Asegurar la información que guardamos en nuestra mente, datos de caracter personal privados, contraseñas o cualquier información que requiera absoluta discreción es una tarea colosal en comparación con el esfuerzo que se requiere para asegurar información digital. Es por esto que el riesgo de error humano es la mayor vulnerabilidad en las empresas, sobretodo a nivel de seguridad de las empresas de tecnologias de la información.

Se puede tener el mejor firewall, sistemas de contraseñas dificiles de averiguar que van cambiando para evitar su detección y utilización con software malicioso o los mejores filtros para evitar a los scammers; basta con que una persona caiga en una técnica de ingenieria social y permita acceso a datos confidenciales y los ciberdelincuentes habrán tenido una via perfecta para atacar.

1) Familiarity Exploit – Este tipo de engaño unicamente está previsto dentro de empresas donde algunos empleados tienen tentaciones de espiar la seguridad empresarial o datos de otros compañeros de trabajo. También puede funcionar a través de la red pero es mucho más complejo y requiere contacto previo, creación de familiaridad mencionando el nombre de la persona, fingiendo aprecio, como en el caso de boletines de vendedores fraudulentos.

Está basado en la familiaridad y la confianza que las personas tenemos al reaccionar a peticiones de individuos que nos son relativamente conocidos, actuamos de forma más abierta y concedemos algunas cosas a personas simplemente porque nos suenan y ya las hemos visto anteriormente o creemos tener un trato familiar, aunque nunca se pueda llegar a conocer las últimas intenciones de una persona.

2) Situación hostil – La mayor parte de las personas evitan y se retiran al encontrarse con un individuo que parece desequilibrado emocionalmente, que está colérico o es conflictivo. Si un individuo se pone a gritar como si tuviese una acalorada discusión al teléfono, las personas que pasen cerca notaran su presencia y pasaran de largo, evitando tratar con ese tipo. Esta técnica se realiza simulando un enfado contra una situación o alguien al otro lado del teléfono o un canal de comunicación pero no hacia otra persona presente.

Si alguien desea acceder a areas restringidas junto con otros empleados pero en zonas donde normalmente no le está permitido estar, podria usar esta técnica para incorporarse junto a un grupo de personas que evitarán cuestionar su presencia al notar su estado colérico, esperando que pase la tempestad. Otra situación donde algunas personas usan esa técnica de ingenieria social es en los pasos de control donde empleados de seguridad chequean bolsas de viaje, maletas y los objetos contenidos, algunos individuos simulan una discusión y un estado colérico para evitar ser cuestionados en ese momento. Como la mayor parte de las personas no queremos relacionarnos con gente que está de mal humor y grita a los demás, podrian pasar por evitar el más minimo trato.

3) Recolectar y utilizar información acerca del objetivo – En ingenieria social una máxima es que cuanta más información personal se tiene de la persona objetivo, más fácil será conseguir sacar lo que se desea a través de esa persona, de ahi la importancia de recolectar información. Algunos buenos sitios para este propósito son:

a. Internet, tan sencillo como buscar su nombre en Google o si tiene perfil en redes como Linked In, Facebook, Twitter, MySpace, etc. Muchas personas lo hacen con otros empleados dentro de la empresa.
b. Objetos en su zona de trabajo.
c. Cotilleos de conocidos y compañeros de trabajo.
d. Intereses, pautas de comportamiento, lugares frecuentados.
e. Papelera, un trabajo sucio pero puede esconder joyas para comprender la mente de la persona.

4) Infiltrarse consiguiendo un empleo en el entorno objetivo – Algunos individuos que desean obtener información acerca de empresas o trabajadores son capaces de buscar un empleo dentro del lugar objetivo, se convierten en empleados de las empresas que quieren conocer y buscan toda la información posible desde dentro. Muchos departamentos de recursos humanos, coordinadores o managers no están entrenados para detectar a una persona maliciosa en una entrevista de trabajo. Un infiltrado tendrá mayores resultados positivos con sus técnicas de ingenieria social si se convierte primero en un empleado de confianza y en alguien de fiar, aparentemente.

5) Correcta interpretación del lenguaje corporal – Un experimentado ingeniero social, o un bribón sensato, sabe sacar partido del lenguaje corporal y las emociones de las personas del entorno que son objetivo. Según Chris Nickerson, el lenguaje corporal bien utilizado es una forma de crear conexiones entre personas, de forma que exista armonia suficiente antes de tratar de obtener algo. Ser educado, mantener una postura adecuada, dar apretones de manos confiados, hablar con seguridad y mirar a las personas a sus ojos (o al entrecejo), adaptarse a las normas y al protocolo, la etiqueta, no quejarse ni criticar a nadie, hacer sentir bien a los demás, agradecer y respaldar el sentimiento de importancia y la autoestima de otras personas…

Cuando un individuo que desea hacer ingenieria social se ha comportado de ese modo durante un tiempo razonable, las personas querrán ayudarle, no estarán tan armadas para saber decir NO y se sentirán bien haciendo pequeños favores sin que resulte ningún esfuerzo.

6) Erotismo – El erotismo o más bien el sexo camuflado se utiliza constantemente para manipular a las personas y sobretodo a los hombres. Publicidad explícita, mujeres explosivas empleadas como vendedoras, presentadoras, azafatas; cantantes pop insinuando de forma promiscua en sus actuaciones… El sexo se utiliza para vender productos y las mujeres les funciona para controlar a los hombres, también vale en ingenieria social. Los individuos que difunden malware por internet lo saben bien y esconden programas maliciosos en sitios eróticos relacionados con famosas o con contenidos de sexo explícito.

7) Tiempo crítico – Es habitual verlo en los emails de ventas o los fraudes como el phishing en seguridad bancaria donde se presiona al objetivo para dar sus contraseñas con la excusa de una alerta repentina de seguridad o en los timos por email donde se trata de hacer creer al objetivo que ha ganado algún premio y debe dar sus datos confidenciales en un corto plazo de tiempo para obtener lo que le van a regalar en un concurso en el que nunca participó.

A modo de conclusión toca pensar de que manera podemos estar protegidos contra las técnicas de ingenieria social y la manipulación para obtener información confidencial o evitar ser estafados. Se cree que lo mejor es formarse, estar familiarizado y evitar caer en nuestras emociones, tratando de razonar según el sentido común y la experiencia en las relaciones humanas. No hay widget de seguridad, ni software para controlar la ingenieria social, pero se puede estar prevenido.

Via PCWorld.

Popularity: 4%

Ayer se conocía la noticia brindada por la misma Microsoft que más de 10.000 cuentas de correo Hotmail habían sido hackeadas y puestas a disposición de todo el mundo con sus respectivas contraseñas en un foro durante 4 días, hasta que finalmente fueron retiradas.

El método elegido para obtener dichas cuentas fue el de Phishing, donde a través de un correo electrónico los usuarios eran engañados por un sitio Web que simulaba ser la pagina principal del correo.

Hasta ayer se especulaba algo que finalmente se termino de confirmar hoy mismo, no había una sola lista sino que hay varias y la cantidad de cuentas llega hasta los 30.000 y no sólo Hotmail fue el afectado sino que Yahoo y Gmail se unen a la lista.

Google afirma que al menos 500 usuarios son los afectados de una supuesta segunda lista y que en estos momentos tiene una nueva lista en donde no se sabe aun que cantidad de usuarios de Gmail serian los afectados.

Tanto Microsoft y Google se han encargado de aclarar que sus sitios son seguros y que los ataques no fueron hechos directamente sino que fueron engañados a través del Phishing. Muchos analistas creen que esto se realizó solamente para demostrarles a los usuarios su falta de conocimientos sobre seguridad informática.

Fuente: misionlandia

Popularity: 4%

El reloj de seguridad num8 permite la localización del portador mediante un sistema de rastreo GPS que permite encontrar su pista via satélite con un radio de 3 metros de exactitud. Se trata de una nueva medida en control parental, que además envia una alerta si el reloj trata de ser removido por la fuerza.

En eventos que se desarrollan en grandes pabellones o ferias importantes, se suelen repartir pulseras de llamativos colores para que los menores de edad las lleven y puedan ser controlados dentro del recinto, de modo que los niños no se separen de sus padres y si se pierden, puedan ser detenidos entre las salidas del pabellon. Esto es quizá una medida más extrema en los tiempos en los que vivimos donde los adolescentes tienen menos disciplina y más libertad, tanto es asi que la profesión de docente en institutos ya es un empleo de riesgo.

El reloj de seguridad num8 no es barato, tiene un precio de 165 euros, aunque según sus creadores, deberia dar tranquilidad a los padres preocupados por las salidas de sus hijos pequeños. Aunque habria que ver si los niños aguantan semejante control.

Escribiendo el texto ‘wru’ a un número particular, los padres podrán comprobar la localización del menor portador del reloj gracias a Google Maps, o escribiendo ‘where r you’ en un sitio web asociado a la unidad num8, entonces se recibe información de la calle y código postal donde se encuentra el reloj.

El reloj num8 también permite configurar zonas seguras donde los niños puedan jugar, si salen de un espacio predeterminado se enviará una alerta a los padres. Como punto a favor para los menores, podrán elegir su reloj de control parental en colores llamativos como verde fluorescente o azul.

Steve Salmon, de Lok8u, declaró: ‘Perder a un hijo, aunque sea durante un breve periodo de tiempo, pone a los padres en estado de pánico. Gracias al sistema de num8, los hijos pueden andar con libertad sin ir de la mano con los padres y estos tienen más tranquilidad.’

En cambio para Michele Elliott, directora del centro de caridad Kidscape, esto es excesivo: ‘¿Es el mundo un lugar tan inseguro como para que los padres tengan que controlar electrónicamente donde están sus hijos? No lo creo.’

Visto en: DailyMail

Popularity: 2%

Proteger nuestros aparatos electrónicos, gadgets, ordenador portátil o teléfono móvil es un tema fundamental al que volvemos en materia de seguridad informática, que no todo son los virus, la pérdida de un aparato electrónico puede ocurrir generalmente por extraviarlo o porque algún oportunista nos lo sustraiga en un despiste. Para evitar esto nace el sistema de seguridad nio, su fabricante TenBu Technologies ha hecho hoy la presentación oficial de este accesorio.

Nio protege nuestros gadgets con un sistema de alarma ajustable a varios metros que se conecta por Bluetooth a nuestro móvil y nos permite crear una zona de seguridad alrededor de él, etiquetando todo tipo de objetos como ordenador portátil, llaves, maleta o el propio teléfono móvil. Si nos alejamos más de una distancia predeterminada de donde está el sistema nio o las zonas marcadas como seguras, tanto el teléfono como el propio dispositivo harán sonar una alarma.

Nio es compatible con móviles de diversas compañias y PDA’s, algunos ejemplos practicos son BlackBerry, con cualquier teléfono equipado con Windows Mobile y con otros modelos de teléfonos Nokia, algunos Sony Ericsson, Samsung y LG.

Este video de presentación trata de mostrar como funciona el sistema de protección nio:

Tiene un precio de 49,95 euros, bateria recargable y hasta 3 zonas de seguridad seleccionables al mismo tiempo. Puedes encontrar más información sobre nio en el sitio oficial de TenBu.

Popularity: 2%

Yoggie Security Systems y Lenovo, conocido fabricante de laptops, anunciaron el lanzamiento de un accesorio de seguridad para ordenadores portátiles llamado ConstantConnect and Protect 2.0. Es una utilidad para consultar el email que debe proporcionarnos acceso seguro a nuestra bandeja de entrada aún cuando el portátil está apagado. ConstantConnect and Protect 2.0 sirve con portátiles ThinkPad, está basado en la unidad Yoggie Gatekeeper, se trata concretamente de una tarjeta 34 mm ExpressCard que sirve para tener un acceso al email aunque no utilicemos el ordenador para ello, incluso apagado o en modo hibernación.

“Utiliza la tecnologia Bluetooth y Wi-Fi para sincronizar el ordenador con un teléfono que sea modelo BlackBerry y descarga emails desde Microsoft Exchange, Microsoft Outlook, POP3 y cuentas Gmail gracias a su capacidad de almacenamiento de 500MB. Los emails estarán automáticamente disponibles al encender el portátil.”

La tarjeta ExpressCard enviará los emails de forma segura aunque el portátil no se encuentre encendido, de modo que podrás ir organizando la cola de llegada de los correos electrónicos. Para asegurar la transferencia de datos, la unidad lleva una tecnologia de seguridad creada por Yoggie Security Systems, que asegura que los emails están seguros y que no existiria la casualidad de ser interceptados durante la transferencia y sincronización. No parece nada del otro mundo y además está limitado a quienes usen su BlackBerry que ya dispone de acceso email, aunque puede suponer un ahorro de tiempo el poder enviar o actualizar la bandeja de entrada sin necesidad de encender y comprobarlo en el portátil.

Más información en la nota de prensa de Yoggie.

Popularity: 2%

Una pauta responsable y necesaria en seguridad informática es realizar periódicos backups o copias de seguridad con todos nuestros datos, creamos clones de nuestro disco duro o de una parte de los datos y los almacenamos en una unidad externa.

Pese a que Mac no recibe el azote del malware y los virus como las PC’s con Windows, los discos duros pueden fallar y si tienes pensado actualizar a Mac OS X 10.6, Snow Leopard, va a ser necesario crear un backup antes de actualizar todo tu software.

Para crear un backup en Mac, necesitas como en cualquier otra computadora, un disco de almacenamiento ajeno al principal con una capacidad preferiblemente superior. además de software especifico para crear copias de seguridad.

Existen diferentes programas e incluso servicios web para realizar backups en Mac, en cuanto al software podemos encontrar:

Retrospect es una solución para crear backups en Mac. Una licencia individual tiene un precio aproximado de $95, soporta cualquier tipo de copias de seguridad en unidades de almacenamiento externo HDD o unidades ópticas y más avanzadas. Retrospect HD, es una edición especifica de este software para backups que puede ir incluida en algunos discos duros externos que buscan llegar al mercado que representan usuarios de Mac.

SuperDuper es un software para crear backups relativamente barato, la versión completa tiene un coste de $28, aunque incluye una versión gratuita, sirve para clonar completamente el disco duro o para realizar backups de carpetas con datos sensibles.

Si utilizas la versión gratuita de Super Duper puedes crear backups completos o parciales de tu disco duro o crear imágenes en formato .dmg. La versión de pago, incluye otras funciones más avanzadas como la gestión y programación de las copias de seguridad llevando un control sobre cuando se crean backups y que datos incluyen.

SuperDuper tiene una función llamada “Sandbox,” que protege el disco de arranque de diferentes accidentes que podrian sucederle al disco o a la imagen clonada con los datos del disco duro original. Crea una copia de arranque para poder iniciar el sistema en caso de fallos en el disco duro. Esta copia queda almacenada en otro disco duro que comparte tus datos con el disco original, permite instalar actualizaciones o software de evaluación en Sandbox, sin preocuparse por lo que pueda ocurrir en el sistema.

Time Machine: este software forma parte de Mac OS X, desde la actualización a Leopard, Apple añadió software para backups y restauraciones del sistema en su sistema operativo. Time Machine no requiere un pago extra, viene con el sistema operativo de Mac y permite realizar copias de seguridad sin aplicaciones de terceros, puedes establecer un punto de restauración al que regresar si algo va mal y no tienes un buen backup que utilizar.

ChronoSync: ChronoSync es una aplicación de backup que permite la sincronización de datos guardados, se arrastran y se sincronizan en la ventana del programa eligiendo cuales actualizar y cuales pueden ser ignorados.

Además de usarse para llevar backups actualizados, se pueden sincronizar dos ordenadores Mac, por ejemplo uno de sobremesa y un portátil, sincronizando los datos almacenados en ambos. ChronoSync tiene un coste de $30, aunque permite descargar una versión de prueba.

LaCie SilverKeeper: SilverKeeper es otro programa útil para realizar copias de seguridad y montar los datos en un DVD, o guardarlos en unidades de almacenamiento externo.

Silverkeeper viene en los discos de almacenamiento LaCie, pero si no deseas comprar una de estas unidades puedes descargar el software y almacenar los datos en tus propios discos, creando con la aplicación funciones como discos de arranque o programación de backups.

Además del software para backups en Mac, puedes tener una copia de seguridad web, usando servicios online que encontrarás en internet. Con esto no necesitarás una unidad de almacenamiento externo aunque muchos servicios tienen capacidades muy limitadas, a 1GB por ejemplo, lo cual no permite a nadie crear un clon de su disco duro y tenerlo a salvo en la web.

Los usuarios de Mac pueden acceder al servicio de almacenamiento Apple’s .Mac, ofrece 10 GB de espacio por un coste anual de $99.

También puede servir Jungle Disk, un servicio de backups proporcionado por Amazon.

Fuente: Wiki Wired.

Popularity: 3%

Prey es un sistema anti-robo para ordenadores portátiles que funciona mediante una aplicación de código abierto y gratuita que lanza un reporte sobre la información del equipo para tratar de rastrear su paradero e incluso toma una captura del escritorio y una foto mediante la webcam para encontrar a la persona que sustrajo el equipo informático.

Anteriomente, Prey era una aplicación para usuarios de Windows, Mac y Linux que se debia instalar en el ordenador portátil por si las moscas, es decir si desgraciadamente algún dia es necesario usarla porque alguien nos ha robado el ordenador en un descuido.

La buena noticia es que el equipo de Proyecto Prey ya ha presentado un panel de control con acceso web para monitorear los equipos que usen la aplicación además de tener algunas funcionalidades. Si te interesó Prey, cuyo funcionamiento puedes consultar a través del enlace, también puedes probar el acceso remoto del panel de control de Prey.

Popularity: 2%

Twitblock es una herramienta online que trata de conectarse a tu cuenta en la red social Twitter para analizar a los followers y a la propia cuenta para ver si da positivo según el algoritmo utilizado por el filtro de Twitblock. El funcionamiento es complicado pero seguramente, al igual que otras herramientas antispam para Twitter, se basa en el ratio de usuarios seguidos/usuarios seguidores, enlaces enviados en tweets, palabras utilizadas y comportamiento general de la cuenta.

Los motivos que explican la necesidad de tener protección contra el spam en Twitter vienen por el comportamiento de algunos usuarios, por sus tácticas de ingenieria social y otras asociadas al propio funcionamiento de la red Twitter.

Como sabemos, en Twitter las urls de los mensajes van encriptadas en urls acortadas por bit.ly, de este modo el usuario no sabe si se le dirige a una web con malware o si se trata de spam, aunque afortunadamente desde Twitter se han implementado filtros antimalware para las urls, pero ¿qué pasa con la publicidad no deseada?

Cuanto hablamos de tácticas de ingenieria social no hablamos de algo secreto o muy elaborado, sencillamente los spammers se valen del comportamiento humano, en Twitter como en otras redes sociales, es común devolver el “follow”, como cortesia, es decir, seguir a quien nos sigue. Muchos spammers consiguen largas listas de seguidores de un modo tedioso pero sencillo: siguen a todos los seguidores con un perfil de intereses concreto, esperan 48 horas y si no les devuelven el follow entonces dejan de seguir a la cuenta objetivo. De ese modo, como hay al menos entorno a un 40% de personas que si devuelven el follow sin apenas mirar si es un usuario real de Twitter o un bot, los spammers logran una gran conversión en sus intentos para tener followers a los que enviar su publicidad.

Me entero de esta herramienta gracias a: PuntoGeek

Popularity: 2%

El pasado dia 30 de julio se dio a conocer que Apple estaba trabajando duro para lanzar un parche de seguridad que permitiese proteger los terminales iPhone de una vulnerabilidad grave que podia permitir a atacantes tomar control de los teléfonos iPhone de los usuarios. Por otro lado, compañias de software dedicadas a la seguridad informática como Symantec o McAfee también se encuentran desarrollando protección antivirus para iPhone.

La vulnerabilidad fue descubierta por dos especialistas en seguridad según se informa en la página de soporte de Apple, que pondrá en descarga la actualización del nucleo de iPhone, iPhone OS 3.0.1.

En la descripción que da Apple sobre la vulnerabilidad se habla de una corrupción de la memoria del terminal al tratar de decodificar mensajes SMS con caracteres raros. La recepción de SMS maliciosos llevaria a la interrupcion del terminal y a la ejecución arbitraria de código por parte del atacante o el secuestro del teléfono iPhone para usos desconocidos.

El ataque consiste en el envio de un mensaje de texto SMS donde se visualiza un único caracter cuadrado y si no apagamos el iPhone tras abrirlo entonces se puede tomar control remoto del teléfono.

Charlie Miller, de Independent Security Evaluators y Collin Mulliner de la universidad técnica de Berlín, especialistas en seguridad a los que Apple da crédito por su soporte, realizaron una conferencia Black Hat de divulgación donde los principales puntos sobre la vulnerabilidad del iPhone fueron expuestos:

• 1. El mayor problema es una vulnerabilidad en la seguridad y que involucra al sistema de mensajeria SMS. Específicamente, el secuestro del terminal puede tomar control del aparato, de forma remota, e incluye tomar el control de la cámara, el navegador web y más. Inclusive puede enviar mensajes a tus contactos de tu libreta de direcciones.
• 2. Este ataque trabaja enviandote unos mensajes SMS que hacen que el iPhone colapse. Luego de esto, tu iPhone está bajo el control del atacante.
• 3. El “virus” viene en forma de un único caracter: un cuadrado pequeño. Si reciben un mensaje de texto con un pequeño cuadradito, apaguen su iPhone inmediatamente.
• 4. Sólo tienes que recibir el mensaje. No necesitas hacer nada más con el mensaje de texto para ser atacado.
• 5. Móviles con Google Android, Windows Mobile y Palm, también son vulnerables a un ataque similar. Lo que fue demostrado durante la presentación.

En la página de soporte de Apple es describe la mencionada vulnerabilidad por SMS al iPhone que afecta al sistema iPhone OS 3.0.

El parche de seguridad desarrollado por Apple deberia llegar a la web de actualización de software de Apple.

Popularity: 3%

Wordpress 2.8.2 se liberó recientemente tras diez días del lanzamiento de su última versión, la actualización de seguridad permite resolver un problema de XSS. XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. Generalmente, se trata de explotar esta vulnerabilidad enviando código a un sitio web de forma que la victima que acceda pueda perder datos o su privacidad en internet como claves o cookies.

El fallo se originó en un agujero de seguridad del tablero de administración, que mostraba las URL de los comentarios sin someterlas a depuración; además el fallo permitía la implantación de códigos maliciosos que redirigieran a los administradores a otros sitios, generalmente sitios web trampa o que descargasen malware en las computadoras que es lo que suelen utilizar los crackers y los que se “entretienen” con este tipo de malicia.

Puedes actualizar automáticamente desde el menú de tu WordPress que nada más ingresar al panel te avisará de la nueva actualización disponible o descargar el software completo desde su sitio oficial. Así mismo, si utilizas WordPress MU para crear tu propia red de blogs, también debes realizar el upgrade.

Existe un punto en contra, Wordpress 2.8.2 es actualización en inglés, de momento no se ha liberado traducción en español, asi que si sigues con la traducción pero deseas actualizar por seguridad, cosa recomendada, perderás la traducción en el panel, pero no en el theme claro.

Características de la nueva actualización Wordpress 2.8.2 en Wordpress

Descarga para versiones Wordpress MU en : Wordpress MU

Consulta si te interesa el XSS, un artículo sobre vulnerabilidades XSS en Wikipedia.

Popularity: 2%

Si hemos iniciado Firefox en el dia de hoy, podremos ver la actualización automática a la versión 3.5.1, esto es debido a una grave vulnerabilidad detectada en Firefox 3.5 y que podría permitir a terceros ejecutar código en el ordenador de la víctima:

“La vulnerabilidad se debe a un error en el tratamiento de la manipulación de código JavaScript, por ejemplo, se podría utilizar un simple HTML con la etiqueta ‘font’ para provocar un error de memoria y, a continuación, ejecutar código arbitrario”

En diversos medios de la red como Mashable, ComputerWorld o Slashdot, avisaban del error y de una posible solución a la espera del parche de seguridad que debe suponer la correcta actualización a la versión 3.5.1.

En el propio blog de seguridad de Mozilla, se reconoce el fallo y se daban instrucciones para arreglarlo:

• 1. Escribir about:config en la barra de localización del navegador.
• 2. Escribir jit en el campo de filtro en la parte superior del editor de configuración.
• 3. Hacer doble-click en la linea que contiene javascript.options.jit.content dejando el valor en false.

Aunque esto también funciona si ponemos Firefox en modo seguro.

Tras la actualización habría que deshabilitar el arreglo si pusimos ese parche circunstancial.

Popularity: 2%

Flexcrypt es un programa que permite encriptar y desencriptar el correo electrónico. Es un programa muy simple de instalar y operar. Una vez que ya lo tenemos en nuestro sistema, solamente agregamos las direcciones de email entre las cuáles queremos enviar y recibir los email encriptados. Es algo más que ocultar las direcciones de email para evitar que alguien las tome, como en las cadenas de emails, para luego darles fines que no respeten la privacidad de los usuarios o para enviar spam, se trata de encriptar el contenido del mensaje de correo electrónico. Para ocultar direcciones basta con poner las direcciones de email en el campo de copia oculta.

Por cada dirección de correo debemos de tener una clave que es la llave que usaremos para desencriptar un email. Una vez que colocamos la password, debemos de comunicarlo a los otros usuarios y solo se ingresa una vez, luego de lo cuál, el software recuerda la password para encriptar/desencriptar los mensajes en forma automática.

De este modo los datos de las comunicaciones no serán interceptados ni monitorizados por espías, la información sensible quedará encriptada. Flexcrypt ofrece cinco tipo de encriptaciones, sirve para texto, email, ficheros, MSN e ICQ.

Este software no se puede usar con webmail, sirve para programas clientes de correo como OutLook, Thunderbird u otros similares. Respeta los protocolos de email: POP3, IMAP, SMTP.

La versión gratuita de este software solo nos permite incorporar 3 direcciones de correo, pero es suficiente para realizar una prueba del software. Lamentablemente, ahora mismo es para usuarios de los sistemas operativos Windows XP y Vista, que si bien son mayoritarios aún no sirve para Mac y Linux.

Enlace: Flexcrypt

Popularity: 2%

En los últimos días se ha esta registrando un aumento en los envíos de correo electrónico donde se nos avisa que estamos siendo supervisados por la empresa MediaDefender. MediaDefender es una empresa que lucha contra la piratería, pero no es ella la que justamente envía estos correos sino es un intento de Phishing y que trata de hacerse pasar por ella y trata de engañarnos.

Este correo intenta persuadirnos que somos perseguidos por descarga de piratería por medio de Torrents (esta de moda la lucha contra la piratería), el correo comienza con un “Querido usuario”, y nos da una lista de sitios que supuestamente nosotros frecuentamos, alguno de ellos son mininova, IsoHunt y Btscene entre los de más renombre.

Al final de la lista se nos incluye un enlace hacia un sitio Web donde nos aclaran que contiene mas información sobre lo que estamos haciendo, claro que es todo un engaño al seguir ese enlace lo que estaremos consiguiendo es un virus en nuestro equipo, pero para tratar de convencernos mas al final del mail dicen las leyes que estamos infringiendo al bajar o buscar información sobre películas, música y software en los sitios antes mencionados.

La seguridad informática es cosa seria y más en estos casos, el virus lleva el nombre de Zbot un troyano bancario que deshabilita nuestro firewall y recolecta información financiera como numero de cuentas o tarjetas de crédito. Además le da acceso total al hacker e incluso crea una entrada en el inicio del registro.

Fuente: TorrentFreak

Popularity: 2%

Tener una contraseña segura es esencial para resguardar nuestra seguridad y privacidad en la web. Para generar una buena contraseña, podemos guiarnos de los registros para usuarios ya que en muchos paneles nos van indicando la fortaleza de la contraseña según su longitud y el tipo de caracteres que vamos poniendo y como los vamos intercalando. Si pensamos que combinar unos datos propios como nuestro nombre, fecha de nacimiento, o código postal puede generar una password infalible, estamos equivocados.

Recuerdo la película de Daniel el travieso, cuando el niño le dice al Señor Wilson, que puede adivinar facilmente la contraseña que tiene puesta a su caja de seguridad donde guarda monedas antiguas de gran valor. El señor Wilson mira con superioridad al niño y le dice que lo duda mucho. Entonces Daniel dice: ¿a que es su dirección?

Entonces el hombre se queda estupefacto ya que efectivamente la combinación de seguridad corresponde con los números de la dirección física de la casa, número de calle, departamento, código postal.

En seguridad informática se dice muchas veces que el eslabón más frágil de la cadena es el usuario final debido a que muchas personas no tiene seguridad antivirus en sus equipos o no guardan bien las contraseñas.

Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia. En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y “diccionarios” que prueban millones de posibles claves, en tiempos muy breves, hasta encontrar la password correcta.

Los diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios, basándose en sus costumbres. Este archivo es utilizado para descubrir dicha contraseña en pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de organización que se esté atacando, aunque hay varios tipos de software de este tipo que usan los crackers. Prueban miles de claves en apenas unos segundos, para ser precisos, 100.000 contraseñas por segundo, pero existen programas todavía más rápidos, el tiempo de búsqueda de una clave varia de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo, aunque este número suele ser mucho mayor dependiendo del programa utilizado y del tipo de clave que se pretenda descubrir.

Si se utilizara una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla. Esto se obtiene a partir de las 968 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.

Si queremos tener una contraseña realmente segura, debemos crear una password que no sea un nombre propio, o ninguna palabra existente, sin importar el idioma. Debemos intercalar caracteres alfanuméricos y también caracteres raros como: $, &, -, * … entre otros.

Como crear una contraseña segura

• 1. No utilizar contraseñas que sean palabras, nombres o cualquier contraseña que sea algo referente a un nombre propio de persona, mascota, nombre común, objetos conocidos.
• 2. No usar contraseñas completamente numéricas con algún significado como números de teléfono, documentos de identidad, fechas de nacimiento, cumpleaños…
• 3. No utilizar terminología técnica conocida, aunque sea rebuscada dentro de una especialidad concreta, astronomía, legislación, deportes…
• 4. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos pero que no represente algo conocido como por ejemplo la matrícula de nuestro vehículo.
• 5. Deben ser largas, de 8 caracteres o más, si alguien usa software para crackear contraseñas siempre irán probando contraseñas fáciles primero, y entre ellas están las que son muy cortas. Algunos servicios o programas donde haya que registrarse ni siquiera nos permitirán hacerlo si la contraseña no tiene un mínimo de seis caracteres.
• 6. Tener contraseñas diferentes en equipos diferentes y sistemas diferentes, evitando que sea muy lioso recordarlo para nosotros. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. Esto permite que si una password de un sistema cae no caigan todos los demás sistemas por utilizar la misma password o que si nos quitan una cuenta de correo o cualquier cuenta en internet, no vayan a quitarnos todas por tener la misma password.
• 7. Deben ser fáciles de recordar para no verse obligado a escribirlas, aunque no tengamos buena memoria.
• 8. Combinar palabras cortas con algún número o carácter de puntuación: ab!toblop_rec.
• 9. Usar un acrónimo de alguna frase fácil de recordar : A río Revuelto Ganancia de Pescadores: ArRGdP.
• 10. Añadir un número al acrónimo para mayor seguridad : A9r7R5G3d1P.
• 11. Mejor incluso si la frase no es conocida : Hasta Ahora no he Olvidado mi Contraseña: aHoelIo.
• 12. Elegir una palabra sin sentido, aunque pronunciable : topilact78icoso211, AtajulH, pityuen56ar.
• 13. Realizar reemplazos de letras por signos o números : 35M\/Pq<

Como proteger nuestras contraseñas

La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario, ya que al comprometer una cuenta se puede estar comprometiendo todo el sistema.

Recordar: “Una password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y no lo compartas con tus amigos”. O también como una novia o como una maquinilla de afeitar.

• 1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente.

• 2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Administrador, Root, System, Test, Demo, Guest, InetUser, etc.
• 3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
• 4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.
• 5. No teclear la contraseña si hay alguien observando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.
• 6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: “mi clave es…”.
• 7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).
• 8. Si se hace una migración de datos de todo el sistema, cambiar todas las contraseñas al reestrablecer el backup en un nuevo alojamiento.
• 9. Cambiar todas las contraseñas si sospechamos que estamos recibiendo ataques de crackers.

Artículo más completo en la fuente, Yahoo

Popularity: 3%

Panda Security, ha presentado una guía de navegación segura para que los más pequeños se conecten a Internet de la forma más segura posible, también está orientada al control parental y a los educadores. Los menores pasan cada vez más tiempo navegando por Internet, sobretodo en vacaciones y por el estilo de vida sedentario.

Esta iniciativa, con la que Panda Security pretende fomentar un uso responsable y seguro de Internet entre los menores de edad, forma parte de la campaña Menores en la Red, que comenzó el pasado mes de diciembre. La Campaña cuenta con la colaboración de El Instituto Nacional de Tecnologías de la Comunicación, INTECO, Santillana en Red y Parques Reunidos y con el apoyo de Softonic y la Asociación de Usuarios de Internet (AUI), InfoSpyware y Micrópolix.

Durante los últimos seis meses, Panda Security ha presentado la campaña en diversas comunidades autónomas, como respuesta a un estudio llevado a cabo por la compañía que evidenciaba el desconocimiento por parte de los padres españoles sobre lo que hacen sus hijos en Internet. Algunas de las conclusiones de dicho estudio, en el que participaron 2300 padres y más de 1100 jóvenes y que se ha ido actualizando en estos seis meses, son:

- Más de la mitad de los adolescentes entre 15 y 18 años utiliza diariamente Internet.

- Para los padres españoles los contactos con desconocidos (un 32%) y el acceso a información inapropiada como pornografía, drogas, etc. (un 35%) son los principales peligros de Internet para los menores.

- Sólo un 24% de los padres controla totalmente lo que sus hijos hacen en la Red, mientras que un 38% lo controla sólo en parte y un 35%, lo controla poco o nada.

- Sólo un 57% de los padres encuestados afirmaron conocer herramientas para proteger a sus hijos y sólo un 24% sabe qué son las herramientas de Control parental.

- Aunque el 66% de los padres españoles está convencido de que sabe más que sus hijos o que los menores a su cargo sobre Internet sólo un 79% sabe qué es un blog y apenas un 46% conoce las redes sociales.

- El 67% de los jóvenes españoles ha intentado hackear, en alguna ocasión, cuentas de mensajería instantánea, redes sociales, etc., de sus conocidos. Además, el 20% confirma haber reenviado fotos comprometidas de compañeros por Internet o haberlas publicado en espacios web sin consentimiento previo.

- Un 17% de los jóvenes dice que es capaz de encontrar herramientas de hacking en Internet y un tercio de éstos confiesa haberlas usado en alguna ocasión.

Panda Security recomienda en su guia para menores que para apartarse de los peligros de internet deben:

• Evitar pinchar sobre links sospechosos
• No realizar descargas desde sitios desconocidos
• No hablar o chatear en internet con desconocidos
• No proporcionar información personal
• Sospechar del malware si el ordenador tiene comportamientos raros
• Hablar con personas adultas para pedir consejo

A lo largo del curso escolar y para formar a alumnos y educadores en el uso de Internet, Panda Security ha dado charlas educativas sobre seguridad en más de 50 colegios de toda España. En estos meses, casi 500.000 personas han visitado la web de la Campaña Menorenlared.es, llevando a cabo más de 100.000 descargas de los recursos para padres, educadores y menores que en ella hay disponibles.

Dado el gran éxito de esta iniciativa, la campaña Menores en la Red se reanudará en septiembre y los colegios que lo deseen podrán seguir solicitando charlas educativas, materiales, etc. a Panda Security.

“La cada vez mayor penetración de las nuevas tecnologías en los hogares españoles; el temprano acceso de los niños al uso de Internet y la brecha digital existente entre padres e hijos, hace que los menores se encuentren vulnerables frente a muchos peligros de Internet”, explica Luis Corrons, director técnico de PandaLabs.

Añade que:“es importante que los padres realicen un esfuerzo por ampliar sus conocimientos sobre Internet y sus peligros. De esta manera, ayudarán a sus hijos a evitar los peligros de la Red y también a que caigan en actividades sospechosas amparados en el anonimato que permite Internet”.

Gracias por la difusión de la noticia a Baquía

Popularity: 3%