lunes, 28 de enero de 2013

Día de la Protección de los Datos Personales

Desde 2008, todos los 28 de enero se celebra en EEUU y Canadá el Data Privacy Day (DPD), como una extensión del European Data Privacy Day. Este último surgido luego de la Convención para la protección de los individuos con respecto al procesamiento automatizado de Datos de Caracter Personal (Convention 108), firmada el 28 de enero de 1981 por el Consejo Europeo.

Según la Ley Orgánica de Protección de Datos de Carácter Personal de España (LOPD), un Dato Personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. La LOPD ha sido utilizada como base en el desarrollo de legislación equivalente en muchos países de Latinoamérica.

El objetivo del DPD es educar y concientizar a los usuarios en los riesgos asociados a la Privacidad de sus datos personales, dándoles herramientas para que puedan protegerlos. Por un lado, en relación a la publicación de información de carácter personal en diferentes medios y de qué manera impacta en la identidad digital de las personas, por ejemplo la publicación de contenido en forma indiscriminada en Redes Sociales. En este enlace les comparto una infografía animada desarrollada por Microsoft que muestra algunos aspectos a tener en cuenta.

¿Sos conciente de toda la información que publicás en Internet?

Legislación en Protección de Datos Personales en la Región

El otro de los objetivos del DPD es educar a la sociedad en relación a las distintas leyes y regulaciones presentes en el mundo sobre Protección de los Datos Personales. En el caso de Latinoamérica, aunque tenemos mucho camino por recorrer, ya existen países con legislación al respecto. Si bien hay distintos niveles de avance y madurez en lo que respecta al cuidado de este tipo de datos, me resulta interesante señalar algunos de ellos:
En otros artículos analizaremos con mayor detalle la legislación y regulaciones de algunos de estos países.

Para terminar, me gustaría compartir con ustedes un video que hace un tiempo está dando vueltas en YouTube, que ilustra perfectamente el impacto que puede tener en nuestra vida personal, la información publicada en las redes sociales.


¡Saludos y hasta la próxima!

Héctor

miércoles, 23 de enero de 2013

Ethical Hacking Security Training en Panamá

Me es muy grato contarles que los días 6, 7 y 8 de marzo, estaré con SIClabs dictando en la Ciudad de Panamá un entrenamiento intensivo en Ethical Hacking. La modalidad de enseñanza contempla la presentación de los temas teóricos de cada módulo, seguido por su aplicación práctica en  laboratorios, lo que da una relación de aproximadamente un 60% de aplicación práctica y un 40% de teoría. 

El curso está orientado a Oficiales y Gerentes de Seguridad de la Información, Administradores de sistemas, Administradores de redes, Profesionales de tecnología que quieran especializarse en seguridad ofensiva, Estudiantes y entusiastas que quieran iniciarse en los aspectos de la seguridad ofensiva. A continuación les comparto los objetivos del entrenamiento:
  • Que los asistentes comprendan la metodología para llevar adelante la evaluación de seguridad conocida como Test de Intrusión.
  • Que los asistentes puedan, asistidos por el instructor si es necesario, llevar adelante las distintas etapas de un proceso de Test de Intrusión en un entorno controlado de laboratorio. 
  • Que los asistentes conozcan las distintas contramedidas para mitigar estos ataques.
  • Que los asistentes conozcan los alcances éticos, legales y regulatorios de este tipo de evaluaciones.
Para cumplir con estos objetivos, basados en la certificación CEH y en la experiencia profesional compartido con otros colegas en SIClabs, hemos dividido el entrenamiento en 14 ejes temáticos que conforman el temario reducido:
  1. Introducción al Ethical Hacking
  2. Etapa de Reconocimiento
  3. Etapa de Escaneo y Enumeración
  4. Etapa de Ataque 
  5. Etapa de Mantenimiento del Acceso
  6. Ataques a la Infraestructura
  7. Ataques a la Autenticación
  8. Ataques de Análisis de Protocolos (Sniffing)
  9. Ataques de Ingeniería Social y Client Side
  10. Denegación de Servicio y Hijacking de Sesión
  11. Hacking Web Applications
  12. SQL Injection y Cross-Site Scripting
  13. Ataques a las Redes Inalámbricas
  14. Test de Intrusión: Metodologías
El curso se realizará en la Ciudad del Saber en salón a confirmar y por participar del entrenamiento cada asistente recibirá:
  • Presentaciones en formato digital
  • Certificado de Asistencia 
  • DVD con la distribución Backtrack, adaptada especialmente para este entrenamiento.
  • Ejemplar de cortesía del Libro “Ethical Hacking 2.0”, ISBN: 9789871857630, Ed. Users.
  • Almuerzo y refrigerios durante los 3 días de curso.
Si estás interesado en rendir la certificación CEH, el Ethical Hacking Security Training te brinda la base de herramientas teóricas y prácticas para realizar exitosamente el proceso de certificación.

Para más información, contactame a hector @ hectorjara.com.ar o a educacion @ siclabs.com

Espero con ansias que llegue el 6 de marzo y poder verlos ahí.
¡Saludos!



Plazas disponibles para becas en Europa


Si sos alumno de grado o de posgrado y estás en Nicaragua, Guatemala, Honduras, El Salvador, Brasil, Argentina, México o Colombia, puede que te interese esta información compartida por el profesor Jorge Ramió Aguirre, de la Universidad Politécnica de Madrid.

Hay disponibles 24 plazas de becas para Doctorado (algunas en seguridad) con asignaciones de 1.500 Euros, viaje, matrícula, etc., otorgadas por el Latin American Engineering and Information Technologies Network (LAMENITEC). El plazo se ha ampliado y finaliza esta semana.

Más información: http://lamenitec.mondragon.edu/
O bien contactar con el miembro de esta red: Urko Zurutuza (uzurutuza@mondragon.edu)

sábado, 12 de enero de 2013

Informe sobre Seguridad en los Juegos Online 2012

Si sos un fanático de los Juegos Online o simplemente de vez en cuando te gusta disfrutar de un momento de ocio, te recomiendo que le dediques unos minutos a leer el II Informe sobre Seguridad en Juegos Online publicado por la gente de S2 Grupo. Podés descargarlo desde aquí.

Usualmente es común escuchar o leer comentarios del tipo "pero si solamente estoy jugando, ¿que me pueden robar? o "yo no tengo nada que a los hackers les pueda interesar...". Por eso les transcribo a continuación algunas de los objetivos de los ciberdelincuentes que surjen de la versión de 2011 de este informe para que veamos que estas afirmaciones ya no son válidas:
  • Dinero virtual: Muchos juegos disponen de monedas virtuales que se utilizan para obtener ventajas en el juego frente a otros adversarios. Este dinero virtual se ha vuelto un objetivo de los hackers debido a que puede llegar a venderse y así obtener moneda de curso legal.
  • Robo de cuentas: Otro de los objetivos de los hackers es el robo de cuentas de jugadores, ya sea de videojuegos o de cuentas de casinos online. En el primer caso puede estar relacionado con el punto anterior o también con el simple hecho de querer obtener una cuenta que sea valiosa en el juego. En el caso de las cuentas en los casinos online, el objetivo parece claro: el intento de estafa y robo de dinero a los legítimos dueños.
  • Trampas online: Sigue siendo común que algunos jugadores realicen trampas para generar ventaja sobre sus adversarios. Este problema es uno de los más molestos para los jugadores, ya que no les permite desarrollar su entretenimiento de forma normal.
  • Robo de datos personales: Los datos personales se han convertido en un recurso interesante para los atacantes porque les permite comerciar con identidades. Existen casos conocidos donde se han vendido packs con información personal de miles de usuarios.
  • Robo de nº de tarjetas de crédito: Este es el mayor peligro al que se enfrentan los jugadores. Si un ciberdelincuente consigue acceso a la tarjeta de crédito de un jugador, intentará realizar transferencias no autorizadas causando un severo daño económico al jugador.Control de la máquina del usuario: Por último, otra forma que tienen los ciberdelincuentes de generar dinero es infectar los dispositivos de los jugadores y “alquilarlos” al mejor postor para que cometan actos delictivos en nombre del delincuente.
Mientras que durante 2012, a los anteriores se les agregaron dos nuevos.
  • Ciberactivismo: El año 2012 ha estado repleto de ataques y amenazas realizadas por el colectivo Anonymous a diferentes organizaciones, siendo los más utilizados los de Denegación de Servicio Distribuida (DDoS).
  • Venta de vulnerabilidades o fallos de seguridad: Existe un mercado de vulnerabilidades donde algunas empresas publicitan los descubrimientos de fallos en aplicaciones y juegos con el fin deender esos fallos al mejor postor, poniendo en serio riesgo al usuario porque en la mayoría de los casos, el fabricante no es informado de la vulnerabilidad y por tanto, no corrige el fallo.
Pero a no desesperar que en el final del informe encontrarán un decálogo sobre seguridad en videojuegos que les ayudará a mantenerse seguros mientras disfrutan de sus juegos online favoritos. A continuación los transcribo:
  1. Tener un ordenador protegido no garantiza que los datos del jugador estén seguros.
  2. No reutilizar contraseñas utilizadas en juegos online, ya que si la contraseña se ve comprometida, el atacante tendrá acceso a otros servicios.
  3. Desactivar las restricciones impuestas por el fabricante de un videojuego, consola u otro dispositivo, elimina también sus medidas de protección.
  4. Es necesario proteger cada dispositivo desde el que se tiene acceso a juegos online.
  5. Hay que desconfiar de todas las notificaciones recibidas donde se nos inste a introducir nuestro usuario y contraseña.
  6. Los juegos descargados de sitios no oficiales son un peligro para la seguridad del jugador. Es mejor descargarlos de fuentes oficiales.
  7. Para garantizar la transparencia y la seguridad del jugador, solo se recomienda realizar apuestas en los operadores con el sello “juego seguro”
  8. Es muy recomendable tener instalado, tanto en los ordenadores como en los dispositivos móviles un buen antivirus.
  9. Es recomendable no introducir el nº de tarjeta de crédito si no es estrictamente necesario. 
  10. La concienciación en materia de seguridad es muy importante: todos los usuarios son posibles víctimas de ataques.

domingo, 6 de enero de 2013

Panamá: La Guerra de los Clones


Durante 2012 la banca Panameña fue víctima de un grave flagelo, la clonación de tarjetas de pago, tanto de débito como de crédito. Pero más allá de los problemas que le genera a los usuarios, el mayor impacto lo tienen las entidades financieras. El sector bancario estima que las pérdidas hasta septiembre de 2012 alcanzaron los 10 millones de dólares, siendo los bancos más afectados el Banco General de Panamá, Banco Nacional de Panamá y HSBC Panamá.

Si bien el Acuerdo N°6 de 2011 de la Superintendencia de Bancos de Panamá, una regulación de avanzada en la región que entró en vigencia en septiembre de 2012, preveé la implementación de las tarjetas chip en todas las entidades, el plazo otorgado para dicha implementación es de hasta 3 años. El uso de tarjetas chips incorpora nuevas tecnologías que mejoran su seguridad y dejan sin efecto este tipo de fraude.

Desde el punto de vista de los comercios, recuerden que todos aquellos que operen con tarjetas de pago, deben cumplir con el estándar PCI-DSS. Para más información pueden consultar la regulación completa aquí.

Clonando las tarjetas

En la actualidad existen dispositivos denominados skimmers que permiten duplicar la información que se encuentra en la banda magnética de las tarjetas de pago. Sin embargo, la tarjeta clonada no podrá ser utilizada por los delincuentes sino conocen además el PIN de seguridad.

Cajero automático del sistema Clave.

Existen dos instancias en las cuales el delincuente puede clonar la tarjeta utilizando uno de estos dispositivos, en un Cajero Automático o en un Punto de Venta (POS por sus siglas en inglés). Pero para obtener el PIN los delincuentes deben agudizar un poco su ingenio. Por ejemplo mirando de reojo cuando el usuario ingresa el código (técnica conocida como shouldersurfing) o en casos más sofisticados, lanzando ataques de phishing a los usuarios legítimos de las tarjetas clonadas, engañándolos para que compartan el PIN con el delincuente. En la Figura que se muestra a continuación podemos apreciar un caso de phishing que simulaba provenir de un reconocido Banco. Vale la pena notar que el mail es enviado por una dirección que nada tiene que ver con la institución. Por otro lado, si en el correo nos posicionábamos sobre el link, nos direccionaba a un sitio que se encuentra bajo el control de los delincuentes y no del Banco.

Ejemplo de un ataque de phishing que simula ser del Banco General.

Recomendaciones de Seguridad

Sin embargo, mientras esperamos que implementen las tarjetas chip, les propongo 7 recomendaciones de seguridad para evitar ser víctimas de la clonación de tarjetas:
  1. Utilice aquellos cajeros automáticos que conoce y con los cuáles está familiarizado, por ejemplo los de las sucursales que frecuenta.
  2. En la medida de lo posible, utilice los cajeros que se encuentran en los bancos, ya que tienen mejores controles de seguridad que aquellos que se encuentran en lugares públicos (como por ejemplo los que están en los centros comerciales).
  3. Observe con detenimiento la ranura donde se intruce la tarjeta, ya que los delincuentes pueden colocar skimmers en la misma. Si nota algo extraño o diferente a lo que está acostumbrado, no lo utilice y en lo posible alerte al personal del banco.
  4. Cuando en el cajero tenga que ingresar el PIN, asegúrese que nadie este mirando el teclado. Los más paranoicos incluso cubrimos el teclado con la otra mano.
  5. Al pagar con tarjeta en un comercio, cuando sea posible no pierda de vista su tarjeta. Una recomendación adicional es registrar el consumo realizado, dónde se realizó y en qué horario.
  6. En lo que respecta a la Banca electrónica, siga las recomendaciones de su banco. Todas las instituciones deben dar a conocer a sus clientes recomendaciones básicas de seguridad. Por ejemplo, advertirle que el Banco NUNCA le enviará un correo electrónico solicitando usuarios, contraseñas o PINs de acceso.
  7. Ante cualquier duda, consulte a su Banco. Tengamos presente que la seguridad depende de todos nosotros, no sólo de los Bancos.
Adicionalmente, encontrarán más consejos de seguridad en el sitio de Telered, la red de pagos electrónicos de la República de Panamá.

Y parafraseando al Maestro Yoda, "para evitar que tu tarjeta clonen, seguir estos consejos debes"