en Estados Unidos y Canadá.

"En una revisión rutinaria descubrimos recientemente accesos no autorizados de nuestro sistema informático que afectaron al 1 por ciento de nuestros clientes en Norteamérica", explicó a Efe el portavoz del banco Sean Kevelighan.

Añadió que se ha puesto en marcha medidas de seguridad para prevenir este tipo de ataques en el futuro y que el banco planea contactar con los clientes cuyos datos bancarios fueron comprometidos en el ciberataque.

Según detalló, los piratas informáticos no tuvieron acceso ni a los números de seguridad social de sus clientes, ni a sus fechas de nacimiento, como tampoco a los tres dígitos de seguridad de las tarjetas de débito y crédito o a sus fechas de vencimiento.

Citi tiene 21 millones de clientes en EE.UU y Canadá por lo que se calcula que el ataque habría afectado a unas 210.000 cuentas bancarias.

El banco estadounidense se une así a otras grandes empresas que en los últimos meses han sido víctimas de ataques informáticos.

Google anunció el 1 de junio el desmantelamiento de un "plan de robo de contraseñas de cientos de correos electrónicos de Gmail de altos funcionarios de EE.UU., activistas chinos, funcionarios de diversos países asiáticos, personal militar y periodistas".

Según Google, el plan estaba supuestamente lanzado desde la ciudad china de Jinan, aunque el Gobierno de Pekín salió rápidamente al paso de estas acusaciones, que tildó de "inaceptables".

Por su parte, la empresa Lockheed Martin, uno de los mayores proveedores de material tecnológico de defensa del Gobierno de EE.UU., también denunció a finales de mayo que había sufrido un ataque cibernético en sus sistemas de información.

En medio de los ataques, la Casa Blanca lanzó a mediados de mayo un plan para actualizar las defensas de EE.UU. en "ciberseguridad" tras detectar que son vulnerables a posibles ataques que puedan dañar el sistema eléctrico, sector financiero y redes de transporte.

Según datos de las autoridades de seguridad de Estados Unidos, cada día se detectan cerca de 60.000 nuevos programas informáticos dañinos. EFE

Importancia y Prevención de La Seguridad de la Información

2011-06-19T22:26:00.001-04:30

Zoilibeth Moreno Mendez

Antes de hablar de Seguridad de la Información, es importante conocer que abarca todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

De igual manera, puede definirse como el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.

Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet. Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.

Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos y allí entra la Seguridad Informática, pues consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto. La seguridad informática se resume, por lo general, en cinco objetivos principales:

• Integridad: Garantiza que los datos sean los que se supone que son.
• Confidencialidad: Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian.
• Disponibilidad: Garantiza el correcto funcionamiento de los sistemas de información.
• Evitar el rechazo: Garantiza de que no pueda negar una operación realizada.
• Autenticación: Asegura que sólo los individuos autorizados tengan acceso a los recursos.

¿Cómo implementar una política de seguridad?

Generalmente, la seguridad de los sistemas informáticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificación y control que aseguran que los usuarios de estos recursos sólo posean los derechos que se les han otorgado. Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez más complicadas a medida que la red crece; por consiguiente, la seguridad informática debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y así puedan utilizar los sistemas de información en forma segura.

Por esta razón, uno de los primeros pasos que debe dar una compañía es definir una política de seguridad que pueda implementar en función a las siguientes cuatro etapas:

• Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias.
• Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización.
• Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan.
• Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza.

La política de seguridad comprende todas las reglas de seguridad que sigue una organización; por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, porque afecta a todos los usuarios del sistema. En este sentido, no son sólo los administradores de informática son los encargados de definir los derechos de acceso sino sus superiores. El rol de un administrador de informática es el de asegurar que los recursos de informática y los derechos de acceso a estos recursos coincidan con la política de seguridad definida por la organización.

Partiendo de la premisa, que el administrador es la única persona que conoce perfectamente el sistema, deberá proporcionar información acerca de la seguridad a sus superiores, eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a los usuarios en relación con los problemas y las recomendaciones de seguridad.

La seguridad informática de una compañía depende que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:

• Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados.
• Un procedimiento para administrar las actualizaciones.
• Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente.
• Un plan de recuperación luego de un incidente.
• Un sistema documentado actualizado.

Principales atacantes

El Hacker, es una persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "información segura". Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos, y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios sistemas de información.
El Craker, es aquella persona que con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un Cracker es un hábil conocedor de programación de Software y Hardware; diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos.

El Lammer, a este grupo pertenecen aquellas personas deseosas de alcanzar el nivel de un hacker pero su poca formación y sus conocimientos les impiden realizar este sueño. Su trabajo se reduce a ejecutar programas creados por otros, a bajar, en forma indiscriminada, cualquier tipo de programa publicado en la red.

El Copyhacker, son una nueva generación de falsificadores dedicados al crackeo de Hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos los bucaneros. Los Copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero.

Bucaneros, son los comerciantes de la red más no existen en ella; aunque no poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio conocimiento en área de los negocios.

Phreaker, se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los celulares, han tenido que ingresar también al mundo de la informática y del procesamiento de datos.

Newbie, es el típico "novatos" de red, sin proponérselo tropieza con una página de Hacking y descubre que en ella existen áreas de descarga de buenos programas de Hackeo, baja todo lo que puede y empieza a trabajar con ellos.

Script Kiddie, son simples usuarios de Internet, sin conocimientos sobre Hack o Crack aunque aficionados a estos temas no los comprenden realmente, simplemente son internautas que se limitan a recopilar información de la red y a buscar programas que luego ejecutan sin los más mínimos conocimientos, infectando en algunos casos de virus a sus propios equipos. También podrían denominarse los “Pulsa Botones o Clickquiadores” de la red.

Delitos accidentales e incidentales
Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad; normalmente tienen la peculiaridad de ser descubiertos en un 95% de forma casual. Podemos citar a los principales delitos hechos por computadora o por medio de computadoras son:

• fraudes.
• Falsificación.
• venta de información.

Entre los hechos criminales más famosos en los E.E.U.U. Están:

• El caso del Banco Wells Fargo donde se evidencio que la protección de archivos era inadecuada, cuyo error costo USD 21.3 millones.
• El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
• El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos.
• También se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomo el control de una embotelladora de Canadá.
• También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causo una pérdida de USD 3 millones.

Estos hechos y otros nos muestran claramente que los componentes del sistema de información no presentaban un adecuado nivel de seguridad, porque el delito se cometió con y sin intención; logrando penetrar en el sistema de información.

Ataques a Facebook y Mac OS, las principales propagaciónes de virus informáticos del mes

2011-06-19T22:15:00.001-04:30

Diumar Bustamante

Hoy en día el uso de la red social facebook crece diariamente de manera incontrolada, al igual que la telefonía móvil, podemos decir que van de la mano, puesto que los teléfonos móviles permiten la navegación de páginas web por internet y la red social facebook es la más usada en los móviles actualmente. Esta red social tiene bondades como el permitir estar comunicado con personas, amigos y familiares desde cualquier lugar del mundo y a cualquier hora. Inicialmente es una buena creación ya que beneficia en el buen sentido de la palabra, con información constantemente de noticias y eventos que suceden a cada instante y es publicada por los demás usuarios de la red social. Conteniendo noticia, farándula, tecnología, salud, política, etc.
Pero como todo en la vida siempre existe el PRO y el CONTRA de las cosas, se puede observar que hay muchos usuarios mal intencionados, piratas informáticos, delincuencia en todos sus ámbitos, violadores, que se dedican a utilizar este medio con la finalidad de beneficiarse o lucrarse, sin importar el daño, dolor o perdidas que puedan realizar o causar a otras personas y usuarios de la red social, desprestigiando dicha red. Para los administradores de la red social facebook es difícil, poder controlar estas acciones de los grupos maliciosos que siempre están atacando y buscando la forma y huecos de la seguridad para lograr sus cometidos cada quien en sus ámbitos.
Además esto se les hace más fácil a los grupos maliciosos puesto que encuentran una variedad de usuarios en la red social que incluye niños y niñas, adolecentes, personas adultas que no tienen conocimiento sobres las vulnerabilidades que se les presenten y son más fácil de ser envueltos en ellas.
Partiendo de la acotación de Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica. Nosotros debemos ser conscientes de que este tipo de amenazas están azotando las redes sociales y estar atentos y cuidar nuestros familiares y divulgar estas informaciones.
Información obtenida en el portal: http://www.colombia.com/tecnologia/actualidad/

La mayoría del malware está ligado a los servicios PPI

2011-06-19T22:03:00.001-04:30

Por Ángel Mata

Una nueva investigación sugiere que la mayoría de los ordenadores personales infectados con software malicioso podrían haber llegado a ese estado gracias a un bullicioso mercado que vincula bandas criminales que pagan por instalaciones de software malicioso con piratas informáticos emprendedores que buscan vender el acceso a ordenadores comprometidas.
Los servicios PPI (pay-per-install) se anuncian en sospechosos foros underground de Internet. Los clientes envían sus programas maliciosos-un robot de spam, software antivirus falso, o troyanos para robar contraseñas-al servicio de PPI, que a su vez cobra tarifas desde 7 a 180 dólares por cada mil instalaciones llevadas a cabo con éxito, dependiendo de la ubicación geográfica solicitada de las víctimas deseadas.
Los servicios de PPI también atraen a distribuidores emprendedores de software malicioso, o "afiliados", hackers que tienen la tarea de encontrar la manera de instalar el software malicioso en los ordenadores de las víctimas. Los esquemas de instalación típicos consisten en cargar programas contaminados en redes públicas de intercambio de archivos; pirateando sitios web legítimos para descargar automáticamente los archivos en los visitantes; y en la ejecución silenciosa de los programas en los ordenadores que ya han sido comprometidos. Los afiliados únicamente reciben dinero por las instalaciones realizadas con éxito, a través de un código de afiliado único y estático cosido a los programas de instalación y comunicado de vuelta al servicio de PPI después de cada instalación.
http://foro.elhacker.net/noticias/la_mayoria_del_malware_esta_ligado_a_los_servicios_ppi-t330489.0.html;msg1625971;topicseen
FUENTE :http://www.laflecha.net/canales/seguridad/noticias/la-mayoria-del-malware-esta-ligado-a-los-servicios-ppi

Comentarios:

El análisis de los servicios de PPI indica que con más frecuencia tienen como objetivo los PCs en Europa y los Estados Unidos. Estas regiones son más ricas que la mayoría de las demás, y ofrecen a los afiliados las tarifas por instalación más altas.
Sin embargo, los investigadores suponen que hay factores más allá del precio que pueden influir en la elección del país de un cliente PPI. Por ejemplo, un robot de spam requiere poco más que una dirección de Internet exclusiva para enviar spam, mientras que el software antivirus falso se basa en que la víctima haga un pago con una tarjeta de crédito o domiciliación bancaria, y por lo tanto es posible que tuviera que soportar múltiples idiomas o métodos de compra.
Los expertos también encontraron que los programas de PPI casi siempre instalaban robots que involucraban a los sistemas infectados en una variedad de acciones de tipo "fraude de clics", que consisten en hacer clics fraudulentos o automatizados en anuncios para generar falsos ingresos por publicidad.
Un hallazgo inesperado podría ayudar a explicar por qué los PCs infectados con un tipo de malware a menudo se empantanan rápidamente con infecciones múltiples: los descargadores que forman parte de un esquema a menudo atraen a descargadores de otro. En otras palabras, los afiliados de un servicio de PPI a veces actúan como clientes de otros servicios. En consecuencia, muchos de los instaladores enviados por los afiliados bombardean a los PCs receptores con muchos tipos de software malicioso.

DAME TU CELULAR Y TE DIRÉ DÓNDE ESTUVISTE.

2011-06-19T21:55:00.001-04:30

Escrita por Gutiérrez Diana

El artículo encontrado, nos comenta la posibilidad de que la ubicación geográfica de los usuarios del ¡Phone y de ¡Pad, pueda ser seguida con altísima precisión, afectando su privacidad, a través de la herramienta geolocaclización, convirtiéndose en una excesiva intromisión en la privacidad de los usuarios.

Esta noticia creo alarmas entre los usuarios de este servicio, ya que fue difundida la noticia a través del Blog Radar y luego en Blog especializados. Con esta noticia altos directivos de gobierno de distintos países demandaron y piden a la empresa APPLE aclarar en 15 días hábiles acerca del seguimiento no autorizado.

Un punto importante es que cuando los usuarios aceptan la licencia de uso del ¡Phone, autoriza a la compañía a recolectar información sobre la ubicación del equipo. La geolocalización lista las coordenadas geográficas y cuando el equipo se conecta a una antena celular o a un Wi-Fi, se almacenan meses de datos; la ubicación puede tener errores de metros, más así es una violación a la privacidad.

Para evitar que estos datos estén disponibles libremente se requiere del uso de contraseña a la copia de seguridad que se genera en la Mac cuando se sincroniza el ¡Phone, y es recomendable activar la protección con contraseña del móvil.

Cómo usted puede mejorar la seguridad personal en la web?

2011-06-02T13:21:00.002-04:30

Resumen por Yudelky Tejeda

El fiscal Ricardo Saenz explica en esta nota los recaudos para que la navegación por Internet no se convierta en la puerta de entrada para delincuentes.
Es necesario precisar desde el vamos de qué hablamos cuando hablamos de seguridad en la web.En las charlas que doy sobre estas cuestiones, especialmente las dirigidas a niños y a padres, siempre repito la misma idea: No hagan en Internet lo que no harían en la vida real.
Esa es básicamente la seguridad de la que vamos a hablar, cuidarnos en la vida virtual que nos brinda la tecnología como nos cuidamos en nuestra existencia física.
Desde luego que con esta primera aproximación sólo me refiero al cuidado que nosotros mismos podemos tener, sin contar el que el Estado está obligado a otorgarnos.
En este punto pretendo plantear el paralelo que existe entre la seguridad “real” y la seguridad en la web.En ambos ámbitos las personas estamos expuestas a riesgos, que aumentan con el desarrollo de la civilización y las ciencias (es más inseguro cruzar hoy una calle de Buenos Aires, que en la época de las carretas).
Tanto en la vida real como en la virtual debemos tomar precauciones para relacionarnos con desconocidos; nadie, por ejemplo, subiría a un colectivo y se pondría a decirle a todos cómo se llama, dónde vive, qué hace, cómo se compone su familia, con quién vive, qué auto tiene, ni mostraría sus fotos familiares.
Bueno, esto es lo que hacemos en una red social sino definimos muy bien nuestro perfil de privacidad, que por defecto (si no establecemos una alternativa) favorece el intercambio de información entre todos los miembros de la red, sean “amigos” o no.
Por otro lado, así como el Estado a través de sus fuerzas de policía tiene la obligación de brindarnos un mínimo de seguridad para poder desarrollar nuestra vida real con relativa tranquilidad, también debe establecer medidas de prevención de los delitos que se pueden cometer a través de Internet.
La regulación de la actividad de los proveedores de Internet (los ISP por su sigla en inglés, Internet Service Provider), de los buscadores, de los correos electrónicos, y en general de las empresas de tecnologías de la comunicación (TIC), debe tender entre otras cosas a procurar seguridad a los usuarios.
Sin embargo existe una diferencia, fuera de estas regulaciones normativas, el Estado no está en condiciones de controlar todo el tráfico de Internet, por lo que la tarea de prevención de los delitos que nos pueden afectar como adultos, o el cuidado de los que pueden ser víctima nuestros hijos, depende en gran parte de nosotros.
Por ello creo que puede ser útil brindar una serie de consejos, una lista de prevenciones que debemos tomar en nuestros hogares y en los lugares de trabajo, para disminuir el riesgo de sufrir un delito informático.
Como se verá, no se necesita ser un conocedor de la tecnología para llevarlos a la práctica, antes bien se trata de una cuestión de cuidados básicos y de sentido común.
Dialogar con nuestros hijos menores para reforzar la relación de confianza, de manera de crear un clima propicio para que nos cuenten lo que hacen en la red.
Navegar con ellos las páginas de su interés para que sientan nuestro compromiso y también nuestro control.
Visitar los sitios que ellos navegan y que quedan registrados en el historial. No debemos sentir que invadimos su privacidad, lo hacemos por el bien de ellos, para cuidarlos.
Poner la computadora en algún lugar de la casa que esté a la vista de todos.
Poner horarios para la conexión a Internet (como muchas familias hacen con la televisión) dependiendo de la edad de cada niño.
Interesarse por los contactos que los chicos tienen en las redes sociales, por sus nuevos amigos en la red.
Para los mayores, no tener la misma clave en todos nuestros usos de internet, como el correo electrónico y el home banking.
Cambiar periódicamente las claves de acceso.
http://www.enfoqueseguro.com/%c2%bfcomo-usted-puede-mejorar-la-seguridad-personal-en-la-web/2011/04/20/

Un engaño favorece la expansión de un virus por los Mac

2011-05-20T22:46:00.001-04:30

Por Mercedez Aguilar

Simula ser un programa de protección para inducir a su descarga
Detectado hace unas semanas, el virus MACDefender está logrando una implantación preocupante en los ordenadores Mac. No hay cifras de la misma, pero los foros de Internet recogen comentarios cada vez más numerosos de sus víctimas. Los Mac son máquinas que sufren en mucha menor medida que las equipadas con Windows el asalto de un virus. Según Cnet, mientras que se han escrito unos 10 programas maliciosos para Mac, en los PC una de cada 14 descargas los alberga.
Se presenta como un programa antivirus y es fácil detectarlo en los buscadores ya que, aunque éstos han bloqueado varios enlaces, renueva los sitios desde los que se ofrece y consigue colocarse en los primeros puestos de búsqueda. A lo largo de las semanas ha ido cambiando. Ahora, por ejemplo, presenta una interfaz similar a las que ofrece Apple. Cuando la víctima se lo descarga, presenta un programa que aparenta detectar los virus que hay en la máquina. El programa abre periódicamente en el ordenador páginas pornográficas para que el internauta se convenza de que su máquina está infectada. Entonces ofrece una página de descarga de un supuesto antivirus. El precio del mismo es de 60, 70 u 80 dólares según la duración del supuesto servicio. El propietario de la máquina debe entregar, para contratarlo, el número de su tarjeta de crédito con lo que los cibercriminales ya han conseguido su objetivo. El icono se instala en la barra de menús de la máquina. El consejo para evitar el contagio es no realizar ninguna descarga de programa cuya autoría no sea reconocida y fiable. Hay un vídeo explicativo sobre el virus.

Las compañías carecen de protección contra ataques DDoS y fallas en DNS

2011-05-20T22:45:00.001-04:30

Por Mercedez Aguilar

Un porcentaje significativo de organizaciones estan mal preparadas para prevenir y responder a fallas en la infraestructura Web causadas por ataques distribuidos de denegación de servicio (DDoS) y fallas en el sistema de nombres de dominio (DNS), de acuerdo con dos nuevos estudios patrocinados por Verisign, Inc. (NASDAQ: VRSN), el proveedor confiable de servicios de infraestructura de Internet para el mundo en red.

Ejecutivos de todo el mundo se reúnen esta semana en el evento anual Interop, el cual Verisign destaca los resultados de estudios que enfatizan la urgente necesidad de una robusta protección DDoS, una infraestructura DNS confiable y segura además de inteligencia avanzadas sobre amenazas.

"Este estudio muestra los costos terribles de la protección insuficiente para la Web y las redes en empresas de todos los sectores. Cuando un ataque DDoS o falla en el DNS afecta a un sitio Web o una red, las empresas pueden perder ingresos significativos y productividad de los empleados y probablemente verán disminuir la satisfacción y la lealtad de los clientes", dijo Ben Petro, vicepresidente senior del grupo Network Intelligence y Availability de Verisign. "Las empresas enfrentan a una serie de amenazas en la economía actual. La implementación de los servicios de inteligencia y disponibilidad de red de Verisign ayudará a asegurar que los ataques DDoS y otras fallas en el DNS no se encuentran entre ellas."

Protección DDoS: Vital, ya que la frecuencia y la fuerza de los ataques DDoS deben crecer

Verisign patrocinó un estudio de mercado de Merrill Research para investigar el nivel de preocupación de los tomadores de decisión en el área de IT por la creciente amenaza de ataques DDoS en el actual ciberespacio siempre cambiante. Una encuesta online con 225 tomadores de decisiones de IT en grandes y medianas empresas de los Estados Unidos reveló que un 78 % está extremadamente o muy preocupado por los ataques DDoS y más de dos tercios (67%) esperan que la frecuencia y la intensidad de los ataques DDoS aumenten o permanezcan igual en los próximos dos años. Casi nueve de cada 10 encuestados (87%) ven la protección DDoS como muy importante para mantener la disponibilidad de sitios Web y servicios. Además, siete en 10 encuestados (71%) que informaron falta de protección DDoS dijeron que planean implementar una solución en los próximos 12 meses.

Puntos destacados en el estudio:
• Ataques DDoS están generalizados: Casi dos tercios (63%) de los encuestados informaron haber sufrido un ataque DDoS en el año pasado y dijeron haber sufrido más de un ataque. El 11% fue atacado seis o más veces.

• Más sitios estarán protegidos a la brevedad: De los encuestados que actualmente carecen de protección DDoS, el 71% planea implementar una solución en los próximos 12 meses – el 40% planea subcontratar su protección DDoS, el 31% planean implementar una solución interna y el 29% tiene aún dudas acerca de su enfoque de protección.

• Dejar la infraestructura Web sin protección es demasiado: Más de la mitad (53%) de los encuestados dijeron que experimentaron paralizaciones en el año pasado y los ataques DDoS representaron un tercio (33%) de todos los incidentes de inactividad.

• Paralizaciones afectan a los clientes y los ingresos: Más de dos tercios (67%) dijeron que sus paralizaciones afectaron a los clientes y la mitad (51%) informó pérdida de ingresos. Considerando que el 60% de los encuestados confía al menos el 25% de sus ingresos anuales a sus sitios Web, el tiempo de inactividad puede tener impactos significativos y duraderos.

• Las amenazas se extienden más allá de los ataques DDoS: El estudio también reveló que 9 de cada 10 encuestados califican el "acceso a datos de amenazas y vulnerabilidades" como muy importante y casi tres cuartos (73%) están "preocupados con fallas DNS" -- sugiriendo una importante necesidad de inteligencia continua acerca de amenazas y servicios DNS gestionados de DNS, además de protección DDoS y mitigación.
Disponibilidad de DNS y menos sitios administrados internamente
Un estudio independiente patrocinado por Verisign destacó la necesidad de soluciones que garanticen la disponibilidad DNS -- un requisito indispensable para el funcionamiento confiable de sitios Web, servicios de red y comunicaciones online. El estudio, que se destaca en la edición inaugural del Informe da Verisign acerca de la Disponibilidad DNS encontró que, en el primer trimestre de 2011, la disponibilidad DNS fue un problema incluso para los sitios Web de comercio electrónico mejores clasificados.
Utilizando una tecnología patentada, ThousandEyes, una empresa que ofrece análisis de desempeño de aplicaciones, calculó la disponibilidad mínima, mediana y máxima de los sitios Web Alexa 1.000 en el primer trimestre de 2011 para ilustrar el estado de la disponibilidad del DNS global.

La investigación reveló algunas grandes diferencias entre sitios con DNS gestionado internamente y aquellos que emplean servicios de DNS gestionados por terceros. En particular, el estudio reveló que la disponibilidad mínima del DNS en promedio cayó a 90,13% para los sitios que poseen sus propios DNS, mientras que sitios usando servicios DNS gestionados de terceros promedió un mínimo de disponibilidad DNS de más del 98%. Al examinar la disponibilidad mínima general, la investigación demostró que algunos sitios con DNS gestionado internamente presentaron interrupciones totales, mientras que los sitios con administración DNS de terceros nunca fueron abajo del 50% de disponibilidad. Del mismo modo, el tiempo promedio de inactividad para los sitios que tienen sus propios DNS es dos veces más grande que de aquellos que usan una solución de terceros (99,7% versus 99,85%).

Esta dramática diferencia se atribuye probablemente al hecho de que más proveedores DNS de terceros utilizen un servicio de resolución Anycast, lo que significa que siempre hay un servidor disponible en algún lugar para responder a las consultas al DNS. Esto permite que los usuarios finales experimenten menos impactos, aunque unos pocos servidores físicos de Anycast fallen o estén inalcanzables. Verisign llevó la resolución del DNS un paso más allá al implementar un modelo híbrido único de resolución Anycast y Unicast en su servicio de DNS gestionado, que ofrece la óptima combinación de desempeño y fiabilidad para responder a las consultas DNS. La mayoría de las empresas no tiene recursos y experiencia para establecer estos sistemas extensivos para su DNS interno gestionado, lo que puede volverlas más vulnerables a problemas de disponibilidad.

Aprenda a proteger la información de los ‘hackers

2011-05-17T15:10:00.001-04:30

Mercedes Aguilar C.
Ci.11.737.791

A continuación presentamos unas simples tareas de mantenimiento para optimizar al máximo el rendimiento de su equipo.
Es probable que alguna vez haya experimentado ese terrible momento, generalmente en medio de un proyecto de gran importancia con un plazo ajustado, en el que su equipo se paraliza sin explicación, o en que el sistema parece volverse demasiado lento. Para que esto no suceda, la firma de seguridad informática Norton presenta algunas recomendaciones para evitar errores y mantener el funcionamiento adecuado del sistema.
Utilice protección antivirus y firewall
Las infecciones por virus y los hackers pueden provocar tantos problemas en el sistema como fallas de hardware. De hecho, muchos de los nuevos virus existentes pueden sustituir o formatear los archivos del disco duro.Si utiliza un acceso a internet de banda ancha siempre activo, tal como DSL o ISDN, es especialmente vulnerable a los ataques de hackers, ya que tales conexiones otorgan al equipo una dirección IP “estática” fácil de descubrir. Incluso los usuarios de servicio de acceso telefónico también pueden verse afectados, sin importar el tiempo que pasen en línea o la frecuencia con la que se conecten.
Por lo tanto independientemente del método de acceso que utilice, por el simple hecho de estar conectado a Internet, debería tener instalado un software antivirus y un firewall personal para detener los hackers, mas aún si se tiene en cuenta que el 65% de los adultos en el nivel mundial han sido víctimas del cibercrimen, de acuerdo con el “Norton CyberCrime Report: The Human Impact”.
Compruebe la integridad del disco duro
Si encuentra errores frecuentes podrían ser a causa de problemas con los directorios de discos. Incluso el uso habitual del software puede causar irregularidades dentro de la estructura del directorio de discos, que administra el sistema de clasificación interna del equipo, y dichas irregularidades provocarían la mayoría de los errores del disco duro.
Ejecute un programa que analice el disco duro para detectar errores. Una buena utilidad analizará la estructura física del disco duro, y reparará y optimizará el directorio de discos (el directorio proporciona al sistema la información que el sistema operativo necesita para abrir elementos y leerlos). Ejecute un análisis programado del sistema al menos una vez por semana.
Desfragmente el disco duro
Si el equipo funciona más lento de lo normal, podría ser que está fragmentado. Al guardar archivos, el equipo busca memoria disponible y coloca algunas partes del archivo en una ubicación y las demás partes en otra. De esta manera se crean “fragmentos” de los archivos. Al tener mayor cantidad de archivos y usarlos con mayor frecuencia, es más probable que el disco duro se fragmente. Por lo tanto, los cabezales del disco deben buscar en diferentes lugares para realizar la lectura del archivo completo, lo cual reduce la velocidad del sistema.
Ejecute un programa para “desfragmentar” el disco duro. La utilidad ubicará los archivos en clústeres contiguos y optimizará el disco duro, al colocar adelante los archivos que se utilizan con mayor frecuencia, a fin de obtener un acceso más rápido. De esta forma, se mejora el rendimiento con el paso del tiempo. Se debería ejecutar el servicio de desfragmentación con regularidad, a fin de minimizar el tiempo necesario para completar la tarea. De ser posible, ejecútela una vez a la semana o, como mínimo, una vez al mes.
Elimine los elementos Web innecesarios
Los archivos del historial de Internet que se acumulan al navegar pueden ocupar una increíble cantidad de espacio en el disco duro. Asimismo, las cookies, la memoria caché y los archivos del historial también pueden contener información personal que no desee compartir con otras personas que usan su equipo o, aún peor, con un hacker. Mantenga los buenos hábitos de vaciar los archivos del historial del explorador de Internet con la mayor frecuencia posible, quizás antes de salir de la Web cada día. Utilice una función o un programa de limpieza de la Web como ayuda para eliminar del disco duro los archivos enviados a través de la web. Un buen programa de limpieza lo ayudará a deshacerse de la información peligrosa e innecesaria relacionada con la web, y conservar los archivos útiles.
Asegúrese de que el software esté actualizado
La ejecución de controladores o software desactualizados puede interferir con el rendimiento del equipo. Por ejemplo, la ejecución de un software antiguo en un equipo nuevo puede causar conflictos en el sistema que pueden provocar errores frecuentes. Manténgase al día con las actualizaciones de Windows y de cualquier hardware o software que haya instalado. Los fabricantes suelen emitir actualizaciones que aumentan la funcionalidad y la seguridad del equipo. Por lo tanto, resulta conveniente ejecutar las versiones más recientes. Consulte con los fabricantes individuales del software que utiliza para asegurarse de que está ejecutando la versión más reciente.
Realice una copia de respaldo del disco duro
En caso de que experimente problemas, asegúrese de que los datos y los archivos importantes estén a salvo. Realice copias de respaldo con frecuencia, en CD-R, DVD-R, o directamente en un disco duro secundario. También existen programas disponibles que facilitan la realización de copias de respaldo del sistema. Algunos productos realizan copias de respaldo de todo el contenido del disco duro, y otros sólo de los archivos que se seleccionen. La realización de copias de respaldo vale la pena. Si se contrae un virus o si el disco duro sufre una falla, una copia de respaldo podría ahorrarle mucho más que tiempo.
Recuerde que la prevención es la mejor defensa
La mejor manera de mantener el funcionamiento correcto de su equipo es prevenir los problemas. Asegúrese de instalar protección contra virus y firewall, por ejemplo Norton AntiVirus y Norton Internet Security. Norton AntiVirus analiza y limpia, de forma automática, los archivos adjuntos de mensajes entrantes y salientes (incluso en los programas de mensajería instantánea), mientras que Norton Internet Security vuelve el equipo invisible para los hackers, bloquea automáticamente las conexiones sospechosas y ofrece advertencias cuando alguien intenta infiltrarse en el sistema, además de ofrecer protección anti-virus. Asimismo, para obtener un conjunto completo de utilidades de resolución de problemas, puede probarNorton SystemWorks. Esta solución integral incluye Norton AntiVirus y un software, que ayuda a desfragmentar y optimizar el disco duro y administrar los archivos Web. También incluye programas que ayudan a realizar copias de respaldo del sistema y a recuperarse tras desastres, incuso si desconoce cuál fue el error.
Seguridad biométrica
los scanners hoy en día son herramientas indispensables para preservar la seguridad de diversos procesos administrativos o sociales; estos dispositivos están en todas partes, desde la puerta de ingreso a una oficina hasta en las calles registrando placas de autos que infringen las normas de tránsito.

Livescan Guardian de Cross Match es de los últimos scaner puesto en el mercado que cuenta con más de 2400 sistemas para implementar sistemas biométricos que registran casi todo en la vida. Los escáneres Guardian, que capturan hasta diez impresiones digitales fueron utilizadas en el proceso electoral Boliviano incorporando a las estaciones móviles y portátiles de inscripción y registro de votantes en toda Bolivia el sistema a fin de ayudar a registrar a más de cuatro millones de votantes, lo que garantiza un sistema de votación segura y transparente.

Estas soluciones se utilizan para capturar y procesar las características físicas únicas de las personas para establecer y verificar sus identidades. La propuesta biométrica incluye múltiples tecnologías biométricas aptas para el uso inalámbrico, móvil o fijo que consisten en escáneres de huellas digitales, palma y mano completa, sistemas de reconocimiento facial, tecnología de escaneo del iris, lectores de documentos, software biométrico y servicios relacionados.
Presentan nuevo sistema de vigilancia de cajeros automáticos

El dinero ha sido cargado en cuenta, pero el cliente asegura que no lo sacó del cajero. Conflictos como éste suceden continuamente, y obligan a los bancos a solucionar la situación.

Diario Ti: Cada vez son más los bancos que equipan sus cajeros automáticos con cámaras para documentar las transacciones de principio a fin, evitar la manipulación y, así, incrementar la seguridad. El análisis de las imágenes almacenadas o las grabaciones de vídeo es muy útil, tanto en el momento en que los criminales intentan alterar el aparato técnicamente como para aclarar situaciones conflictivas. Con ProView Video Surveillance, Wincor Nixdorf ofrece ahora un software que permite tanto la monitorización centralizada de imagen y vídeo como su análisis.

El dinero ha sido cargado en cuenta, pero el cliente asegura que no lo sacó del cajero. Conflictos como éste suceden continuamente, y obligan a los bancos a solucionar la situación, lo que podemos lograr cuando contamos con imágenes, en un repositorio central, en las que se puede ver la transacción en progreso y la extracción del dinero. También puede suceder que haya intentos de manipulación del aparato por parte de criminales, en caso de sospecha, se puede analizar directamente la situación en el cajero a través de la monitorización de vídeo, y tomar las medidas necesarias.

Las imágenes y videos tomadas por dispositivos online pueden ser transmitidas a un sistema central con ProView Video Surveillance, y de ahí transferidas a un ordenador para su análisis. El software puede ser utilizado como solución autónoma, pero también como parte de ProView 4.0, la solución para controlar y monitorizar en remoto los sistemas de autoservicio de dinero. ProView Video Surveillance consta de dos componentes: el primero de ellos es ATMeve Core —un software desarrollado por BS/2, partner de Wincor Nixdorf, que procesa datos de imágenes y vídeos y los archiva en el disco duro del cajero—; el segundo es ProView Video Surveillance Central, que controla la transmisión de datos y ofrece una función de análisis.

Las entidades financieras que ya utilizan ProView pueden disfrutar de estas nuevas funcionalidades simplemente actualizando su sistema a ProView 4.0. Actualmente, 220 bancos de todo el mundo utilizan ProView incluyendo CajaMediterráneo y Caja Navarra en España, lo que convierte a Wincor Nixdorf en líder mundial en soluciones de monitorización basadas en agentes software ProView asegura una alta disponibilidad, información precisa y detallada sobre el estado de la operativa de cada terminal y una rápida y directa solución a cualquier problema. Gracias al servicio remoto, las reparaciones pueden ser realizadas mediante acceso electrónico desde una localización central, minimizando así las visitas de técnicos y las interrupciones del servicio. Así, esta solución consigue un importante ahorro de costes y un incremento del beneficio global de la red de cajeros de la institución.

Alertan contra el riesgo de revisar el correo personal en el lugar de trabajo
Trend Micro está monitorizando un nuevo y fuerte ataque que pone de relieve el riesgo, a menudo ignorado, que supone para las empresas el hecho de permitir a los empleados comprobar su webmail personal mientras trabajan.

Diario Ti: Recientemente, uno de los miembros del equipo de TrendLabs en Taiwán recibió lo que parecía ser un ataque dirigido a través de webmail. A diferencia de otros ataques basados en el correo electrónico que requieren que los usuarios abran el email, hagan click en el link que incorpora el mensaje o descarguen y ejecuten un archivo adjunto, este ataque se limita a pedir al usuario una vista previa del mensaje en su navegador para poder lanzar el ataque.

A continuación se traduce el texto que contiene el cuerpo del mensaje anterior:

“Asunto: ¿Alguna vez has iniciado sesión en Facebook desde lugar desconocido?
Contenido: Estimado Usuario de Facebook,
Su cuenta de Facebook ha registrado un intento de acceso desde un ordenador o dispositivo o desde un lugar que nunca ha utilizado con anterioridad. Para la protección de la seguridad de su cuenta, antes de que confirme que su cuenta no ha sido hackeada, hemos procedido a su bloqueo temporal.
¿Alguna vez ha iniciado sesión en Facebook desde otro lugar?
Si éste no es su nombre, por favor use su ordenador personal para acceder a Facebook y siga las instrucciones para administrar la información de cuenta.
Si ésta no es su cuenta, por favor, no se preocupe. Proceda a reiniciar la sesión y podrá volver a su propia cuenta.
Para obtener más información, visite nuestro Centro de Asistencia en: ... (link)
Gracias,
El equipo de seguridad de Facebook"

Tal y como se apuntaba anteriormente, la vista previa de los mensajes permite la descarga de un script de una URL remota. El script descargado después se inyecta en la página para iniciar el robo de información. La información robada incluye datos sensibles tales como mensajes de email e información de contactos. Junto a esto, y más importante aún es que el script también establece el reenvío de correos electrónicos enviando todos los mensajes de los usuarios a una dirección específica.

El email parece estar especialmente diseñado por un destinatario concreto, en el que su ID de Hotmail es utilizado específicamente en el script malicioso integrado en el correo. Además, la descarga posterior se basa en el ID de Hotmail y un número especificado por el atacante. Cambiar el número puede cambiar la carga útil.

Si un empleado comprueba su correo web personal en el trabajo y es víctima del ataque, el atacante puede acceder a información sensible que podría estar relacionada con la compañía en la que esa persona está trabajando, incluyendo los contactos y los mensajes de correo electrónico. Las empresas deben tomar en serio el riesgo que entrañan éste y otros ataques similares, sobre todo teniendo en cuenta que basta con una vista previa del email para activar y lanzar el ataque.

TrendLabas actualmente está trabajando en un análisis en profundidad del ataque. De todos modos, Trend Micro ya a alertado a los usuarios, a quienes se les aconseja extremar las precauciones al abrir su webmail, especialmente en el trabajo, ya que ataques como estos pueden comprometer la información confidencial.

Trend Micro detecta el script malicioso descargado, que ha identificado como JS_AGENT.SMJ y bloquea la URL maliciosa utilizada en este ataque. Desde aquí, recomendamos a los clientes de Trend Micro que habiliten la Reputación Web en sus productos Trend Micro para evitar ser víctimas de éste y otros ataques similares. Por su parte, aquellos que no son clientes de Trend Micro también pueden protegerse a través de una combinación de herramientas gratuitas como Trend Micro Web Protect Add-on y Browser Guard, o similares.
Smishing amenaza a usuarios de telefonía móvil
Diario Ti: Se trata de una variante del phishing. No obstante, este último ataca a los usuarios de computadoras. El smishing, por su parte, aprovecha de expandirse a partir de la diversificación en el uso de los teléfonos móviles, gracias a su mayor conectividad o la banda ancha a través redes celulares, lo que permite a estos dispositivos contar con más aplicaciones y funcionalidades.
Las actuales capacidades de los teléfonos para acceder a operaciones de banca móvil, pagos de cuentas, correo electrónico y diversas operaciones por Internet con autenticación, son el imán que atrae los ataques de smishing.

¿Cómo funciona?

Detrás de estos ataques se encuentran motivaciones económicas. Los hackers que lo practican pretenden explotar brechas legales y utilizar las últimas tecnologías para captar datos personales.
De este modo, se intenta suplantar la identidad de alguna persona conocida entre los contactos telefónicos, o incluso de una empresa de confianza.

Las víctimas de smishing reciben mensajes SMS indicando que su número telefónico se ha dado de alta para un servicio determinado (citas, concursos, etc.), y que se descontará una suma de dinero a menos que visite una página web para cancelar la “petición".

Cuando se visita la dirección web o url, las víctimas son engañadas para que descarguen algún programa que en su mayoría suele ser un Troyano, con el propósito de capturar claves e información personal contenida en el teléfono móvil, con el propósito de efectuar estafas cibernéticas.
Nuevo escáner lee códigos de barras en pantalla de celulares
Al ofrecer lectura de códigos de barras 1D y 2D directamente de la pantalla de dispositivos móviles, los nuevos scanners permiten agilizar procesos en la industria de retail, hotelería y transporte, entre otras.

Diario Ti: Motorola Solutions anuncia el lanzamiento de una nueva línea de lectores de códigos de barras representada por los equipos DS4208 y DS9208, que captan los códigos directamente de la pantalla de distintos dispositivos móviles, tales como celulares, smartphones, e incluso monitores de PC. De esta manera se agiliza considerablemente el proceso de lectura o control de ingreso a diferentes lugares, como por ejemplo el registro de un huésped en un hotel o la entrada a parques temáticos, conciertos y estadios, entre otros. El ahorro del ticket de papel al ejecutar el escaneo directo de la pantalla del celular, le ofrece al espectador una cómoda y ágil opción.

La funcionalidad de lectura avanzada convierte a esta línea de scanners en una solución ideal también para el mercado minorista (retail), ya que el scanner puede detectar cupones de descuentos y tarjetas de fidelización, entre otras aplicaciones, desde la pantalla del celular, y que permiten que el usuario interactúe directamente con el comerciante en el momento que ejecuta la compra, ya sea en una tienda como en un restaurant.

Puntos destacados

• Lectura de código de barras en 1D y 2D en diferentes dispositivos como teléfonos celulares.

• La lectura omnidireccional no precisa de la alineación entre el código de barras y el escáner, permitiendo efectuar la captura desde distintos ángulos.

• Diseñados con tecnología de imagen de avanzada para un rendimiento superior de captura de datos.

• El DS 4208 es un equipo móvil e intuitivo y el DS 9208 es fijo y compacto.

• Ofrecen una amplia gama de beneficios al interactuar con una tecnología masivamente adoptada como son los teléfonos móviles.

Dieter Avella, Gerente de portafolio de computadoras móviles y dispositivos de captura avanzada de datos para Motorola Solutions, comentó que “Motorola Solutions migra a una nueva generación de tecnología de escaneo que propone optimizar la experiencia del consumidor y facilitar la labor de las distintas industrias como el retail, la hotelería y el transporte, mediante un proceso de lectura de datos eficaz y seguro".
Las nuevas funciones de seguridad en Facebook
Los usuarios de Facebook son un blanco lucrativo para los delincuentes informáticos que buscan robar contraseñas y demás información personal.
A fin de combatir ataques, estafas y el correo indeseable, la red social en internet ha presentado mejoras en la seguridad.

Primero, los usuarios pueden optar por ser notificados cuando su cuenta se consulta desde una computadora o dispositivo móvil que ellos no han usado antes. Para hacer esto, hay que ir a "configuración de la cuenta" y luego a "seguridad", antes de realizar el cambio.
Se abrirá una página donde se puede elegir que se notifique de las conexiones a la página, mediante un correo electrónico o un mensaje de texto.

Facebook está añadiendo también un estrato de autorización cuando nota actividades inusitadas en una cuenta, como conexiones simultáneas desde puntos lejanos en el planeta.

Los cambios, que se están aplicando ya, surgen en un momento en que Facebook enfrenta mayores críticas por la forma como protege la privacidad. (AP))

10 cosas que no se deben publicar en las redes sociales

Bien sea por etiqueta o por seguridad, seguir estas recomendaciones de la página howstuffworks.com puede ser útil.
1. Conversaciones personales: en Facebook los usuarios pueden publicar en el muro notas, imágenes o videos, pero las conversaciones personales deben ser manejadas como correos electrónicos porque este tipo de mensajes son solamente entre quien los envía y quien los recibe. Si se trata de un tema que solo se quiere compartir entre amigos, familiares o compañeros de trabajo, entonces no debe estar ante los ojos de todos los usuarios.
2. Reuniones sociales: a menos de que sea intencional que se quiere dejar a las otras personas por fuera de los planes no es buena idea publicar toda la agenda personal. Tampoco es seguro si hay ex novios celosos a bordo.
3. Enlaces a otras páginas web: en el momento en el que se publica un enlace en un perfil, hay que revisar si una red social de diversión está de alguna manera relacionada con una como LinkedIn. Alguien puede estar considerando una hoja de vida para un nuevo trabajo y por un enlace a un sitio en especial, las intenciones de contratación pueden verse truncadas.
4. Información sobre la empresa: los ascensos, cambios de puesto y nuevos proyectos son algo que puede ser información privada y que puede afectar a la compañía si se hace público. Muchas empresas tienen entre sus políticas de seguridad no aparecer en las redes sociales.
5. Fotos de los hijos: si se es parte del 40% de usuarios que no tiene el acceso restringido a su perfil, poner fotos de los familiares y además información como "mi hijo está tan grande que ya lo puedo dejar en la casa solo", hay delincuentes en la red pendientes de este tipo de información.
6. Dirección y número telefónico: hay que ser estricto a la hora de compartir estos datos. Si es evidente que una persona salió de vacaciones, cualquiera puede deducir que la casa está sola un tiempo y esto es arriesgado ya que puede implicar un robo o, por ejemplo que se hagan pedidos o domicilios a esa dirección en la ausencia del dueño.
7. Información financiera personal: aunque parezca increíble, aún hay personas que hablan de sus finanzas en las redes sociales. En conversaciones en el muro de Facebook, a veces las personas revelan a donde han pasado sus cuentas bancarias o en dónde tienen sus ahorros.
8. Contraseña: probablemente si las personas no divulgaran al mundo su contraseña, Facebook no tendría esta advertencia como número uno en las cosas que no se deben hacer. Otro caso frecuente es el de pasar la claves a amigos o a parejas que en cualquier caso de conflictos en la relación las pueden utilizar con malas intenciones.
9. Preguntas de seguridad en contraseñas: ¿cuál es el nombre de mi mascota? ¿cuál es mi color favorito? Revelar estas preguntas que se hacen cuando se olvidan las claves también puede dar acceso a delincuentes.
10. Cualquier cosa que no quiera que el mundo entero sepa: Todo lo que se publica en las redes sociales, así los perfiles estén configurados totalmente privados, tiene el potencial de ser visto por alguien que no debería verlo o que no quiera que se vea. "Si lo duda, no lo ponga" es el mejor control que se puede tener.
Si usas el Internet por diversión o trabajo, y no sabes el significado de palabras como spoofing, phishing, hoax, sniffer, pharming, ijack o key loggers; lea el siguiente artículo con algunas definiciones de fraudes electrónicos más comunes y evite ser un Cyber-Dummie estafado.
Carding: o uso ilegítimo de tarjetas de crédito ajenas. Igualmente delito relacionado con el uso o venta de información personal de las tarjetas de crédito o el robo de la tarjeta mediante el viejo truco copiado de los magos, donde el estafador se ofrece a ayudarnos a realizar una transacción en un cajero electrónico, cambiando en un descuido nuestra tarjeta por otra similar. Una vez con esta falsa tarjeta intentamos varias veces hacer la transacción, digitando varias veces la clave personal. La clave es memorizada por el gentil ladrón. Al retirarnos del cajero electrónico, el ladrón usa nuestra tarjeta retirando el total del monto autorizado. Nunca se deje ayudar por extraños en cajeros electrónicos.
Clickjacking: es la modalidad de engañar a los usuarios de Internet que captura información confidencial o tomar control de los ordenadores al ingresar a páginas malintencionadas y hacer clic en dibujos o textos aparentemente inofensivos.
Cloaking o Page Hijacking: o sistema de posicionamiento en los principales buscadores de Internet, generalmente son bloqueado al ser detectado por los grandes buscadores. Consiste en engañar a motores de búsqueda más populares con falsas versiones de las páginas originales. Esta falsa versión muestra información similar pero con vínculos dañinos o códigos maliciosos en su interior.
Craking: no es una droga, sino más bien una modalidad de programación que vulnera y desprotege los programas para evitar el pago de licencias de uso y facilitar su copiado y distribución sin la autorización del autor.
Cyber-Clon: No precisamente esta relacionado con la clonación de la oveja Dolly, sino más bien con la duplicación de nuestra tarjeta de crédito o débito, mediante dispositivos electrónicos diseñados para tal fin y que con la complicidad de terceras personas en restaurantes, almacenes o comercio en general, copian la información de la tarjeta contenida en la franja magnética. Nunca entregue su tarjeta o pierda de vista y adicionalmente fije e informe al banco los montos rutinarios o hábitos de sus transacciones electrónicas, y una vez superados haga que su banco le informe en el mismo momento en que se realiza la transacción. Evite que sea usted el clonado.
DNS Spoofing: Es la suplantación de la identificación del nombre del servidor de dominio o los números que identifican la dirección del servidor desde donde se ingresa a Internet o más bien la dirección virtual del servidor desde donde se ingresa a Internet por intermedio de un ordenador. La suplantación de los DNS es muy usada por los piratas del pharming.
Evil Twin: o gemelo malvado, en donde se simulan redes gratuitas Wi-Fi o inalámbricas, donde se configura un falso identificador del servicio inalámbrico, para permitirle al pirata informático interceptar todo el tráfico hacia la red real con fines ilegales.
Financial Phishing: Esta modalidad de pescar Incautos, se trata de enviar por correo electrónico un mensaje con logos y formato que imita los del banco, en donde bajo la suplantación de identidad de alguna corporación financiera se nos pide hacer clic sobre un vinculo o llenar un formulario en línea en donde se nos piden los datos personales, usuario y clave, bajo las excusas de actualizar los datos, mejorar el servicio, blindar nuestra cuenta de extraños. Los emisarios del mensaje se apoderan así de todos los datos para dejarte sin dinero y además endeudado. No envíes datos por correo electrónico, o ingrese a su banco a través de correos con vínculos y nunca haga transacciones bancarias desde Cyber-cafés sino deseas ser Cyber-estafado.
Firewall: Es un software corta fuego o puerta de seguridad con muchos cerrojos que puedes instalar en su ordenador con el cual podrá evitar que personas no autorizadas entren en su equipo o para bloquear la descarga de archivos o programas de páginas no seguras.
Hackers: Son los piratas cibernéticos o criminales del mundo digital. También hay piratas convertidos y que trabajan en el desarrollo de antivirus.
Hoax: o engaño, mentira o patraña mediante la utilización de mensajes de texto y correos electrónicos proveniente de cadenas de correo en donde se anuncian virus desastrosos, engaños sobre personas enfermas que necesitan ayuda, cualquier tipo de noticia sensacionalista falsa con la amenaza de desastres personales si el lector no re-envía el correo a sus amigos.
El objetivo del creador de un hoax puede ser simplemente comprobar hasta dónde se distribuye dicho engaño. Los hoaxes también pueden tener otros objetivos como saturar redes, obtener direcciones de correo para el spamming.

Host: o anfitrión es un servidor que funciona como el punto de inicio y final de las transferencias de datos. Un ordenador o Host es el equipo donde reside un sitio web y su servicio es llamado Hosting. Un host de Internet tiene una dirección de Internet única (dirección IP) y un nombre de dominio único o nombre de host, datos que pueden ser alterados por programas que suplantan estas direcciones, actividad conocida como Pharming.
iJack: o suplantación de Identidad en redes sociales es cada vez más común y desapercibida por los usuarios de estas redes. Es usada por diversos motivos como; el de recaudar dinero a nombre de personas célebres, tener acceso a fotos, direcciones de correo reales y virtuales o toda clase de datos a incautos cibernautas. En casos más críticos esta suplantación de identidad puede ser usada para emitir críticas, falsas noticias e incluso amenazas electrónicas.
Key loggers: o programas espías “spywares” enviados como archivos adjuntos en correos electrónicos o regalados en páginas de dudosa procedencia para capturar desde nuestro teclado toda la información allí digitada. Una vez como instalas tales programas (incluso disfrazados de alegres presentaciones o fotos), se encargan de copiar silenciosamente la información que digitas en tu ordenador o capturada directamente en la pantalla y enviársela por nuestro propio correo electrónico al Cyber-estafador.
Existen dos tipos de key loggers:
Key loggers de hardware: o instalados dentro de los equipos de uso publico en Cyber-cafés, que se conectan entre el PC y el teclado, a través de los puertos. La información es almacenada en una memoria extraíble, que puede ser bloqueada, de modo que sólo el que la instaló tenga acceso a esta información. Tienen la desventaja de que pueden ser fácilmente desconectados sin son descubiertos.
Key Logger de Software: son programas que buscan copiar desde el teclado o pantalla toda la información que digitas, en especial cuando realizas transacciones bancarias por Internet.
Malware o sniffer: son códigos maliciosos o programas realizados por Hackers, para acceder remotamente a nuestro sistema y tener control de la información allí contenida. Se pueden propagar a través de múltiples vías: e-mail (la más frecuente), descargas por Internet, copias desde una unidad de memoria USB, CD o DVD de dudosa procedencia.
Pharming: Este es una forma un poco más sofisticada de fraude que consiste en manipular las direcciones DNS (Domain Name Server) que utiliza el usuario. Esta modalidad reemplaza la dirección numérica que esta atada al nombre de las diferentes páginas de Internet por otras falsas. Es decir, nos lleva a una página idéntica a la de nuestro banco, tienda virtual o nuestro proveedor habitual de servicios. El pharming reemplaza nuestras direcciones de la tabla contenida en cada ordenador con los nombres de servidores y direcciones IP al que se denomina Hosts, de manera que no haga falta acceder a los DNS para determinados nombres de servidor. Así, que cuando el usuario intente acceder a una página específica, realmente esta accediendo a una página de Internet falsa.
Phishing by SMS: o suplantación de identidad con mensajes de texto. Se trata del envío de mensajes de texto o SMS a teléfonos móviles, anunciando que eres el ganador de una rifa de alguna reconocida empresa y que por lo general es real. La condición para reclamar el premio es comprar tarjetas de llamadas telefónicas y dictar los números de las tarjetas o PIN NUMBER, como prueba de la compra. Si lo haces, perderás el dinero y nunca recibirás el premio. Antes de enviar dinero o comprar tarjetas y revelar los números PIN, verifica con la compañía que realiza la rifa la veracidad de la información.
Phone Phishing: En donde recibimos una llamada de una persona que suplanta a su representante bancario. En la conversación nos solicitan que realicemos una llamada a un número falso de atención al cliente, donde una grabación nos piden introducir algunos datos como el de la cuenta bancaria, tarjeta de crédito, claves y números de cédula por medio del teléfono, a través del teclado del teléfono de tonos. No des ningún dato por teléfono de no estar seguro de donde estas recibiendo la llamada o al marcar números extraños.
Ransomware: o programas que secuestran el ordenador, bloqueando su uso o el acceso a los archivos personales, y que para desbloquearlo ofrecen en venta un falso antivirus por valores entre $50 y 100 dólares. Antes este término significaba la liberación del código fuente de un software legal a cambio de dinero. Para evitarlo, no descargues en tu equipo programas gratis o de páginas de dudosa reputación.
Scamming: Fraude destinado a conseguir que una persona o grupo de personas entreguen dinero, bajo falsas promesas de beneficios económicos tales como el recibir un dinero que esta a su nombre en una prestigiosa empresa de entregas internacionales. En el correo le informan a la victima del scamming, que tienen un paquete a su nombre con una gran suma de dinero, y que para recibirla, solo basta con consignar una suma de dinero para gastos de envío e impuestos. Otra modalidad es el ofrecimiento de tentadoras ofertas virtuales, promocionando por correo electrónico la venta a muy bajos precios de mascotas, artículos electrónicos, ofertas de empleo, tiquetes aéreos, donaciones o el ofrecimiento de romances con atractivas personas. Una vez como se realiza la compra y se paga por medios electrónicos el supuesto Cyber-vendedor desaparece con nuestro dinero y nosotros no recibimos el elemento o servicio comprado. Si no conoces muy bien la página de Internet desde donde se realizan estas ofertas, es mejor no comprar virtualmente, porque posiblemente obtengas un regalo virtual. La tercera es el anuncio de ser el ganador de una lotería virtual, en donde son enviados innumerables correos, informándote que ganaste una reconocida lotería del Reino Unido, o que saliste ganador de un sorteo entre un millón de usuarios de famosas cuentas de correo. Para obtener el premio solo basta con consignar a una cuenta bancaria sumas entre USD$300 y USD$500 dólares. Una vez consignes perderás el dinero y nunca te enviarán ningún premio. Es algo así como querer ganarse una lotería real, sin tener que comprarla. Otra popular modalidad del scamming es la herencia virtual, en donde por correo electrónico se nos indica que hay una gran suma de dinero de parte de una persona a punto de morir y sin herederos, o una gran suma de dinero en una cuenta bancaria esta abandonada y sin titular. Normalmente vienen mal redactados, con errores de traducción o en ingles, con dirección de correo de algún país remoto del África. Igualmente te piden los datos personales y que consignes una suma de dinero para gastos de abogados y de envío del dinero. Si te dejas llevar por la codicia, perderás todo el dinero que le envíes al remitente del correo.
Spamming: Se le conoce como spam a todo correo electrónico con fines promocionales o de fraude, no esperado por nosotros o que el remitente no sea de alguna persona conocida o amiga. Para eliminarlo solo basta con activar los filtros anti-spam y configurando el administrador de la cuenta de correo electrónico, de manera que sólo recibirás correos de la lista de contactos. El spam puede ser inofensivo, pero algunas veces debido a su gran cantidad puede llegar a ser molesto.
Spyware: o programa espía, es un software que recopila información de un ordenador, para ser transmitida a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. El término “Spyware” también se utiliza más ampliamente para referirse a otros programas que permiten la aparición de publicidad no solicitada (pop-up), y/o para recopilar información privada, redirigir solicitudes de páginas e instalar marcadores de teléfono para comunicarse con líneas calientes.
Spoofing e-mail: Por spoofing se conoce a la creación de falsas páginas de Internet que simulan la identidad de otra máquina de la red para conseguir acceso a recursos de su sistema. Puede atacar mediante el envío de falsos correos electrónicos, enviados por falsos administradores de red o grupos de apoyo al usuario, invitándonos a hacer clic sobre un vínculo que nos lleva a un falso sitio de Internet, bajo la advertencia de perder la cuenta de correo electrónico o membresía a algún sitio legal. Una vez como ingresamos al falso sitio en Internet; nos piden los datos personales, identificación, usuario y clave. En este momento ya nos han robado nuestra personalidad para usarla o venderla a redes de cyber-estafadores con fines ilícitos.
Worm: o gusano informático es similar a un virus por su diseño, y puede ser considerado una subclase de virus informático. Los worm o gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse solos y sin la ayuda de una persona. Un gusano informático se aprovecha de un archivo a manera de parasito para propagarse por el sistema hasta causar algún tipo de daño. También pueden propagarse por medio tu correo electrónico e incluso auto-enviarse a la lista de contactos sin tu autorización.
Zombies: Son programas deamon catalogados como virus y que, una vez descargados desde atractivas páginas, toman control de su ordenador produciendo daños al sistema operativo y molestias o generando sobrecargas a los equipos que toda la red de comunicaciones de datos para provocar que los mismos queden temporalmente inoperantes. Utilizando esta modalidad los hackers frecuentemente confunden a los administradores de redes ya que figura como si el ataque se realiza dentro de su red. Borre antes de leer o abrir cualquier correo electrónico cuya procedencia o remitente sea desconocido o que le indique abril archivos adjuntos.

Como ven hay tantas modalidades de fraude electronico como personas interesadas en quitarte tu dinero. No importa el nombre del fraude en ingles, lo realmente importante es que las conozcas para que no caigas en un cyber-fraude y te roben el dinero.

Seguridad de la información

2011-05-17T15:00:00.001-04:30

Lic. Margarita Ramírez, C.I. 12.783.623 Seguridad de la Información

Según el Dr. Víctor M. Valle en su reportaje El amplio concepto de la Seguridad: Definiciones y Urgencias. Fuente: www.diariocolatino.com/es/20110330/op
Dice que:

“Hablar de seguridad se refiere a la Confidencialidad, Integridad y Disponibilidad de la Información y datos, independientemente de la forma que los datos puedan tener: electrónicos, impresos, audio u otras formas”.

Y es que la Confidencialidad es prevenir la divulgación de información a personas o sistemas no autorizados. Tal es el caso de la herramienta “Facebook”; donde la información la suministra el usuario con fines de que su grupo de amistades se comuniquen e intercambien información actual entre sí, si esta información la sustrae un grupo hamponil, puede usarla para llevar a cabo un Secuestro, robo, extorsión, etc. Es decir, la confidencialidad de la información en este caso va a depender de la discreción con que se intercambie la información con amistades.
Ahora bien, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. Un ejemplo lo tenemos cuando un empleado altera modifica o borra, (por accidente o mala intención) los datos de un sistema importante, que son parte de la información de la empresa.

En relación a lo anterior, la Disponibilidad se refiere a que la información sea accesible para las personas autorizadas a ver ese tipo de información. Por ejm: entrar a la página Web para solicitar pasaportes on line y ver que todas las aplicaciones que se necesitan para la solicitud de la información estén disponibles y se pueda efectuar el trámite vía Internet de los pasaportes on line.

Es importante destacar que estas características aunque no son las únicas son herramientas primordiales que nos permiten ser más precavidos a la hora de brindar seguridad, ya sea a un equipo, un sistema, unas personas, etc.,
Según el Dr. Víctor M. Valle en su reportaje El amplio concepto de la Seguridad: Definiciones y Urgencias. Fuente: www.diariocolatino.com/es/20110330/op
Dice que:

“Hablar de seguridad se refiere a la Confidencialidad, Integridad y Disponibilidad de la Información y datos, independientemente de la forma que los datos puedan tener: electrónicos, impresos, audio u otras formas”.

Para explicar estas características voy a explicar brevemente una situación que se relaciona con lo descrito anteriormente, esta situación sucede en la película llamada “Las caras del diablo” la cual enfoca un caso de unas adolescentes que utilizan la herramienta “Facebook”, tienen diversos amigos que no conocen; estos se infiltran en la red para conocer sus gustos y amigos (violan su confidencialidad), se valen de estos datos para secuestrar a una de las adolescentes. Su padre quien es policía investiga a través de la red sobre estos amigos virtuales que tenía su hija, con el fin de dar con el paradero de la misma y es en ese intento de búsqueda donde encuentra que las personas con las que chateaba su hija son secuestradores vinculados con grupos de mafiosos, homicidas, entre otros. Estas personas entran en su red y a través de ella dan con información de las cuentas de sus padres (disponibilidad de información) y, por eso deciden secuestrar a su hija. Estos datos son borrados del Chat por estos malhechores (Integridad de la Información) y, cada día se hace más difícil conseguir de donde salieron estos amigos; sin embargo al final logran dar con el paradero de su hija y se logra enjuiciar a estas personas por los actos ilícitos y por delitos informáticos.

Es una película que refleja la realidad actual de las redes sociales y sus consecuencias; de cómo personas ajenas pueden vulnerar y amenazar su espacio, por los datos que uno mismo suministra en estas redes; como se comete fraude a través de estos medios electrónicos y el boom de los delitos informáticos. Igualmente se quiere concientizar a la gente sobre el manejo de determinadas herramientas y que se tenga en cuenta la confidencialidad, integridad y disponibilidad de información en un medio determinado

La criptografia clasica y moderna como medio de seguridad de la información

2011-05-05T22:51:00.001-04:30

Alumno: Yimmy Ávila P. C.I. V- 15.160.054

Resumen del Articulo Criptografía (I), por Luciano Moreno, del departamento de diseño web de BJS Software. http://www.terra.es/personal6/morenocerro2/seguridad/cripto/criptp_2.html Criptografía proviene del griego (Kriptos/Ocultar, Graphos/Escritura), esta técnica es usada para transformar un mensaje claro, en otro que sólo puedan entender las personas autorizadas a ello, a esto le llamaremos criptograma o texto cifrado. Como es sabido, en las comunicaciones corrientes los mensajes son transmitidos por el medio como son, de forma clara y entendible, permitiendo que el mismo pueda ser leído por cualquier entidad que lo intercepte durante su envío. En otra situación, se encuentran los mensajes que se quieren sean entendidos sólo por quien lo emite y por el receptor a quien está dirigido. Es ahí donde se aplican las medidas de seguridad para que la información no pueda ser interceptada por terceros, o que en los casos que sea interceptados, el mismo no pueda ser descifrado. El método más efectivo para esta protección es la criptografía, ya que, ha demostrado ser una de las mejores técnicas para resolver esta cuestión. Tanto es así que actualmente, es el mecanismo más usado en los procesos de protección de datos, como las transacciones bancarias por Internet, el correo electrónico cifrado, etc. Un ejemplo de su efectividad se presentó, en la Segunda Guerra Mundial (la famosa máquina alemana ENIGMA) trajo en jaque durante mucho tiempo al ejercito aliado, al permitir a los nazis el envío de información cifrada a sus tropas. El sistema empleado para encriptar el texto en claro se denomina algoritmo de encriptación, siendo la Criptografía una rama de las Matemáticas, que se complementa con el Criptoanálisis, que es la técnica de descifrar textos cifrados sin tener autorización para ellos, es decir, realizar una especie de Criptografía inversa. CRIPTOGRAFÍA CLÁSICA El cifrado de textos. El primer sistema criptográfico como tal conocido, se debe a Julio Cesar. Su sistema consistía en reemplazar en el mensaje a enviar cada letra por la situada tres posiciones por delante en el alfabeto latino. En nuestro alfabeto actual tendríamos la siguiente tabla de equivalencias: A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z A B C Ejemplo: "HOLA MUNDO" se transformaría en "KRÑD OXPGR". Este sistema es fácil de romper, ya que, sólo hay un número de variaciones posible igual al de letras que formen el alfabeto (27 en este caso). La sustitución. Consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición natural en el alfabeto. Por ejemplo, fijar una equivalencia entre las letras del alfabeto original y una variación de él, de forma análoga a lo que ocurre en el método de Julio Cesar. Si fijamos la equivalencia de alfabetos: A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z J K L M N Ñ O P Q R S T U V W X Y Z A B C D E F G H I Ejemplo: "HOLA MUNDO" quedaría como "PXTJ UDVMX". No es necesario que el alfabeto equivalente esté ordenado naturalmente, sino que puede estar en cualquier otro orden, la única exigencia es que tenga todos y cada uno de los elementos del alfabeto original, esta sustitución se denomina monoalfabético, pero existen métodos más eficaces, como los polialfabéticos, en los que existen varios alfabetos de cifrado, que se emplean en rotación. La trasposición. Consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición en el orden del mensaje. Por ejemplo, si establecemos la siguiente regla de cambio en el orden de las letras en el texto: La letra 1 2 3 4 5 6 7 8 9 Pasa a ser la 5 1 4 7 8 2 9 3 6 Ejemplo: "HOLA MUNDO" nos quedaría "MHAN DOOU". Tanto la sustitución como la trasposición son técnicas básicas para ocultar la redundancia en un texto plano, redundancia que se transmite al texto cifrado, y que puede ser el punto de partida para un ataque por Criptoanálisis. CLAVES Se trata de implementar un mecanismo de sustitución o de permutación basado en una palabra o serie fácil de recordar. Consideremos que queremos cifrar la frase "HOLA MUNDO" y nos basamos en la palabra "HTML". Para ello escribimos una tabla o matriz con tantas columnas como letras tenga la palabra elegida (HTML), y colocamos en la fila superior de la tabla dicha palabra. El mensaje a cifrar (HOLA MUNDO) lo vamos situando en las filas siguientes consecutivamente y si sobran celdas las dejamos vacías: H T M L H O L A M U N D O El paso siguiente será cambiar el orden de las filas, se puede ordenar las columnas de la palabra elegida (HTML) en orden alfabético, con lo que nuestra tabla nos queda: H L M T H A L O M D N U O Por último, podemos transformar las filas de la tabla en columnas: H H M O L A D M L N O Y obtenemos el nuevo mensaje, leyendo las filas obtenidas: "HOLA MUNDO" nos quedaría "HHMO LAD MLN O". Para desencriptar el texto cifrado habrá que realizar los operaciones anteriores en sentido inverso. CRIPTOGRAFÍA MODERNA En la criptografía moderna se rompe la dificultad en cuanto a la relación complejidad/longitud se refiere, esto se debe principalmente a los siguientes factores: Velocidad de cálculo. La aparición de los computadores dispone de una potencia de cálculo muy superior a la de los métodos clásicos. Avance de las matemáticas. Permitieron encontrar y definir con claridad sistemas criptográficos estables y seguros. Necesidades de seguridad. Surgieron muchas actividades nuevas que precisaban la ocultación de datos, con lo que la Criptografía experimentó un fuerte avance. A partir de estas bases surgieron nuevos y complejos sistemas criptográficos, que se clasificaron en dos tipos o familias principales, los de clave simétrica y los de clave pública. 1) Criptografía simétrica. Incluye los sistemas clásicos, y se caracteriza por que en ellos se usa la misma clave para encriptar y para desencriptar, motivo por el que se denomina simétrica. Este sistema está basado en la llave simétrica, por lo que es misión fundamental tanto del emisor como del receptor conocer esta clave y mantenerla en secreto. Todos los sistemas criptográficos clásicos se pueden considerar simétricos, y los principales algoritmos simétricos actuales son DES, IDEA y RC5. Actualmente, se está llevando a cabo un proceso de selección para establecer un sistema simétrico estándar, que se llamará AES (Advanced Encryption Standart), que se quiere que sea el nuevo sistema que se adopte a nivel mundial. Las principales desventajas de los métodos simétricos son la distribución de las claves, el peligro de que muchas personas deban conocer una misma clave y la dificultad de almacenar y proteger muchas claves diferentes. 2) Criptografía de clave pública. Se basa en el uso de dos claves diferentes, claves que poseen una propiedad fundamental: una clave puede desencriptar lo que la otra ha encriptado. Generalmente una de las claves de la pareja, denominada clave privada, es usada por el propietario para encriptar los mensajes, mientras que la otra, llamada clave pública, es usada para desencriptar el mensaje cifrado. Las claves pública y privada tienen características matemáticas especiales, de tal forma que se generan siempre a la vez, por parejas, estando cada una de ellas ligada intrínsecamente a la otra, de tal forma que si dos llaves públicas son diferentes, entonces sus llaves privadas asociadas también lo son, y viceversa. Para que un algoritmo de clave pública sea considerado seguro debe cumplir con lo siguiente: o Conocido el texto cifrado no debe ser posible encontrar el texto en claro ni la clave privada. o Conocido el texto cifrado (criptograma) y el texto en claro debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros. o Conocida la clave pública y el texto en claro no se puede generar un criptograma correcto encriptado con la clave privada. o Dado un texto encriptado con una clave privada sólo existe una pública capaz de desencriptarlo, y viceversa. 3. Sistemas mixtos. En muchas ocasiones se implementan sistemas criptográficos mixtos, en los que se usa la llave pública del receptor para encriptar una clave simétrica que se usará en el proceso de comunicación encriptada. De esta forma se aprovechan las ventajas de ambos sistemas, usando el sistema asimétrico para el envío de la clave sensible y el simétrico, con mayor velocidad de proceso, para el envío masivo de datos.

El aporte de la Moral como patrón de conducta basado en el valor absoluto del bien en la Tecnología de Inf y Comunicaciones Autor: Freddy Márquez

2011-05-05T22:45:00.002-04:30

El valor agregado en las clases con el Licenciado Rigoberto Lanz consistió en la capacidad de usar herramientas, procedimientos o técnicas en un grupo especializado. Ejemplo: Un cirujano, un ingeniero, un músico y un contador, todos tiene destrezas técnicas en sus respectivas áreas. El Gerente necesita suficiente destreza técnica para ejecutar la mecánica del oficio cuya responsabilidad tiene. El sistema financiero Venezolano en los últimos años a enfrentado cambio significativos especialmente en el Banco Bicentenario en donde hemos conquistado con mística y habilidades de trabajar de enlazar relaciones humanas para poder gerencial en los grupos y dirigirlos en forma efectiva. Desde la perspectiva conceptual comprender como un cambio en cualquier parte dada puede afectar toda la organización. Desde los ángulos de las creencias hemos aumentado la óptica que rigen nuestro comportamiento y sus reglas. Profundizando en nuestros estudios observe que debemos de aportar al país desde la dimensión tecnológica, creando medios a menor costo y lograr satisfacer fines. Sin embargo, su utilización ha dado origen a grandes conflictos de orden social, ético, ecológico y en general, humanos. En Venezuela debemos de aportar en la tecnología considerando las siguientes tareas:
• Incrementar la producción nacional de ciencia y tecnología basado en las necesidades de la nación
• Aprovechar la tecnología para el desarrollo de otras áreas ( alimentación, cultivos, productividad,)
• Incrementar la infraestructura tecnológica
• Rediseño del sistema nacional de ciencia y tecnología
El despertar de los profesionales basados en la investigación puede causar:
• Efectos personales y profesionales positivos.
• Provee a los profesionales habilidades en el manejo y uso de los métodos de investigación.
• Mayor capacidad crítica y reflexiva sobre su propia práctica, así como el proceso que enseña.
• Mayor iniciativa en cuanto a la evaluación de teorías actuales e innovadoras.
Según Fernando Savater, la moral es una permanente reflexión del sujeto sobre su calidad de sujeto, para ello es importante no perder de vista este concepto que nos envuelve en la conciencia entre lo que es bueno y lo que es justo, la cual requiere un sentido de los valores, teniendo como fin transformar positivamente a la Sociedad Tecnológica Venezolana.
Declaro la caducidad de los métodos gerenciales tecnológicos aplicados en muchas instituciones financieras Venezolanas las cuales deben de establecer aportes sociales que lleguen a la población Venezolana en función de bancarizar al pueblo y colocar tecnología sin costo alguno para elevar sus conocimientos y acceso a la información

Las Redes Sociales y La Seguridad de la Información

2011-05-01T23:14:00.002-04:30

María Monterola
C.I. V-13.458.141
Postgrado de Auditoria de Sistemas Financieros y Seguridad de Datos

Las redes sociales son estructuras sociales compuestas de grupos de personas, las cuales están conectadas por uno o varios tipos de relaciones, tales como amistad, parentesco, intereses comunes o que comparten conocimientos. Las redes sociales se han instalado en nuestras vidas con determinación y celeridad, aportan relaciones sociales que ayudan incluso a cubrir necesidades básicas del ser humano. Sin embargo, la dinámica con la que actúan y las formas de uso de quienes participamos de ellas generan efectos no deseables relacionados con la privacidad.

Es un hecho constatado que las redes sociales, en cuanto que giran en torno a personas identificadas e identificables, han puesto en compromiso la privacidad de quienes las usamos. La merma de privacidad es un daño en sí mismo, efectivamente, una pérdida. Supone además un factor de riesgo en otras circunstancias desagradables puesto que cuanto más se sepa de una persona, sin duda, más vulnerable es: pensemos en el acoso de un pederasta, en un caso de ciberbullying o en un traumático fin de una relación personal.

Por otro lado, un efecto derivado y poco deseable relacionado con la pérdida de privacidad es una conformación de la identidad digital más compleja, compuesta de más informaciones, y más diferida, en tanto que depende en mayor medida de lo que las demás personas refieran respecto de uno.

En Venezuela las redes sociales han sido un factor determinante para jóvenes y adultos que quieren estar conectados con amigos y familiares a larga distancia. Existen un sin número casos de secuestros y otros factores en contra de personas que de alguna u otra manera no prevén los riesgos de colocar la información personal concerniente a su vida personal, por lo tanto son blancos fáciles de agentes inescrupulosos.

En relación a lo anterior, en el periódico “Ultimas Noticias” del jueves 28 de abril de 2011 publicó un caso esclarecido por el Cuerpo de Investigación Científica, Penales y Criminalística, en el cual fueron detenidos jóvenes de la parroquia El Cementerio por asesinar a un joven y luego publicitar el crimen a través de un vídeo en Facebook, la grabación la publicitaron en Facebook como “El Rufinazo”.

De acuerdo a lo anterior, se presenta se detallan seis acciones son las líneas a incentivar, las competencias y actitudes que en ellos debemos ser capaces de estimular a nuestros jóvenes en el manejo de las redes sociales:
1. Conocer y configurar de manera detallada las opciones de privacidad.
Se trata de un consejo clave pero, en general, mal asumido. Enseñar a configurar las opciones de privacidad es importante pero considero que lo fundamental es ayudar a conocer cómo funcionan y los efectos posibles de una mala configuración así como las limitaciones de estas opciones.

2. Identificar las funciones y los efectos de cada acción.
Es demasiado frecuente equivocarse y ubicar en lugar erróneo alguna información. Ya hace tiempo Facebook realizó cambios en este sentido avisando de forma gráfica sobre en qué lugares, de qué forma, se propagaría un determinado comentario. Además, aunque la acción ocasione el efecto buscado, con frecuencia se desconoce qué otras implicaciones o consecuencias tiene. Se trata de un terreno donde la iniciativa corre por cuenta de la red social. Lo mismo sucede en el proceso de alta, donde conviene señalar que las condiciones planteadas son de especial importancia y afectan a cómo y dónde pueden usarse nuestros datos, por lo que es precisa una detallada lectura.

3. Proteger los datos personales.
Se trata de datos esenciales y su especial relevancia debe ser puesta de manifiesto para dotarles de una especial protección. En esta labor nos amparan las leyes aunque, a pesar del gran camino andado, no siempre son eficientes o aplicables.

4. Proteger personalmente los datos.
Este es un aspecto clave. Los datos (imágenes, informaciones…) aunque en muy diferentes formas, suelen tener origen en uno mismo. Ése es el primer filtro. Parece evidente pero decimos demasiadas cosas de nosotros mismos sin reflexionar sobre su oportunidad en diferentes momentos o contextos.

5. Mantener una actitud proactiva en la defensa de los datos propios.
En las redes sociales son demasiado abundantes los datos que unas personas aportan sobre las demás y es, por desgracia y en especial en la adolescencia, muy común que lo hagan de manera inconsciente, negligente, compulsiva o incluso temeraria. Frente a esto se ha de mantener una actitud proactiva en defensa de la privacidad y ello supone tres acciones:

(a) informar a los demás sobre nuestro criterio al respecto.
(b) supervisar lo que se publica de nosotros.
(c) ejercer, si es preciso, nuestro derecho a eliminarlos.
(d) El etiquetado en las fotografías es un ejemplo muy ilustrativo.

6. Evaluar las actitudes y condiciones de privacidad de los contactos.
Los contactos, a quienes las redes sociales llaman “amigos”, son un factor clave en relación a la propia privacidad. Sin embargo, es sabido que los adolescentes pueden sumar con facilidad varios cientos de amigos que tendrán criterios al respecto desconocidos. Al margen de su actitud, más o menos considerada, es importante conocer las condiciones en las que usan las redes sociales. Estas condiciones hacen referencia a sus conocimientos y competencias y, en relación con éstas, a sus configuraciones de privacidad. Así, un contacto que pudiera ser considerado y respetuoso puede afectar de manera involuntaria nuestra privacidad con una configuración y/o acción inadecuada.

Mensaje de fin de año!

2010-12-23T18:59:00.002-04:30

A pesar de los fenómenos climáticos (El Niño - La Niña) que afectaron a muchas familias en el mundo y que produjeron inundaciones, sequías, incendios forestales y otros fenómenos extremos, es decir existe mucha necesidad en familias y nosotros podemos ayudar dando nuestra mano a los más necesitados entre ellos los niños que representan el futuro de la humanidad sobre todos a los que padecen de enfermedades tales como el cáncer, cuyas consecuencias son físicas y psicológicas, pienso que la palabra clave para el año 2011 es UNION que la podemos expresar en fuerza, amor y ayuda en equilibrio. Espero que la elasticidad de la gente nos permita conseguir buenos frutos.

Quiero desearte que tengas una feliz navidad y prospero año 2011, esperando que todos los proyectos de bienestar se materialicen con éxito, eficiencia y excelencia

Freddy Márquez

Infraestructura, Protocolos y aplicaciones para el manejo de llaves

2010-05-26T16:35:00.000-04:30

Publicación especial NIST 800-57(Parte 3)
Resumen artículo: por Joel Elíaz R.
http://www.itl.nist.gov/publications/view_pub.cgi?pub_id=905108
Según publicación especial del Instituto Nacional de Estándares y Tecnologías, NIST por sus siglas
en inglés, lo elementos disponibles para la administración de llaves son los siguientes:
Infraestructura de llaves públicas (PKI’s): Usadas para la distribución de llaves públicas en
servicios de información que incluyen confidencialidad, autenticación, integridad y firmas. El
sistema usa algoritmos de llaves públicas basadas en dos laves, una pública que puede ser
conocida “públicamente” y una privada que debe ser mantenida en secreto por el propietario.
Estos algoritmos son usados para establecer servicios de seguridad entre entidades, asegurando
que la data transmitida no ha sido modificada e identificando a quien la origina. Las aplicaciones y
protocolos incluyen el Protocolo de Seguridad de Internet (Internet Protocol Security – IPsec),
Seguridad de la Capa de Transporte (Transport Layer Security – TLS), Protocolo S/MIME y algunas
versiones de Kerberos.
IPSec: Es una suite de protocolos de seguridad para las comunicaciones en internet, a través de la
capa de red, operando con el protocolo IP. Este es frecuentemente usado para establecer redes
provadas virtuales (VPN), las cuales permiten proteger las transmisiones que se realizan a través
de una red pública. IPsec opera mediante la inserción de cabeceras que proveen protección de
integridad, confidencialidad, autenticación de origen, trabajando mediante algoritmos
criptográficos que se acoplan a los protocolos IPv4 e IPv6.
TLS: robusto protocolo usado para proteger enlaces tales como servicios de autenticación vía
puntos de acceso inalámbricos. El protocolo está dividido en dos niveles:
Protocolo de registro TLS (TLS Record Protocol).
Protocolo de mutuo acuerdo TLS (TLS Handshake Protocol).
El de más bajo nivel es el Protocolo de Registro, que se implementa sobre un protocolo de
transporte fiable como el TCP. El protocolo proporciona seguridad en la conexión con dos
propiedades fundamentales:
· La conexión es privada. Para encriptar los datos se usan algoritmos de cifrado simétrico.
Las claves se generan para cada conexión y se basan en un secreto negociado por otro
protocolo (como el de mutuo acuerdo). El protocolo también se puede usar sin
encriptación.
· La conexión es fiable. El transporte de mensajes incluye una verificación de integridad.
El Protocolo de mutuo acuerdo, proporciona seguridad en la conexión con tres propiedades
básicas:
· La identidad del interlocutor puede ser autentificada usando criptografía de clave pública.
Esta autentificación puede ser opcional, pero generalmente es necesaria al menos para
uno de los interlocutores.
· La negociación de un secreto compartido es segura.
· La negociación es fiable, nadie puede modificar la negociación sin ser detectado por los
interlocutores.
S/MIME: Provee servicios de seguridad criptográfica en el manejo de mensajes electrónicos
mediante el uso de firmas digitales, controlando la integridad y el no repudio del origen. Para ello
requiere de una suite de algoritmos para:
· Creación de firmas digitales.
· Generación de valores Hash.
· Establecimiento de llaves.
· Encriptación de los mensajes.
KERBEROS: Mecanismos de autenticación que fue desarrollado por el MIT para habilitar la
seguridad de autenticación de los usuarios a través de redes no protegidas. El núcleo de una
arquitectura de Kerberos es el KDC (Key Distribution Server). Los almacenes de información de
autenticación KDC y lo utiliza para autenticar a los usuarios de forma segura y servicios.
Esta autenticación se llama seguro porque:
· No aparecen en texto plano
· No se basa en la autenticación por el sistema operativo anfitrión
· No se fía de base sobre las direcciones IP de
· No requiere de la seguridad física de las máquinas de la red
El KDC actúa como un tercero de confianza en el desempeño de estos servicios de autenticación.
Debido a la función crítica de la KDC, KDC múltiples son normalmente utilizados. Cada uno de los
almacenes KDC una base de datos de los usuarios, servidores y claves secretas.
Los clientes de Kerberos son las aplicaciones de red normal, que han sido modificados para el uso
de Kerberos para la autenticación. En el argot de Kerberos, que han sido Kerberos.

Ingeniería Social

2010-05-21T08:43:00.003-04:30

Realizado por Beatriz Maldonado

La ingeniería social puede definirse como una acción o conducta social destinada a obtener información de las personas cercanas a un sistema. Es el arte de conseguir de un tercero aquellos datos de interés para el atacante por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos.
Mitnick (2.007) plantea que la Ingeniería Social:
Es el tipo de ataque más difícil de detectar y del que defenderse. El ingeniero social, o atacante diestro en el arte del engaño, se alimenta de las mejores cualidades de la naturaleza humana: nuestra tendencia natural a servir de ayuda y de apoyo, a ser educado, a colaborar y el deseo de concluir un trabajo. El principio que sustenta la ingeniería social es el que en cualquier sistema los usuarios son el eslabón débil.
En el ambiente informático, es muy conocido el dicho “una computadora apagada es un computadora segura”. Ahora bien, si la computadora está apagada, ¿quién es el objetivo? El usuario. No hay un solo sistema en el mundo que no dependa de un ser humano, lo que conlleva una vulnerabilidad independiente de la plataforma tecnológica.

Por eso, la ingeniería social continúa siendo el método de propagación de ataques informáticos más utilizado por los creadores de malware, quienes aprovechan las ventajas de cualquier medio de comunicación para engañar a los usuarios y lograr que éstos terminen cayendo en una trampa que suele apuntar a un fin económico. El hecho que una persona pudiera persuadir a alguien para que le suministre sus datos personales e información financiera, como por ejemplo, el número de su tarjeta de crédito, puede parecer algo poco factible, sin embargo se suministran datos confidenciales diariamente en distintos medios, como el papel que se arroja a la basura en la oficina o el sticker adhesivo con el password (contraseña) debajo de un teclado.

La técnica más conocida de ingeniería social en la actualidad para llevar a cabo un fraude electrónico bancario es el Phishing, el cual puede producirse de varias formas, desde un simple mensaje a un teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico, en donde es utilizada la imagen del banco y en cuyo contenido se le pide al usuario realizar una acción en específico como lo puede ser dar click a un link en donde la acción pudiera obedecer a actualizar sus datos en un sitio “Seguro”, direccionado a una página simulada del Banco y es ahí en donde el ladrón de identidades logra que el usuario escriba su nombre y contraseña bancaria.

Recomendaciones:
 Evitar el suministro de información laboral o dejarla expuesta a terceros y familiares, ya que puede ser utilizada inadecuadamente en contra de su seguridad e integridad laboral, la de su familia y la de su empresa.
 Abstenerse de digitar informaciones confidenciales, tales como nombres de usuario contraseñas, en paginas no seguras cybers al realizar transacciones en línea, cajeros y comercios.
 Evitar el suministro de información confidencial, a través de llamadas telefónicas desconocidas.
 Notificar hechos sospechosos, que intenten comprometer nuestra seguridad, a los responsables de la organización.
 Sea precavido al consultar información clasificada en el computador cuando hayan personas ajenas detrás de usted, incluyendo compañeros de trabajo.
 Destruir la información impresa que es sensible al negocio, antes de arrojarla a la papelera.
El factor humano es parte esencial de la seguridad de la información. No existe un sistema informático que no dependa de un operador humano, es por esta razón que se debe concientizar sobre los riesgos y vulnerabilidades presentes día a día que atentan sobre la seguridad de la información.
Bibliografía consultada:
Mitnick, K. (2.007) El Arte de la Intrusión. México D.F.:RA-MA.

CIBERCRIMEN “El PHISHING”

2010-04-22T17:15:00.005-04:30

ALBERTO RIVAS
Estudiante de postgrado en auditoria y seguridad

El cibercrímen es un flagelo que se ha acrecentado en la medida que los ciber delincuentes optimizan sus procesos delictivos, entre los móviles se encuentra el PHISHING, el cual ha venido sofisticando sus modalidades y ampliando su radio de acción para vulnerar la seguridad de la información de las organizaciones y particulares.
En base a lo anterior tanto las organizaciones como los consumidores y requirentes de productos y servicios debe educarse e investigar sobre esta modalidad de cibercrímen, igualmente las empresas deben invertir recursos en herramientas de seguridad que le permitan mitigar los riesgos y por ende adiestrar a su recurso humano con el objeto de blindar el manejo de la información tanto de las empresas como de sus clientes, proveedores y consumidores.
CIBERCRIMEN
“Es cualquier elemento, tanto físico como lógico, de valor probativo sobre algún aspecto relevante en un caso” (K. Mandia, 2003)
Partiendo de este enunciado, como una de las tácticas más importantes de los cibercrímenes que afectan a los consumidores y empresas, es el phishing “Pesquen - Pescando” ha crecido en volumen y sofisticación en los últimos años. Basado anterior en lo es pertinente tener en cuenta que el Cibercrimen es una realidad emergente en nuestro medio, por tanto es necesario descubrirlo y entenderlo para luego combatirlo.
La crisis económica ofrece un campo fértil para los nuevos intentos de la ingeniería social de defraudar a la gente de las empresas y a los consumidores desprevenidos, aplicando esquemas de fraudes generalizados, frente a esto ya no se requiere de hacker para posibilitar y cometer fraudes en Internet; cualquier que tenga un motivo puede sumarse a esta actividad.
El phishing, utiliza estrategias y desarrolla herramientas con el objeto de hacer que usuarios desprevenidos entreguen información delicada para robarles su identidad, siendo una amenaza tanto para las empresas como los consumidores.
El Anti- phishing Working Group (APWG), informo que los ataques de phishing remitidos a ésta asociación aumentaron 13% durante el segundo cuarto de 2008 a más de 28 mil, igualmente durante el mismo periodo la cantidad de URL relacionadas con malvare que infectó las PC con códigos para robarse las contraseñas aumentó a un nuevo record de por lo menos 9 mil 500 sitios, un incremento de 258% comparado con el mismo cuarto de 2007.

Tácticas de phishing más recientes:
Spear phishing
Consiste en dirigir sus acciones hacia clientes conocidos de un banco, un proveedor de crédito hipotecarios u otro tipo de organización, igualmente los empleados de las empresas son el blanco de estos criminales.
En este tipo de ataque el objetivo es obtener acceso a información bancaria corporativa, base de datos de los clientes y demás información que facilite el crimen.
Business services phishing
Dirigidos a empresas que utilizan Yahoo o Google Adwords y consiste en recibir mensajes electrónicos indicando que las cuentas requieren actualización, solicitando al titular de la cuenta que inicie la sesión en la falsa interfaz de Adwords y que brindaran información de su tarjeta de crédito. Con esta táctica se vieron afectada muchas Pymes, en virtud que dependen de la publicidad online para dirigir el tráfico a sus sitios, con lo cual Directivos de alto nivel suministraban datos bancarios.
El phishing y los temores económicos
La crisis económica actual ofrece oportunidades sin precedentes de que los criminales exploten a las victimas. Remitiendo correos electrónicos procedentes de una Institución Financiera que hace poco adquirió el acreedor hipotecario, los ahorros y préstamos o el banco de la víctima. Esto obedece a la gran cantidad de adquisiciones y fusiones ocurridas creando un entorno de confusión para los consumidores.
Existen combinaciones mixtas de phishing y malware, en donde el usuario recibe una tarjeta electrónica de phishing por email que al parecer es autentica. Al darle click en la liga del correo para recibir la tarjeta electrónica. La persona llega a un sitio Web falso que descarga un caballo de Troya en la computadora de la víctima.
El usuario observa un mensaje que indica que debe efectuar una descarga de software actualizado antes de poder ver la tarjeta electrónica, al efectuar la descarga el software se trata de un Keylogger, que al combinarlo con fines de phishing, tienen componente de rastreo que intentan monitorear acciones especificas a organizaciones determinadas como Instituciones financieras, minoristas online y gente delicada al comercio electrónico, con el objeto de obtener números de cuentas, ID de usuarios y contraseñas. Otra variedad es cuando el caballo de Troya les permite a los phishers capturar información delicada a través de un redireccionador. Estos dirigen el tráfico de los usuarios finales a otra dirección falsa.
Los mensajes de texto y las estafas a través del celular, los Phisher se hacen pasar por instituciones financieras reales, utilizando los sms como alternativa al correo electrónico para intentar acceder a la información confidencial de las cuentas.

La modalidad conocida como Smishing, la estafa típica le indica al usuario del celular que la cuenta bancaria de la persona está en riesgo o que ha desactivado la tarjeta de crédito /ATM. Se le indica a la victima que marque un número o ingrese a un sitio Web falso para que reactive su tarjeta, y el robot comienza a solicitarle información confidencial, sobre su número de seguridad, de cuenta y de tarjeta.
El phishing en la actualidad su nicho no es únicamente las instituciones financieras, su onda expansiva vulnera los sitios de subasta, los servicios de pagos, los sitios de ventas al menudeo y las redes sociales son blancos frecuentes, igualmente a los fabricantes y proveedores de celulares. Esto se traduce en una disminución por parte de los clientes en accesar y hacer transacciones online, generando pérdidas cuantiosas a las empresas.
Para proteger las empresas no existen soluciones mágicas, algunas tecnologías pueden proteger a las organizaciones como proveedor de servicios y por ende a sus clientes, podemos citar las siguientes herramientas como la Secure Sockets Layer (SSL) y Extended Validation (EV), apoya en el combate del phishing y otras formas del Cibercrímenes al cifrar información delicada y ayudando a los clientes a autenticar el sitio. Para ello se hace necesario implementar niveles más elevados de cifrado y autenticación posibles para protegerse del ciberfraude y aumentar la confianza.
Aplicar las tecnologías que apoyen la seguridad de la información, es necesario que las empresas continúen educando a los consumidores y empleados respecto de las prácticas seguras en internet y como evitar el ciberfraude. Es importante indicarles a los clientes a reconocer los signos de un intento de phishing como son los errores ortográficos, saludos genéricos en lugar de personalizados, solicitudes urgentes para realizar acciones, advertencia de los estados de las cuentas, solicitudes de información personas, y ligas y dominios falsos.

Aumenta control sobre clientes y transacciones de los bancos

2010-04-07T15:48:00.003-04:30

Análisis realizado por José Gregorio Figueredo Matheus
Estudiante de Postgrado en Auditoria y Seguridad de la Información

Con la aprobación de las normas que deberán seguir las entidades financieras para prevenir la legitimación de capitales y el financiamiento al terrorismo, la superintendencia de bancos busca adecuarse a los estándares internacionales.

Fernando Fernández, abogado experto en el tema con experiencia en la comisión interamericana para el control del abuso de drogas y profesor de la universidad metropolitana, explica que “estas normas llenan un vacio que ha existido durante cinco años desde que se aprobó la ley contra la delincuencia organizada.”
Sudeban emite normas para prevenir legitimación de capitales.

“ los bancos deberán hacer un enorme esfuerzo educativo y tecnológico por que se insiste mucho en los controles . hay un énfasis especial en el manejo del riesgo, podríamos decir que el ideal es tener buenos negocios, responsables y seguros”.

Fernando Fernández agrega que para los clientes de la banca las normas se traducirán en “mayor investigación para los depositantes”.

Una vez entre en vigencia la disposición de la sudeban, transcurridos 180 días continuos contador a partir del 9 de marzo , al abrir una cuenta a una persona los bancos crearan una ficha que, entre otros datos, tendrá origen de fondos, promedio del numero de transacciones mensuales que realizara en la cuenta, monto del salario e ingresos mensuales, profesión y oficio.

Además deberá especificarse la “necesidad de recibir o enviar regularmente transferencias desde o el exterior de la república, indicar el país de origen y destino.
Los reportes

El artículo 77 de las nuevas normas obliga a las entidades financiera a reportar a la superintendencia de bancos “todas las transacciones de depósitos o retiros en efectivos por montos iguales o mayores a 4500,00 bolívares fuertes realizados por sus clientes en sus cuentas corrientes y ahorros, u otros productos similares.

El riesgo
1 las normas catalogan como clientes de alto riesgo para las entidades financieras a casas de cambio no domiciliadas en el país, casinos y salas de juegos, empresas de envió de remesas y comercializadores de joyas, entre otros.

2 se considera como canales de distribución de alto riesgo la banca electrónica, por internet y´-0 transacciones o negocios que no son cara a cara.
3 las entidades financieras deberán elaborar un código de ética o de conducta
4 los trabajadores deben recibir instrucción de cómo prevenir la legitimación de capitales
5 las entidades financieras deben documentar el cumplimiento de sus programas de capacitación
6 la superintendencia de banco supervisara que se cumplan.
Fuente diario el universal fecha domingo 28 de marzo del 2010.seccion economía.

Información y seguridad

2010-02-19T09:25:00.000-04:30

Autor : Nelson José Rivas Quijada
Cátedra: Seguridad de Datos
Especialización en Auditoria de Sistemas Financieros y Seguridad de Datos

Una palabra, un caracter, un símbolo representan el inicio de cualquier elemento de análisis; que luego de ser procesados y organizados en forma coherente y lógica, con un sentido y orientación se transforman en información que después de su procesamiento, de acuerdo a las necesidades del usuario, permiten tomar decisiones que generan resultados para las organizaciones y los individuos. Estos resultados serán los más adecuados para la organización o los individuos si la información utilizada, es confiable, oportuna, disponible y confidencial.

Estos aspectos antes considerados (Confiabilidad, oportunidad, disponibilidad y confidencialidad), deben ser cubierto totalmente, de tal manera que respondan a las necesidades y requerimientos de los usuarios; llámense estos organizaciones, empresas, gobiernos, Estados o individuos. Para cubrir cada uno de estos aspectos en forma eficiente se hace necesario que los datos y la información que estos generan estén completamente protegidos y utilizados en forma adecuada.
El mecanismo utilizado para que esta información responda a los requerimientos de los usuarios es la seguridad, y para ello es necesario que se contemplen en el uso de la información los aspectos siguientes: La vulnerabilidad, la amenaza, el riesgo y los ataques; a puedan estar sujetos los datos utilizados por las organizaciones y los individuos en sus actuaciones diarias.

Cada uno de estos aspectos (Vulnerabilidad, amenaza, riesgo y ataque), deben estar presentes en cualquier administración, por cuanto estos constituyen el basamento de cualquier aplicación de seguridad de la información; a fin de cumplir con las necesidades organizacionales e individuales.
Todo esto se produce a raíz de la siguiente consideración: La información es un activo que debe ser resguardado y protegido para que sea utilizada en forma eficiente, adecuada y oportunamente.

Feliz año 2010

2009-12-23T14:17:00.002-04:30

En esta navidad quiero desearte que sigas triunfando con mucha humildad, amor y prosperidad, por cierto esta ultima es una experiencia interior, no un estado externo, y que esta experiencia no esté ligada al hecho de poseer una suma de dinero determinada. Aunque la prosperidad está relacionada con el dinero, no es causada por el dinero. Mientras ninguna cantidad de dinero puede garantizar la experiencia de prosperidad, es posible sentirse próspero en prácticamente cualquier nivel económico.

Este año observe que tengo una red de compañeras (os) impresionante, lo evidencie durante el nacimiento de mi hija donde me visitaron y llamaron muchas personas que en algún momento de mi vida sembraron esa semilla llamada “amistad” la clínica parecía un congreso de Auditoria de Sistemas y Seguridad de la Información, espero que sigan permaneciendo en mi corazón no como una leyenda del pasado sino con acciones en el presente y futuro.

Este año fue excelente me siento cada día feliz, adicional realice un donativo a muchos niños de escasos recursos en Filipinas y Venezuela, hacer feliz al inocente y desamparado me llena de armonía, basta escuchar los enredos que surgen con los dramas basados en el abandono y en la carencia afectiva. Hay sueños - o mejor dicho, pesadillas - que nos paralizan en la sensación de un intenso dolor sin salida: nos resta apenas la esperanza de que un héroe, que tenga coraje en el corazón, ¡Salve a un niño de la calle! A pesar de que esa fuerza extra se encuentra en nuestro interior, la proyectamos para fuera.

Que DIOS te guarde un lugar amoroso en el corazón de las personas que encontraras durante el año 2010 y que cada momento tengas mucha salud

Freddy Márquez

El blackberry o la vida

2009-11-18T10:05:00.001-04:30

Escrito por Freddy Márquez

Hemos observado en Venezuela en los últimos meses el robo de teléfonos blackberry, según consta en el periódico el Universal de fecha 23 de Agosto más de 80.000 robos, solo en la empresa de telefonía celular Digitel, en el mes de julio hubo 20.872 casos de suspensiones de líneas en todo el país después del robo del aparato celular. Asimismo, en junio 27.330 líneas fueron suspendidas. Es un activo de mucho valor para los dueños y podrá ser utilizado por los ladrones para efectuar cambios por drogas, dinero, alcohol o para realizar secuestros virtuales ó presenciales, claro después de haber cometido un salvaje despojo que puede costar hasta la vida. La industria del espionaje telefónico esta utilizando este medio para robar información de los teléfonos que tienen el Bluetooth el cual utiliza una red Inalámbricas de Área Personal (WPANs) que posibilita la transmisión de voz y datos entre diferentes dispositivos mediante un enlace por radiofrecuencia en la banda ISM de los 2,4 GHz. Los principales objetivos que se pretenden conseguir con esta tecnología son:
Facilitar las comunicaciones entre equipos móviles y fijos...
Eliminar cables y conectores entre éstos.
Ofrecer la posibilidad de crear pequeñas redes inalámbricas y facilitar la sincronización de datos entre equipos personales.
Robar contactos personales y empresariales
He observado que las personas pierden su atención en el mundo exterior y la ubican en los mensajes y correos que llegan al celular, esta situación es aprovechada por los delincuentes y es allí cuando sucede un tipo de robos.
Les pido por favor no mostrar el teléfono tampoco atender en áreas publicas, sino resguardarlo como un tesoro y atenderlo en casa u oficina.
Hace unos días un alumno perdió la vida por esta situación favor toma las medidas preventivas y cuida tu vida e información
Saludos
Freddy Márquez

Ahorro Eléctrico

2009-10-26T09:54:00.001-04:30

Si no se analizan los impactos del ahorro eléctrico en los servicios de salud, telefonía celular, agua, medios de transporte vamos a crear un verdadero caos en la ciudad capital y principales estados, invito a los responsables de tomar estas acciones a medir los riesgos, pues en Venezuela no estamos preparados para vivir con cambios de esta naturaleza.

Freddy Márquez

La seguridad digital: Alguna vez territorio de los expertos en computadoras, es actualmente la preocupación de todos.

2009-06-22T22:14:00.002-04:30

Realizado por Erika Medina
Hasta hace poco la mayoría de la gente no era consciente de la seguridad informática o no la consideraba importante. Eso era por lo general cierto salvo en algunas áreas especializadas –aplicaciones bancarias, aeroespaciales y militares- que dependen de computadoras y redes a las que no se puede ingresar ilegalmente y que no dejan de funcionar. Pero ahora los consumidores, las compañías y los gobiernos del mundo están reaccionando y dándose cuenta de la situación. ¿Por qué? La respuesta obvia parece ser que los ataques terroristas de 2001 en los Estados Unidos intensificaron la conciencia por la seguridad en todas sus formas, pero la razón más profunda es que un cambio cultural a largo plazo está en camino. La seguridad digital creció en importancia mientras que más y más aspectos empresariales y de la vida personal han empezado a depender de las computadoras. La informática en poco tiempo está en el medio de una transición de ser una herramienta opcional a un servicio público omnipresente, y la gente espera que los servicios públicos sean confiables. Una definición de servicio público, de hecho, dice que es un servicio tan confiable que la gente lo nota sólo cuando no funciona.
Uno de los requisitos para que la informática sea un servicio público es la seguridad adecuada. Es peligroso encomendar a una empresa información personal o incluso la vida a un sistema lleno de baches de seguridad. Como resultado, el problema de asegurar las computadoras y las redes, lo que solía sólo importarle a un puñado de administradores de sistemas, se ha vuelto lejos una preocupación más grande.

Secuestro Virtual

2009-06-09T14:50:00.003-04:30

Fuente : Anonimo

Ya es demasiado conocida la extorsión telefónica según la cual, alguien llama diciendo que ha secuestrado a un pariente y para liberarlo hay que pagar una suma en efectivo. Esto acaba de ser remodelado, actualizado, ya que la prensa estuvo divulgando como reaccionar ante ello.
Ahora los bandidos están llamando a los celulares, anunciando que fue detectado un clon del aparato:
Así dicen:
- Hola, somos de ( Movistar, Movilnet, Digitel .... ), lamentablemente le informamos que su celular fue clonado, por eso le pedimos apagar su celular por una hora Los que reciben este llamado, apagan inmediatamente su celular creyendo en el excelente servicio de la concesionaria del servicio telefónico. En la siguiente hora, los bandidos se dedican a extorsionar a la familia de la persona llamada. Telefonean a la casa y practican la extorsión del secuestro. Quien recibe la llamada inmediatamente corre a llamar el celular de la persona supuestamente secuestrada y escucha el mensaje:
" El numero que Ud. llama se encuentra apagado o fuera del área de cobertura. "De ahí en adelante toda familia entra en pánico total

Peligros de enviar y recibir cadenas de correo electrónicos

2009-05-15T08:48:00.001-04:30

Elaborado por Freddy Márquez

La mayoría de las cadenas de correos electrónicos están diseñadas para colapsar las redes, robo de identidad e información, virus y realizar ataques masivos a las organizaciones e inclusive aumenta el consumo de ancho de bandas y espacio de almacenamiento, la razón de esto es su capacidad de crecimiento potencialmente exponencial. En nuestro país en los últimos tres (3) años hemos acostumbrado a utilizar este tipo de mensajes como de suerte o surge como mensajes de correo convencional que solicitan al remitente reenviarlo bajo la amenaza de que "romper la cadena" ocasiona mala suerte.
Provocan que se divulgue la dirección de correo de muchas personas, esta razón explica una de las motivaciones de la existencia de las cadenas, más allá del simple ocio. La recopilación de direcciones de correo electrónico, a las cuales posteriormente se les enviará SPAM (correos electrónicos no deseados, con fines comerciales), virus y códigos maliciosos, entre otras cosas.

También por esto, muchas cadenas incluyen la frase "reenvía esto a todos tus correos electrónicos, incluyéndome a mí", a final de cuentas no es nada difícil enviar un mail simulando no ser el primero en haberlo recibido.

Es cierto que técnicamente se puede hacer una revisión de los servidores de correo electrónico por los cuales ha pasado un e-mail para saber quién lo envió, pero tampoco es difícil enviarlo desde una cuenta gratuita, o hacerlo "dar algunas vueltas" por varios servidores antes de lanzarlo a circular por el mundo. Para explicarlo de otro modo... ¿no has notado que pareciera que nunca eres el primero en recibir la cadena?
Pero… alguien tuvo que haber sido el primero ¿no?

En nuestro país este tipo de ataques seguirá aumentando debido a la mejora continua de las técnicas utilizadas. Además, la tendencia apunta hacia un aumento del público objetivo de estos ataques para alcanzar así a organizaciones más pequeñas y menos protegidas e incluso a entidades no financieras.
Por eso, es muy importante aprender a reconocer estas trampas y combinar este conocimiento con las tecnologías disponibles en el mercado

Se puede generar un caos si un grupo terrorista tomase el control de un espacio aéreo, de los servidores de un mercado de valores o el control de algún tipo de armamento puede ser peor que cualquier acción terrorista conocida. Esto lo saben todos los gobiernos. Se han establecido protocolos de protección de este tipo de infraestructuras críticas.En este caso, internet y lo email no sería más que un medio para cometer la acción, ya que ésta se puede ejecutar desde cualquier país contra los intereses de otro sin necesidad de desplazarse.

En Venezuela existen compañías organizadas en espionajes tecnológicos dedicadas a realizar ataques masivos en las organizaciones, muchos se preguntarán: ¿Por qué recibo "spam" en mi correo electrónico...?, una de las causas es precisamente el envío de mensajes en cadena, las empresas principalmente las que ofrecen servicio de pornografía o productos piratas, aprovechan esta modalidad, infiltrándose en las empresas clandestinamente para recopilar información de todas las cuentas de correo electrónico registrado.

Por qué la seguridad en el personal de las organizaciones?

2009-05-08T11:31:00.002-04:30

Elaborado por: Yelitza Rivas, C.I. 12.507.115
Estudiante de postgrado de Auditoria de Sistemas y Seguridad de la Información

Los activos de información a proteger en una organización son: Hardware, Software, RRHH y procesos, pero el principal activo que se debe proteger es el recurso humano porque existen muchos riesgos de hurto, fraude o mal uso de la información por parte del personal. La norma ISO 17799, en la sección 6 establece las medidas que se deben tomar con el personal, ya que son estos los que van a utilizar los sistemas de información y ciertamente el personal que va a trabajar por ejemplo en el centro de cómputo depende, en gran medida de la integridad y lealtad de su personal, por lo que es requisito fundamental al reclutarlos hacerles exámenes psicológicos y médicos y tener en cuenta sus antecedentes de trabajo. Se deben considerar sus valores sociales, su estabilidad, ya que normalmente son personas que trabajan bajo presión y con mucho estrés, por lo que importa mucho su actitud y comportamiento.
El personal de informática debe tener desarrollado un alto sistema ético y de lealtad, pero en la profesión en algunas ocasiones se cuenta con personas que subestiman los sistemas de control, deben existir adecuadas políticas del personal, tales como una adecuada política de vacaciones, ya que esto permite evaluar la dependencia de lagunas personas, otra es la políticas de reemplazo en caso de renuncia de alguna persona permitirá que, en caso necesario, se pueda cambiar a una persona sin arriesgar el funcionamiento de la organización y la política de rotación del personal que disminuya la posibilidad de fraude, en este caso tenemos que si una persona comete un fraude y lo cambian a otra actividad, puede ser fácilmente detectable porque la nueva persona que está en su lugar se pudiera dar cuenta. Estos procedimientos implican altos costos para las empresas pero se pueden detectar a tiempo algunas irregularidades o se puede conocer la honestidad de algunos, o quién es indispensable y quién no.
Otro aspecto relevante es la motivación del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad, lo que disminuirá la posibilidad de ataques intencionados a la organización. Una de las formas de lograr la motivación es otorgarle al personal capacitación y la actualización que se requiera, así como proporcionarle las retribuciones e incentivos justos.
En muchas ocasiones el mayor riesgo de fraude o mal uso de la información está dentro del mismo personal, y la mayor seguridad está en contar con personal leal, honesto y con ética. Para lograr esto se debe contar con personal altamente capacitado, motivado y con remuneraciones adecuadas. Pero también se debe preveer la posibilidad de que exista personal malintencionado, para lo cual se deben tener los controles de seguridad señalados, los cuales deben ser observados principalmente por el personal del área de informática.
Las organizaciones podrán implementar los mejores códigos de ética, manuales de políticas y procedimientos y poner en práctica efectivas medidas antifraude, aun así todos estos mecanismos de control sólo podrá atenuar, mas no evitar la existencia de grandes quiebras y fraudes.
No existen antídotos para eliminar la carencia de valores, las personas no adquieren valores cuando adquieren un título universitario, tampoco lo adquieren como medicamento para inyectárselo. Lo adquieren en su infancia, como parte esencial de: la educación, la cultura, la confianza, el respeto, la autoestima y principalmente el amor que haya recibido en su hogar.

Hacking Ético

2009-04-22T10:47:00.002-04:30

Escrita por Vladimir Baptista estudiante de Postgrado Auditoria y Seguridad de la Información

Históricamente cuando las sociedades desean desestimular una actividad se usa los medios de comunicación para “satanizar” un concepto, una profesión o un oficio. Es el caso, que en mi concepto, se esta viviendo con el término HACKER.Para aquellos que nunca han escuchado el término, un “Hacker Ético” es un individuo que posee conocimientos avanzados sobre intrusión de programas, herramientas para quebrantar la seguridad e Ingeniería Social; es decir, conoce los fundamentos psicológicos sobre los cuales son concebidos los sistemas y la forma como interactúan con los individuos. Su función primordial es la de penetrar los sistemas informáticos de las compañías para las que trabajan antes que otra persona lo logre, encontrar los potenciales agujeros en la seguridad y corregirlos a tiempo a fin de evitar males mayores.En Venezuela aun no se reconoce al hacker ético a nivel profesional, por lo tanto, se pueden reconocer tres áreas laborales en las cuales es posible encontrar un hacker. En primer lugar los profesionales que se encuentran laborando con las empresas de seguridad informática, en segundo lugar están aquellos que trabajan en las áreas de sistemas de las empresas y finalmente, aquellos que se dedican a otras actividades comerciales y aprovechan los espacios fuera de sus trabajo para practicar o divertirse “hackeando”.Formar parte del grupo de hacker éticos es un lugar al que muy pocos pueden acceder, sus tareas se dificultan porque dentro de la cultura hacker es un principio no publicitarse como hacker, en segundo lugar formase como hacker ético no es nada fácil porque actualmente en el país no se dan espacios académicos que permitan formar profesionales de la seguridad de la información en tan diversas áreas de la informática, por lo que la mayoría de ellos se forman de manera empírica.En modo de conclusión, uno de los mitos que más ha entorpecido el desarrollo del hacking ético en Venezuela es el pensamiento de qué todo hacker es un delincuente, por lo tanto, las instituciones educativas evitan estos temas por temor a que sus mismos estudiantes ataquen sus sistemas o para evitar posibles dificultades legales.Puntos a Considerar para contratar los servicios de un Hacker Etico:
Fama del hacker, se debe buscar en Internet su currículo para ver que fallas ha detectado y si nunca ha realizado ataques, porque de lo contrario no puede pertenecer al bando de los blancos.
Firma de un contrato donde se incluya una cláusula de confidencialidad.
La empresa debe recibir un informe de todo lo encontrado y las recomendaciones, pero el hacker no puede quedarse con una copia de ese documento.

Seguridad Linux Vs. Comodidad Windows

2009-04-14T11:50:00.000-04:30

Por Osmar Mavárez estudiante Postgrado Seguridad y Auditoria de Sistemas

“Estoy conciente de los riesgos de ataques a los que estoy sometido utilizando Windows, pero se me hace muy difícil trabajar con Linux, aunque sea mas robusto en lo que concierne a seguridad”. Tales aseveraciones las escucho muy a menudo de personas acostumbradas a la “comodidad” de trabajar bajo ambiente Windows, y que se niegan a la idea de utilizar Linux, y es cierto, a veces también me incluyo cuando (por aquello del decreto 3390 donde se ordena utilizar Software Libre en todas las instituciones publicas y yo trabajo en Venezuela en una de ellas) tengo que programar con un editor de paginas Web llamado Quanta Plus bajo ambiente Linux existiendo herramientas mucho más cómodas de usar bajo ambiente Windows.
Reveladores artículos han desglosado con acierto las razones por las cuales muchos podemos llegar a pensar que Linux es un sistema operativo más seguro que las distintas versiones de Windows. Por consiguiente ha llegado la hora de colocar en una balanza estas dos alternativas de uso, es decir comodidad Vs. Seguridad. A continuación enumero algunas consideraciones que pudieran ser tomadas en cuenta a la hora de tomar una decisión acertada. Pero permítanme decirles que yo me estoy inclinando hacia la seguridad. La propia filosofía de las distribuciones Linux ha ayudado a construir unas soluciones realmente estables y seguras que se afianzan en varios pilares:

Mejor configuraciones de usuarios: Linux fue diseñado como un sistema operativo multiusuario. Si por desgracia se ejecutara un código malicioso afectaría sólo al usuario que está utilizando el sistema, en cambio en Windows, alguien logueado como administrador provocaría que el problema afecte a todos los usuarios. Estas violaciones a Windows tienen que ver mucho con las diferencias de diseño basado en seguridad de ambos sistemas operativos. Windows ha sido una evolución paulatina de MS-DOS, al cual el tema de seguridad se le ha ido añadiendo con el paso del tiempo, y por tanto nunca ha sido una parte fundamental de su arquitectura.
Mejores herramientas de gestión.
Las actualizaciones de Linux afectan a todos los componentes, mientras que en Windows cada aplicación debe ser actualizada y parcheada por separado.

Arquitectura Open Source
Linux, a diferencia de Windows tiene su código fuente (es decir, el programa que define el sistema operativo) totalmente abierto y libre, lo que significa que cualquiera puede inspeccionar el código, y por tanto mejorarlo y hacerlo mas fuerte, así como poder corregir errores mas rápidamente. El otro lado de la moneda a este argumento es que un sistema al cual los hackers no tengan el código fuente, como Windows, no se puede inspeccionar tan fácilmente, y hay que recurrir mas a ingeniería inversa y ataques automatizados o guiados para descubrir fallas, que puede ser un proceso mas lento. Sin embargo, el consenso mas o menos general en la industria es que en temas de seguridad es preferible tener acceso al código, pues se ha demostrado que "seguridad escondiendo código" no es seguridad, ya que eventualmente esos agujeros latentes se encuentran y se explotan (como ocurre a diario con Windows).

Mejores herramientas para la protección contra ataques Zero-Day: los ataques basados en vulnerabilidades que no han sido corregidas por los fabricantes y desarrolladores a tiempo y que los exploits aprovechan son menos peligrosos en Linux. Herramientas como SELinux o AppArmor proporcionan un control de seguridad con una granularidad muy alta.

El sistema mas atacado exitosamente en Internet es Windows.
Los hackers tienen mucho mas experiencia acumulada atacando a Windows, por lo que quizás el tema de que sea "mas fácil" atacar a Windows sea un ilusión. Sin embargo aparenta por ahora que no es una ilusión y que estas violaciones a Windows tienen que ver mucho con las diferencias de diseño basado en seguridad de ambos sistemas operativos.

Entorno muy diverso: mientras que en Windows el entorno es único y los exploits se extienden fácilmente gracias a que funcionan por ser muy genéricos, las distintas versiones de Linux y de sus aplicaciones hacen más complicado el desarrollo de exploits que tengan un gran potencial.

Diseño modular: Si un componente del sistema está fallando o es vulnerable, es más fácil desactivarlo para que no dé problemas. En cambio en Windows, por ejemplo, si tienes problemas de seguridad con Internet Explorer, no puedes desinstalarlo por separado.

Si tomamos en consideración los 7 puntos anteriores, y alguien me preguntara cual es mas seguro, mi respuesta sería Linux, sin importar que sea por razones técnicas o no, tan solo el tema de que Windows posea alrededor de un 90% del mercado lo hace muy llamativo para los hackers, lo que significa un problema de seguridad mayor para tu hogar y/o organización.

No es coincidencia, pero les juro que cuando estaba finalizando este artículo, por cierto en una máquina Windows, de forma imprevista la pantalla de mi computador se puso negra a consecuencia de un ataque de virus, por suerte había grabado mi artículo en una memoria externa, porque no se pudo levantar el Sistema Operativo. Estas debilidades de me inclinan a recomendar a todos aquellos usuarios de Windows que no estén muy conformes con la “seguridad” que este les genera, comiencen a considerar muy en serio la posibilidad de aprender y utilizar Linux como herramienta segura y provechosa.

Administración de las contraseñas. Internautas usan una contraseña para todos

2009-04-06T09:54:00.003-04:30

Realizado por Emma Rosa Juárez Uzcategui.
Estudiante Postgrado auditoria de sistemas y seguridad de la información.

El uso de una sola contraseña facilita al ciberdelincuente probar diferentes accesos a cuentas, incluso a la banca online, para el robo de información.
Diario TI: Sophos recomienda a todos los internautas que piensen en la eficacia de sus contraseñas y que se aseguren de que son diferentes para cada una de las cuentas web que tienen abiertas. El objetivo es proteger sus identidades corporativas y personales y así frustrar los intentos de los hackers de apropiarse de ellas.”Internet"
Considero que de acuerdo a la cantidad de robo de información que se ha venido presentando es responsabilidad de cada uno de nosotros de conservar activas las cuentas de los sistemas y sitios a los cuales accedemos, recordar nuestras contraseñas y seleccionar contraseñas difíciles de adivinar, en especial si manejamos información confidencial o si atendemos a los clientes de cualquier institución. Por ello, a continuación brindo una serie de recomendaciones que espero sean de gran beneficio, tanto para elegir una contraseña como para recordarla:
Elija una contraseña que no se asocie abiertamente a usted
No use su nombre, el nombre de su cónyuge, los nombres de sus hijos ni los nombres de sus mascotas.
No use el nombre de la marca de su automóvil.
No use números de teléfono ni fechas especiales (aniversarios, cumpleaños y otras por el estilo).
Elija una contraseña que no conste en el diccionario (deletreada al derecho o al revés). Los programas para descifrar contraseñas pueden utilizar listas de palabras de los diccionarios.
Invéntese una palabra que sea un disparate.
Escriba mal una palabra de forma intencionada.
Coloque para su contraseña, algunas sílabas de una canción o frase que a Usted le guste.
Es recomendable que si se va anotar la contraseña no se haga en sitio que sea de fácil acceso por persona no autorizadas. Ya que las contraseña deben ser privadas.

Amenaza de la inyección de SQL en la organización

2009-03-27T18:14:00.000-04:30

Realizado por Rafael A. Malpica V
Estudiante Postgrado en Seguridad de la Información

La inyección SQL es una técnica de hackeo el consiste en injertar código malicioso dentro de un código limpio con el propósito de alterar los datos y por ende mostrar información incorrecta. Estos tipos de ataques son muy comunes en la web. Esta amenaza de seguridad se debe principalmente a fallas por parte del programador que no es capaz de establecer filtros adecuados en los campos de un formulario. Numerosos sitios web han sido atacados valiéndose de este método. Esta técnica consiste básicamente de colocar dentro de un campo formulario web una sentencia de SQL de una forma tal que el servidor lo interprete como si fuera parte del código original, por eso se le llama inyección.
El objetivo de este ataque principalmente es para dañar datos, también se usa para obtener información confidencial, para luego ser usada por el atacante o ser vendida a terceros.
Muchas web famosas en el mundo han sido víctima de estos ataques como por ejemplo la web de las naciones unidas. Como se menciono anteriormente estos ataques son posibles gracias a la inexperiencia del programador web.
Las organizaciones utilizan la internet como medio para ofrecer sus productos, servicios y también lo usan para dar una imagen corporativa y expandir sus negocios en el mundo. El tener un personal inexperto encargado en elaboración de un WEB por tan sencillo que parezca realizar una web implica un riesgo alto en especial si se habla de una organización altamente automatizada.
Los directivos de muchas organizaciones desconocen realmente el significado de la seguridad de la información y no dicta los mejores controles al momento de contratar el personal encargado de desarrollar aplicaciones web. Suelen contratar a cualquiera con conocimiento mínimo ya que ellos considera erróneamente es una tarea sencilla.
La solución es relativamente sencilla, el programador debe establecer métodos eficientes para filtrar los datos que los usuarios coloquen en los formularios, establecer solo los permisos necesarios de acceso a la base de datos. Es importante destacar que la web no puede tener acceso a la base de datos con privilegios administrativos ya que el riesgo se hace mucho mayor.
Una de las recomendaciones que se le puede dar a la organización es que sea más selectivo al momento de contratar a personal para crear un sitio web o contratar un outsourcing de reconocida trayectoria.

Integridad, Redondeos y Valores éticos

2007-10-14T18:31:00.000-04:00

Escrita por Freddy Márquez
Las bandas de delincuencia organizada en Venezuela están muy pendientes de los cambios que se efectuaran a partir de Enero 2008 relacionados a la nueva moneda los sectores públicos y privados deben considerar los riesgos asociados a garantizar la integridad y consistencia de la información que representa el activo mas importante ubicados en las tecnología de información y su infraestructura. Con el tiempo, la mayoría de la gente ha perdido la capacidad de identificar los signos, determinar la probabilidad, la validez, y el impacto de ciertas amenazas y riesgo. Muchas amenazas y riesgo son presentados de modos sutiles y por lo general los pasamos por alto.

Para ello se debe asegurar los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento.

Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI. Para tal fin, las empresas deberán diseñar formatos de entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creación de los datos.

Este proceso deberá controlar los documentos fuentes (de donde se entran los datos), de manera que estén completos, sean precisos y se registren apropiadamente. Se deberán crear también procedimientos que validen los datos de entrada y corrijan o detecten los datos erróneos, como así también procedimientos de validación para transacciones erróneas, de manera que éstas no sean procesadas. Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y recuperación de datos, teniendo un registro físico (discos, disquetes, CDs y cintas magnéticas) de todas las transacciones y datos manejados por la organización, albergados tanto dentro como fuera de la empresa.

En nuestro país se anuncio a partir de Enero del 2008, se sustituirá la moneda oficial de la República Bolivariana de Venezuela, por una nueva denominada Bolivar Fuerte, cuyo valor equivale a mil bolívares actuales.
Esta es una medida esta orientada a controlar la inflación. Sin embargo los críticos de la medida indican que es simplemente una medida psicológica, que no tendrá mayores beneficios sin acompañarla de otras medidas de tipo fiscal y monetaria (como controlar el gasto público). Por otro lado, destacan su alto costo, en términos de costo (de sustituir monedas y billetes, y tener que adecuar los sistemas bancarios y relacionados), confusión y redondeo.

La industria del software se encuentran en apuros a fin de cumplir con esta medida en todas las organizaciones en Venezuela, sin embargo debemos de recordar que las estadísticas de fraude en nuestro país mencionan que existen compañías de delincuencia esperando descubrir debilidades en la administración de los sistemas y cometer hechos que impacten los balances de las empresas y clientes.

Por ello es necesario ubicar asesores que contribuyan asegurar el debido control en los sistemas informáticos lugar donde reside la información, incrementando los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello las empresas deberán establecer los estatutos para la función de auditoria, destacando la responsabilidad, autoridad y obligaciones de la auditoria. El auditor deberá ser independiente del auditado, esto significa que los auditores no deberán estar relacionados con la sección o departamento que esté siendo auditado y en lo posible deberá ser independiente de la propia empresa. Esta auditoria deberá respetar la ética y los estándares profesionales, seleccionando para ello auditores que sean técnicamente competentes, es decir que cuenten con habilidades y conocimientos de eficiencia en la auditoria.
Administrar cambios.
Minimizar la probabilidad de ruptura, alteraciones no autorizadas y errores. Tener un sistema de manejo que provea análisis, implementación y seguimiento de todos los cambios pedidos e implementados en la infraestructura de TI
Entrega, Mantenimiento y soporte
Se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación
Integridad y valores éticos
Tiene como propósito establecer pronunciamientos relativos a los valores éticos y de conducta que se espera de todos los miembros de la Organización durante el desempeño de sus actividades, ya que la efectividad del control interno depende de la integridad y valores de la gente que lo diseña y lo establece.

Es importante tener en cuenta la forma en que son comunicados y fortalecidos estos valores éticos y de conducta. La participación de la alta administración es clave en este asunto, ya que su presencia dominante fija el tono necesario a través de su empleo. La gente imita a sus líderes.

Debe tenerse cuidado con aquellos factores que pueden inducir a conductas adversas a los valores éticos como pueden ser: controles débiles o requeridos; debilidad de la función de auditoria; inexistencia o inadecuadas sanciones para quienes actúan inapropiadamente.

Manejo de los Riesgos

Para ello se logra la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos y se toma en consideración:

Ø Identificación, definición y actualización regular de los diferentes tipos de riesgos de TI (por ej.: tecnológicos, de seguridad, etc.) de manera de que se pueda determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable.
Ø Definición de alcances, limites de los riesgos y la metodología para las evaluaciones de los riesgos.
Ø Actualización de evaluación de riesgos
Ø Metodología de evaluación de riesgos
Ø Medición de riesgos cualitativos y/o cuantitativos
Ø Definición de un plan de acción contra los riesgos para asegurar que existan controles y medidas de seguridad económicas que mitiguen los riesgos en forma continúa.
Ø Aceptación de riesgos dependiendo de la identificación y la medición del riesgo, de la política organizacional, de la incertidumbre incorporada al enfoque de evaluación de riesgos y de que tan económico resulte implementar protecciones y controles.

Administración de Proyectos

Para ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. Además, la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido y se toma en consideración:

Ø Definición de un marco de referencia general para la administración de proyectos que defina el alcance y los límites del mismo, así como la metodología de administración de proyectos a ser adoptada y aplicada para cada proyecto emprendido. La metodología deberá cubrir, como mínimo, la asignación de responsabilidades, la determinación de tareas, la realización de presupuestos de tiempo y recursos, los avances, los puntos de revisión y las aprobaciones.
Ø El involucramiento de los usuarios en el desarrollo, implementación o modificación de los proyectos.
Ø Asignación de responsabilidades y autoridades a los miembros del personal asignados al proyecto.
Ø Aprobación de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase.
Ø Presupuestos de costos y horas hombre
Ø Planes y metodologías de aseguramiento de calidad que sean revisados y acordados por las partes interesadas.
Ø Plan de administración de riesgos para eliminar o minimizar los riesgos.
Ø Planes de prueba, entrenamiento, revisión post-implementación.

Administración de la calidad

Para ello se realiza una planeación, implementación y mantenimiento de estándares y sistemas de administración de calidad por parte de la organización y se toma en consideración:

Ø Definición y mantenimiento regular del plan de calidad, el cual deberá promover la filosofía de mejora continua y contestar a las preguntas básicas de qué, quién y cómo.
Ø Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de aseguramiento de calidad tales como revisiones, auditorias, inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general de calidad.
Ø Metodologías del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo, adquisición, implementación y mantenimiento de sistemas de información.
Ø Documentación de pruebas de sistemas y programas
Ø Revisiones y reportes de aseguramiento de calidad

La Toma de decisiones acertadas en Venezuela, modo de alcanzar economía de escala en el 2007

2007-07-29T01:56:00.000-04:00

Escrita por Freddy Márquez

Debido a la situación difícil que atraviesa el país y los avances tecnológicos que se han experimentado en el área de informática los organismos del estado y empresas privadas adoptaron nuevas metas que se presentan utilizando el recurso del computador como medio para lograr un mayor control del negocio, reducir los costos operativos e informar a las áreas estratégicas de la organización. En la actualidad las empresas están preocupadas y muy dispuestas a dar todos los recursos necesarios para que las organizaciones rescaten y restauren el espíritu y conciencia de sus estructuras y comunicación, y brinden así un servicio que esté a tono con los requerimientos y las expectativas de la población.

Las promesas y compromisos que hacen los gobernantes en sus campañas presidenciales, incluyen su firme propósito de revitalizar y dar una mejor imagen al servicio y a la capacidad de respuesta que tienen las empresas estatales y centrales, pero muchas veces su empeño y decisión no puede verse cristalizado debido a factores internos que les impiden hacer realidad sus promesas y tienen que conformarse con algunas pequeñas mejoras paliativas, que en muchos casos no resuelven los problemas en su totalidad y vienen a generar nuevos y mayores problemas en el futuro, agudizando la labor de los sucesores en la conducción empresarial.

En ciertas regiones de nuestro país, no se toman decisiones acertadas, basadas en la frialdad y objetividad de los datos, mas que intuiciones, deseos y esperanzas. El modo para obtener la información, su fiabilidad y darles una interpretación adecuada, es indispensable para no causar otro problema que presentan la información, es su aceptación por parte de los miembros de la organización. Los datos, son fríos y basados en hechos reales. Por tanto, son objetivos. Quien no quiera aceptar los resultados, debe de realizar un esfuerzo para mejorar por si mismo los datos, hasta obtener el resultado esperado o exigido.

No hay que perder el tiempo, ni perderse en recriminaciones si los datos son negativos. En Venezuela algunos miembros de la organización, han de autoanalizarse con la ayuda del resto del colectivo para intentar mejorar los resultados. Conseguir las metas y objetivos marcados en el plan de la organización. No hay que tener reparo en tratar estos temas, ni sentir vergüenza. El intercambio de información, positiva o negativa, debe de fluir por la organización. Han de señalarse los defectos y poner un pronto remedio sin perjudicar a ningún miembro o proceso de la organización. Los hechos, son los hechos. Y es responsabilidad de todos aceptarlos y ponerles remedio.

A mayor calidad de la información, mejor calidad en la toma de decisiones. Se pueden seguir criterios analíticos cuantificables y exactos, si se tiene información perfecta. La información, vale tanto como el beneficio, o ausencia de pérdidas que se obtengan en base a esa información.
El delito y la desinformación consisten en el mal uso de un cargo o función con fines no oficiales y se manifiesta de las siguientes formas: el soborno, la extorsión, el tráfico de influencias, la utilización de la información falsa para desviar la atención y lograr objetivos particulares, el fraude, el pago de dineros a los funcionarios de empresas publicas y privadas para acelerar trámites de asuntos comerciales que correspondan a su jurisdicción, pagos de dinero para demorar u omitir trámites o investigaciones, y el desfalco. Uno de los elementos que más favorece a la corrupción, es la impunidad. Para evitar que esto suceda, se han recurrido a los peritajes como una actividad procesal, bajo un encargo judicial, elaborada por personas diferentes a las partes del proceso, altamente calificadas por sus conocimientos técnicos, artísticos o científicos, mediante el cual se suministran al juez razones para la formación de su convencimiento respecto de ciertos hechos cuya percepción o entendimiento escapan a las aptitudes del común de las personas.

En determinadas circunstancias los altos ejecutivos empresariales son responsables de informar sobre actos ilícitos directamente a los interesados externos existentes en las empresas. Por ello, las leyes, regulaciones o políticas exigen que éstos informen de manera rápida sobre los indicios de cierto tipo de actos ilícitos que encuentren, a fin de ser entregados a las entidades fiscalizadoras de investigación que corresponda.

2007-07-09T13:06:00.000-04:00

Practicas forenses para prevenir los ataques de fraudes electrónicos a las empresas e instituciones financieras

2007-06-25T16:58:00.000-04:00

Escrita por Freddy Márquez

Desde principios de año se incremento en Venezuela empresas especializadas en la última corriente dentro de la seguridad informática: el análisis forense. Importado de los EEUU, estas técnicas tienen su mayor aplicación en el marco legal, donde sirven para obtener evidencias informáticas para apoyar casos de delitos informáticos principalmente.

Este campo de la seguridad es tremendamente heterogéneo e interesante. Analizar un entorno atacado y comprometido es un desafiante ejercicio de aplicación de ingeniería inversa, para el cual es necesario tener gran conocimiento del funcionamiento de los sistemas involucrados, las técnicas de ataque y los rastros que dejan las mismas, tan presentes están actualmente estas técnicas de análisis en el mundo del cibercrimen, que incluso comienzan a aparecer herramientas anti-forensics, es decir, herramientas y técnicas que intentan no dejar rastros, camuflarlos o borrarlos, de tal manera que se dificulte una posterior investigación.

Una aproximación al problema

Nunca antes los inventos habían cambiado las cosas tan rápidamente hace solo 150 años la velocidad de un caballo era la velocidad de la informaciónhace 100 años nuestra capacidad de almacenar información dependía de la cantidad de papel ahora podemos almacenar cualquier cantidad de información y formatos, todo se cataloga y se interrelaciona además es accesible para todo el mundo y desde cualquier lugar, en segundos

Según el FBI la informática forense es la ciencia de adquirir, preservar, atener y presentar datos que han sido procesado electrónicamente y guardados en medios electrónicos.Sin embargo la importancia real de la informática forense proviene de sus objetivos reales. Podemos decir que los objetivos son: la compensación de los daños causados por los criminales o intrusos la persecución y procesamiento judiciales de los criminalesla creación y aplicación de medidas para prevenir casos similares.Actualmente la informática forense esta relacionado con: persecución criminal: evidencias incriminatorias para ser usadas en una amplia variedad de crímenes desde homicidas, fraude, pornografía infantil, etc. litigios civiles: casos tales como fraudes, discriminación, acoso, etc.

Un ejemplo de la utilización forense es que todos los gobiernos de mundo están interesados en saber lo que están haciendo otros países, sus agencias de inteligencia no serían tales si no aprovechan estos medios de acceso en computadores para sus propósitos de obtención de información. son utilizados para estos fines, individuos como los señalados anteriormente, en el año 1.988 la KGB pagó en cocaína a unos hackers alemanes para que accesaran los servidores de los laboratorios livermore de usa y obtuvieran información sobre el sistema antimisiles.

Se puede generar un caos si un grupo terrorista tomase el control de un espacio aéreo, de los servidores de un mercado de valores o el control de algún tipo de armamento puede ser peor que cualquier acción terrorista conocida, esto o saben todos los gobiernos. se han establecido protocolos de protección de este tipo de infraestructuras críticas. en este caso, Internet no sería más que un medio para cometer la acción, ya que ésta se puede ejecutar desde cualquier país contra los intereses de otro sin necesidad de desplazarse.

En los últimos meses en Venezuela el INDECU y los organismos del estado ha observado el crecimiento acelerado de los fraudes cometidos por los hechos de clonación de tarjetas de debito y otros delitos electrónicos, por lo cual es necesario insertar correctivos de control para detener estos delitos, mediante la utilización de la informática forense cátedra que dicto una Universidad relacionada con el area de la Criminalistica y Ciencias Policiales, donde tengo la tan elevada responsabilidad de actualizar y educar en esta área en la utilización de metodos, estrategias y herramientas que demuestren los eventos y riesgos, así como también la identificación de responsables en cada hecho.

En Venezuela es necesario invertir en la instalación de laboratorios forenses que permitan la utilización de todas las herramientas que faciliten en la investigación criminalistica, que por lo general tiene algunas limitaciones:

Ø Lo intrincado de las cuestiones técnicas suelen ser de difícil interpretación a los profesionales abogados .
Ø El autor de la irregularidad, es una persona idónea, realiza la maniobra en un modo de difícil descubrimiento.
Ø El malhechor mantiene para sí algún elemento de extorsión.

Donde están los inconvenientes:
Ø En la dificultad de valorar la prueba.
Ø En la dificultad de probar la responsabilidad del autor.
Ø La presión ejercida por el delincuente por la sustracción de soportes magnéticos, documentación, etc. Con información crítica o sensible de la víctima.

Plan para prevenir fraudes informáticos
Ø Identificar riesgos
Ø Identificar y definir con mas detalle la visión del ambiente
Ø Identificar el proceso de transformación
Ø Considerar tendencias de la organización y tecnológicas.
Ø Desarrollo de plan de control de delitos informáticos
Ø Implantación
Ø Control y seguimiento.
Ø Comprender la existencia de la evidencia en formato digital.
Ø Asegurar la integridad de la evidencia recolectada
Ø Comprensión de los computadores y su operación
Ø Reconocimiento de la evidencia digital
Ø Cómo se modifica, quién la modifica, quién es su dueño
Ø Cantidad de evidencia recolectada
Ø Habilidades técnicas y procedimientos forenses y el manejo y control de los documentos electrónicos.

Cuál es el fin de la prueba?

El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso, al igual que un documento normal, la evidencia electrónica debe cumplir las siguientes condiciones:
Ø Compuesto por un texto, tenor o contenido
Ø Contenido relevante al ámbito jurídico: construido para ser usado
Ø Un autor claramente identificado
Ø Origen y originalidad
Ø Carácter de durabilidad o permanencia superior al objeto que representa
Ø Transportable

Retos legales
Ø Comprender de manera cercana el fenómeno informático y sus implicaciones en las conductas criminales.
Ø Buscar elementos probatorios, apoyados en mecanismos informáticos que, permitan ofrecer validez y originalidad a un documento electrónico.
Ø Desarrollar habilidades técnico-forenses para integrar la investigación criminal con las técnicas computacionales de protección.
Ø Establecer un conjunto de directrices generales que vinculen acciones sobre objetos y principios de seguridad informática, a los bienes jurídicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delincuencia informática.
Ø Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislación en el área informática.

Retos técnicos
Ø Desarrollar prácticas y procedimientos de programación que busquen disminuir los problemas de seguridad en los productos de software y hardware.
Ø Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los productos entregados.
Ø Conciencitizar sobre las responsabilidades jurídicas de los ingenieros:
Ø Definir prácticas y políticas de seguridad informática, como pruebas preconstituidas para la organización.
Ø Establecer un programa interdisciplinario que incorpore en la formación técnica, las consideraciones legales.
Ø La computación forense como un puente para comprender las pruebas judiciales y su impacto en el mundo informático.

Aunque depende en gran medida del tipo de organización, se puede mencionar que los Fraudes y sabotajes son los delitos de mayor incidencia en las organizaciones. Además, aquellos que no están claramente definidos y publicados dentro de la organización como un delito (piratería, mala utilización de la información, omisión deliberada de controles, uso no autorizado de activos y/o servicios computacionales; y que en algún momento pueden generar un impacto a largo plazo).

Pero si se examina la otra perspectiva, referente a los delitos de difícil detección, se deben situar a aquellos producidos por las personas que trabajan internamente en una organización y que conocen perfectamente la configuración interna de las plataformas; especialmente cuando existe una cooperación entre empleados, cooperación entre empleados y terceros, o incluso el involucramiento de la administración misma.

Conductas dirigidas a causar daños lógicos

El segundo grupo, más específicamente relacionado con la técnica informática, se refiere a las conductas que causan destrozos «lógicos», o sea, todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático.

Este tipo de daño a un sistema se puede alcanzar de diversas formas. Desde la más simple que podemos imaginar, como desenchufar el servidor de la electricidad mientras se esta trabajando con él o el borrado de documentos o datos de un archivo, hasta la utilización de los más complejos programas lógicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su posibilidad de destruir gran cantidad de datos en un tiempo mínimo.

Estos programas destructivos, utilizan distintas técnicas de sabotaje, muchas veces, en forma combinada. Sin pretender realizar una clasificación rigurosa de estos métodos de destrucción lógica, podemos distinguir:

Bombas lógicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a una hora determinada), o por la aparición de determinada señal (que puede aparecer o puede no aparecer), como la presencia de un dato, de un código, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el programa como la señal para empezar a actuar.

La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado programó el sistema de tal forma que los archivos de la empresa se destruirían automáticamente si su nombre era borrado de la lista de empleados de la empresa.

Otra modalidad que actúa sobre los programas de aplicación es el llamado «cáncer de rutinas» («cancer routine»). En esta técnica los programas destructivos tienen la particularidad de que se reproducen, por sí mismos, en otros programas, arbitrariamente escogidos.

Una variante perfeccionada de la anterior modalidad es el «virus informático» que es un programa capaz de multiplicarse por sí mismo y contaminar los otros programas que se hallan en el mismo disco rígido donde fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contacto a través de una conexión.

Para todo esto y mucho más es necesario utilizar la informática forense, así que invito a todas las empresas Venezolanas que ha sido victimas de delitos informáticos a invertir en controles y herramientas de seguridad a fin de detectar y prevenir los ataques masivos están de moda en Venezuela en los últimos meses,

Saludos cordiales,
Freddy Márquez / freddy_marquez@cantv.net

La Educación y la Sociedad del Conocimiento en Venezuela

2007-06-25T16:55:00.000-04:00

La gestión del conocimiento como base de la educación

Escrita por Freddy Márquez
La creatividad es necesaria para hacer las cosas de una manera más simple, y para brindarle más valor a la sociedad. Reconocer a quienes las producen, aun cuando decidamos no utilizarlas. Sin creatividad, explica, lo que hacemos se convierte en un producto indiferenciado, y la competencia se plantea exclusivamente en términos de precio.
Considero que, así como en los años ’90 el ímpetu estaba puesto en Internet, hoy existe la sensación de que hay que crear valor. No basta con moverse alrededor de la tecnología y decir "esto es nuevo", también hay que demostrar que las nuevas ideas poseen valor.
Ahora bien, ¿podemos decir que se está conformando una sociedad del conocimiento? ¿En el Mundo?. Es incontestable que la información cumple un papel fundamental en la sociedad. En Venezuela resulta cuestionable la aplicación de algunas de esas categorías, que pudieran llamarse “Sociedad de los malos hábitos”, pues desde hace muchos años nosotros los venezolanos nos dedicamos a copiar ideas de otras personas y nos enfrentamos aquí al problema de las modas y del uso de términos para generar efectos discursivos. Es necesario aplicar en nuestro país, modelos que incrementen Pensamiento y Acción operen dentro de un terreno conceptual pero de una manera práctica.
Conocimiento, información y dato constituyen tres niveles descendentes de organización del sentido que no deben confundirse. Ante la vieja discusión de que circula por las redes telemáticas, debemos admitir que fluyen tanto el conocimiento como la información y los datos. Ahora bien, ¿podemos decir que se está conformando una sociedad del conocimiento?.¿No nos tendríamos que replantear, en este caso, el problema del acceso? Es innegable que nos encontramos en una sociedad transicional, que ha recibido múltiples denominaciones y etiquetas. Es incontestable que la información cumple un papel fundamental en esa sociedad. Ahora bien, resulta por lo menos discutible la aplicación de algunas de esas categorías a la sociedad venezolana, que más valdría llamarse "sociedad de la confusión",
En buena medida los conocimientos que adquiere un estudiante, le llegan a través de la lectura. Durante el proceso de enseñanza-aprendizaje, desde la primaria hasta la educación postgraduada, se necesita leer una variada gama de textos para apropiarse de diferentes conocimientos y la importancia del hecho, no sólo radica en el contenido, sino en la cantidad, el estilo y hasta los propósitos de cada lectura. Con frecuencia, los profesores consideran que los alumnos saben leer, porque saben, o pueden visualizar los signos y repetirlos oralmente, o bien porque tienen la capacidad para decodificar un texto escrito. Sin embargo, decodificación no es comprensión, que sería un primer nivel de lectura, con lo cual no debe conformarse el docente, ni el estudiante. Sería conveniente, pues, preguntarnos: ¿Cuántos profesores exigen a sus alumnos, leer? ¿Qué cantidad de páginas se espera que un estudiante lea en determinados períodos?. Pero, y lo que es igualmente, o más importante: ¿Qué se espera que haga un estudiante con la lectura que realiza? ¿Somos conscientes de que orientamos y estimulamos eficientemente la lectura y comprensión de textos escritos a nuestros alumnos?.
Actualmente, infinidad de personas se cuestionan cuál será el propósito de la vida. Hay gente que ya está cansada de vivir, no tienen ninguna esperanza. Otros se esfuerzan en amasar fortunas pues piensan que esto es lo que da felicidad. Otros tienen riqueza, pero no tienen salud y esto los hace infelices. La conciencia clara ante mí y ante los demás. Es el conocimiento de lo que está bien para nuestra propia conducta y para nuestra relación con los demás. Aquí no cabe la hipocresía. Honestidad es hablar de lo que se piensa y hacer lo que se dice. Debe haber honestidad en el corazón y en la cabeza. Una persona honesta sabe apreciar los recursos que la naturaleza nos ha confiado: la mente, el cuerpo, su riqueza, su tiempo, su talento, sus conocimientos, etc. Si se es honesto hay que usar bien lo que se nos confía; usar estos recursos en el bien de las necesidades humanas básicas morales y espirituales de todas las personas: La persona comprometida con el desarrollo y con el progreso mantiene la honestidad como un principio constante para la construcción de un mundo de paz y cada vez mejor.
La ausencia de esa cultura de la información no debe imputarse sólo al estado. En una investigación reciente en el campo de las tecnologías de la información y la comunicación, constaté que un sector que en otros países se ha constituído en terreno de compra, venta y alquiler de bases de datos, aquí es simplemente inexistente. Las empresas prefieren construirlas por cuenta propia porque la mayoría de las bases que se encuentran tienen datos inexactos o desactualizados.
Según estudios especializados, el estado de los archivos históricos de nuestras entidades oficiales regionales es deplorable, porque no cuentan con la infraestructura física y las técnicas adecuadas para su conservación.
Muchos interpretan la responsabilidad como una carga, el peso de algo que hay que cumplir o hacer. Una persona responsable actúa motivada por cumplir con el trabajo que se le asigna y permanece fiel al objetivo que se desea alcanzar. Actúa como un instrumento o facilitador. Cuando se desempeña una función con eficiencia y efectividad den como resultado la satisfacción y la alegría de haber cumplido.
Freddy Márquez, Freddy_marquez@cantv.net
"...Siempre será necesario que los cultores de la belleza y del bien, los consagrados por la desdicha se acojan al mudo asilo de la soledad, único refugio acaso de los que parecen de otra época, desconcertados por el progreso..."

José Antonio Ramos Sucre1890 -1930

Las Bandas de delincuencia Organizada en Fraudes Electrónicos en Venezuela

2007-06-25T16:50:00.000-04:00

Escrita por Freddy Márquez

En la experiencia policial, y en la atención de los hechos y denuncias por delitos cometidos por “clonadores” de tarjetas, se determina que al menos hay cuatro formas de fraudes.
El primero se basa en la obtención del Número de Identificación Personal (NIP); el segundo renglón es ocupado por las tarjetas perdidas o robadas; también existe la duplicidad en el cobro de una misma transacción en un establecimiento y por último, las falsificaciones.
Los fraudes con las tarjetas de débito se pueden cometer con el plástico original o con una tarjeta apócrifa. Lo que importa es el contenido de la banda magnética.

Cuando se escucha la palabra clonar, lo frecuente es imaginar una tarjeta gemela o idéntica a la legítima. Sin embargo, una clonación de tarjeta es copiar el contenido de la banda magnética, donde reside toda la información de la cuenta. La amenaza fantasma está a la orden del día. En su ataque, los “clonadores” de tarjetas utilizan el factor sorpresa, el abaratamiento de las tecnologías y la ignorancia de las autoridades para actuar. La “guerra clónica” rebasa los límites: instituciones bancarias y tarjetahabientes sufren los estragos y se reacomodan para no perder la batalla.

2003 y 2004 los años de “clonadores” de tarjetas, preferentemente de crédito, una red internacional de defraudadores venezolanos actuó en diferentes partes de la República Mexicana. Con la detención de los venezolanos se logró el análisis de los procesos realizados por estos para realizar los actos fraudulentos cuando los usuarios acuden a un cajero a retirar efectivo y al introducir la tarjeta en la lectora del equipo.

Los defraudadores manejan unos dispositivos, que son realmente muy pequeños, incluso algunos son disfrazados como beeper o computadora de mano, hasta de cajetillas de cigarros; los traen en sus bolsillos, en el cinturón o simplemente en la mano y donde principalmente ocurren los fraudes es en restaurantes. Y es que en los restaurantes es el lugar más común, en donde los clientes pierden vista por unos momentos su tarjeta. Los restaurantes son el lugar más fácil en donde se puede dar la clonación de las tarjetas, sin embargo el uso de la tarjeta ya clonada es mayor en supermercados, sobretodo por la variedad de artículos que las bandas defraudadoras pueden comprar, desde alimentos hasta una televisión de pantalla gigante.
Estas bandas internacionales y regionales de clonadores de tarjetas de debito, operan mayormente en los días de asueto dado que el flujo de efectivo y movimientos con tarjetas de debito se incrementa en esta época, por lo que autoridades, continuamente lanzan llamados de alerta a usuarios de la banca para que tomen medidas adicionales en el uso de plásticos y se resguarden de nuevos mecanismos de alta tecnología usados para falsificar el llamado "dinero plástico".
Los mecanismos sofisticados usados por clonadores en cajeros automáticos, que incluyen dispositivos que identifican y copian la información del plástico, la almacenan al momento de que el usuario introduce su tarjeta en el cajero y la trasmiten a unos 200 metros del propio banco.
En este proceso, las bandas de clonadores están utilizando incluso microcámaras para que al momento que los clientes del cajero marcan el NIP, pueda ser grabado a favor de la delincuencia.
Este sofisticado mecanismo, que ya utilizado por bandas de clonadores, permite no sólo recabar la información de la tarjeta, sino contar con saldos y el Número de Identificación Personal.

En el caso de los estafadores Venezolanos en México, se habían robado ocho millones de pesos, en 38 diferentes fraudes cibernéticos. Agentes del Grupo Bancario y de la Unidad Orgánica de Robos y Asaltos de la ciudad de México, detuvieron en flagrancia a integrantes de la banda cuando intentaban colocar un aparato en un cajero para “clonar” tarjetas.

Esta banda internacional le incautaron pasaportes con visas de varios países. Se les recogió su equipo de cómputo, su equipo para trampear lo que son los cajeros automáticos y una lista muy extensa con números de tarjetas de débito que supuestamente ya “clonaron” para sacar dinero de los cajeros automáticos.

Los fraudes con tarjetas de débito dejan pérdidas millonarias a las instituciones bancarias, afectan fuertemente la industria local, sobre todo restaurantes y provocan una verdadera crisis, tanto emocional como económica, en los usuarios, sin embargo, no es tipificado como delito grave en Venezuela.

Las tarjeta de débito como un plástico que las Instituciones Financieras autoriza a las instituciones de crédito a emitir para que los Usuarios puedan retirar fondos de una cuenta bancaria de cheques o de ahorros sin hacer uso del crédito.
Esta tarjeta contiene números que sólo pueden descifrarse a través de un programa especial que tiene la institución bancaria . La firma se pacta en el contrato que se ha celebrado con el banco y se sustituye por una firma electrónica denominada NIP (número de identificación personal) o password palabra que se utiliza en el ámbito de la informática y que significa palabra de acceso.
El banco le entregará su tarjeta de débito al momento en que usted abra una cuenta de ahorro o de cheques, en la que depositará el dinero del que posteriormente podrá disponer, ya sea en los cajeros automáticos, en la ventanilla de las sucursales del banco que haya expedido dicha tarjeta o efectuar los pagos de sus compras en establecimientos que estén afiliados.
Se le denomina operación electrónica al uso de una tarjeta de débito y se realiza por medio de códigos numéricos que, como hemos dicho, solamente pueden ser descifrados en el sistema del banco, por lo que la seguridad es completa.
Las tarjetas de debito pueden ser también un medio con el que las empresas realizan los pagos de la nómina de sus empleados a través de depósitos que van directamente a cuentas personalizadas que son administradas por una institución bancaria, evitando el riesgo del manejo de efectivo para ambas partes. Entre sus características generales tenemos:
a) El titular sólo puede disponer del dinero que tenga depositado en su cuenta.
b) En tamaño y presentación es muy semejante a una tarjeta de crédito.
c) Su empleo en cajeros automáticos solamente puede realizarse a través del NIP (número de identificación personal).
d) Cuenta con el nombre y el logotipo de la institución bancaria que la expidió.
e) Tiene un número seriado para efectos de control.
f) Tiene el nombre del titular y en algunos casos una muestra visual de su firma o codificada electrónicamente.
g) Tiene impresa la fecha de inicio y de vencimiento de la tarjeta.
h) En cada una de las operaciones, la firma, que es la expresión de su consentimiento, es sustituida por claves de identificación que sólo conoce el Usuario y cuya utilización expresa la voluntad del mismo para hacer uso de sus recursos.

Por otro lado, los cajeros automáticos sirven para facilitarle el acceso a su dinero, las 24 horas del día, los 365 días del año, suitche 7B y cirrus-maestro ponen a su disposición la Red Total de Cajeros Automáticos y Dispensadores de Efectivo.

A través de la Red Total, usted puede:
ü Retirar fondos de sus cuentas bancarias y tarjetas de crédito.
ü Consultar los saldos de sus cuentas bancarias o tarjetas de crédito.
ü Cambiar su número de clave (PIN).
ü Pagar sus tarjetas de crédito.
ü Hacer depósitos en sus cuentas bancarias.

Un cajero automático es un dispositivo que tiene comunicación directa con la central del banco y realiza las operaciones en tiempo real.
Trabajar en tiempo real es un término técnico empleado en el lenguaje de las telecomunicaciones (y algunas otras áreas). Se puede notar su funcionamiento en un cajero automático cuando los movimientos que hace en su cuenta, a través de la tarjeta, son registrados por el banco al momento en que usted los realiza. Cuando se hace alguna disposición de dinero, por ejemplo, se emite un comprobante que afecta su estado de cuenta, y cuando hace alguna disposición posterior, (según los límites anteriormente descritos) ya se ha restado la cantidad de que dispuso en un inicio.
Seguramente alguna vez, nos hemos se ha encontrado algún cajero con la frase “temporalmente fuera de servicio” en su pantalla, este tipo de fallas puede deberse a que se haya interrumpido la comunicación entre el cajero y el banco en ese momento.
Es entonces, cuando nos podemos dar cuenta, que el cajero y el banco trabajan de manera simultánea, esto es, en tiempo real.
Además, la seguridad que los cajeros automáticos ofrecen a los bancos para el manejo del dinero y de las operaciones que en él se realizan, se da debido a la alta tecnología que éstos utilizan: cuentan con sistemas de monitoreo del funcionamiento de cada cajero, sistemas de reporte y de alarma de fallas, mecanismos de seguridad remota automática y acceso remoto (a distancia) a los cajeros desde las oficinas centrales del banco, o desde el lugar que se tenga designado para el control y monitoreo de los cajeros automáticos.
La mayoría de los bancos actualmente tienen instalados dos tipos de cajeros automáticos:
Tipo Lobby: para ubicación en el interior de oficinas o centros comerciales.
Tipo empotrable: para oficinas que pertenecen al propio banco.

Recomiendo que los usuarios de cajeros automáticos a tener excesivo cuidado en el uso de sus tarjetas de débito en los días de asueto, ante el incremento de la clonación.

Generalmente en vacaciones los usuarios se vean afectados por ilícitos al utilizar tarjetas, y por ende las perdidas patrimoniales de los bancos se incrementa ante la solicitud de reclamos procedentes denunciados por los clientes

Los propios cajeros automáticos son el escenario ideal de los “clonadores”, quienes mediante el uso de microcámaras ocultas, pueden grabar la marcación del número de identificación personal, no sin antes sabotear la ranura de la máquina que imposibilitará al usuario a realizar su transacción.
Otro tipo de fraude que ya no es tan común en el medio, ocurre en el establecimiento comercial que no cuenta con una terminal electrónica portátil y que obliga a “planchar” la tarjeta para emitir el comprobante, es posible que se genere más de uno y hacerlos efectivos con una firma falsificada.
En sus primeras intervenciones, los “clonadores” bloquean las ranuras de los cajeros con material que puede captar la información de la banda magnética y después, haciéndose pasar por empleados de mantenimiento o funcionarios del banco, piden al usuario que teclee su clave y luego lo invitan a intentar la operación en otro cajero remoto.
En el INDECU reposan cientos de denuncias sobre retiros de fondos no autorizados, falsificación de firmas y clonación de chequeras y tarjetas de crédito y débito, además de montos "desaparecidos" de cuentas de ahorro y corriente a través de cajeros automáticos.
En muchos de estos casos se presume que existe un porcentaje de complicidad interna de empleados bancarios, así como ciertas irregularidades y saboteos externos.
Una nueva modalidad parece ser la de entregar chequeras incompletas, con algunos cheques menos, para luego ser cobrados falsificando la firma, cosa que está al alcance del personal bancario. Este procedimiento se ve estimulado por un nuevo tipo de chequeras que están utilizando los bancos que no tienen su talonario anexo con numeración consecutiva, sino que tiene un libro de anotación y registro aparte de la chequera, por lo que al cliente se le dificulta llevar su relación inmediata y tener constancia en la propia chequera.
En este caso es difícil notar el extravío de cheques. Hay que contarlos uno por uno antes de aceptar la chequera para ver si se corresponde con el número de cheques que el banco dice que contiene la chequera.
Estas "irregularidades" ponen en peligro el futuro de las operaciones automatizadas y la reducción de costos bancarios mediante las tecnologías que buscan disminuir la asistencia de público en las agencias bancarias y abaratar procedimientos eliminando papeles, cheques, planillas y personal bancario. La credibilidad en el sistema se resiente y pudiera conformar una situación de "sobreprotección del dinero" por parte de los depositantes y dejarían de utilizar tarjetas de débito. Por ello, algunos bancos están incrementando sus controles internos y preparando inspectores.

El Cuerpo de Investigaciones Científicas penales y Criminalísticas CICPC en varias oportunidades ha alertado a las instituciones bancarias de que "existe un alto índice de complicidad interna" en los fraudes y delitos bancarios. La situación se complica cuando el banco no reconoce el daño hecho al depositante, cuando no le reintegra su dinero o cuando se demora más tiempo del necesario. En el gobierno estarían estudiando la posibilidad de obligar, mediante decreto o resolución, que el banco pague intereses a tasas activas sobre el monto sustraído irregularmente al depositante para obligar a las instituciones bancarias a prestar más atención a la seguridad y al servicio. No habría que llegar a esta medida, pero la banca debe buscar una solución efectiva y rápida.

El Banco Mundial ha calculado que los 29 países que concentran el 80% de la riqueza mundial deben su bienestar, en un:

67% al capital intelectual (educación, investigación científica y tecnológica, sistemas de información)
17% a su capital natural (materias primas)
16% a su capital productivo (maquinaria, infraestructura)

Después de lo anteriormente expuesto, en el cuarto trimestre del año 2004, unos estudiantes del Postgrado en Auditoria de Sistemas y Seguridad de la Información del CUFM, aplicaron una encuesta en Venezuela cuyo objetivo era identificar la manera cómo las compañías consideran la seguridad de activos de información con base a la utilización de la tecnología como factor estratégico del negocio. La muestra seleccionada incluyó compañías de diferentes ramas o industrias, constituidas tanto por compañías del sector público como del sector privado. A continuación se presentan los resultados de la percepción de la seguridad que tienen las compañías encuestadas:
Para estas organizaciones, el 7,14% perciben la seguridad como una Tendencia, 71,42% como una necesidad, 64,28% como un factor estratégico, 42,85% como una evaluación de vulnerabilidades, 78,57% como una práctica a conducir para la protección de la información. En cuanto a los eventos que afectan la seguridad de las organizaciones las compañías encuestadas expresaron las siguientes inquietudes:
Infección por virus 15%, Fuga de Información 3%,No disponibilidad de los sistemas 22%,Violación de la seguridad física 0 %,Uso de software ilegal 28 %,Hurto de equipos/periféricos 12%,Uso indebido del correo/Internet 25%,Violación de controles de acceso a sistema 1%, Fraudes 6%.
Una de las grandes conclusiones que pudieron obtener de este estudio, es que la totalidad de las compañías encuestadas son conscientes de la importancia de la seguridad de activos de información en su Organización y de los riesgos a los que se encuentran expuestos debidos al uso de la tecnología de información como habilitador de sus principales proceso del negocio. Pero contrariamente a lo que se ha expresado, el estudio también revela que son pocas las compañías que disponen de mecanismos, políticas y procedimientos para realizar una clasificación de la información, en función de minimizar o erradicar los riesgos a los procesos.

Esto demuestra que existen bandas de delincuencia organizada especialistas en fraudes electrónicos, en nuestro Venezuela, que conocen algunas debilidades en los centro de procesamiento información centralizada, esto lo evidencia las diversas modalidades de fraudes a equipos electrónicos sofisticados. Es importante concienciar el uso efectivo de las tecnologías de comunicación e información en la Republica Bolivariana de Venezuela.

Freddy Márquez
Freddy_marquez@cantv.net