Category Archive Noticias

PorjLeonett

Así evoluciona la tecnología de la seguridad informática

Durante los últimos años en Colombia se multiplicaron por cuatro las conexiones a Internet, al tiempo que más del 60 por ciento de las Mipymes llegaron a la red. Al cierre de 2013 el 42 por ciento de hogares del país poseía computador de escritorio, portátil o tableta, mientras que el número de suscriptores móviles a Internet creció en cerca de 1,4 millones en un año.

Este incremento en el número de usuarios que desde Colombia acceden a contenidos, aplicaciones y servicios alrededor del mundo, también viene acompañado con un aumento en los riesgos derivados de estar presentes en la red. Así lo sustentan estudios como el elaborado por el Centro de Control Antifraude de RSA, que reveló que en enero de 2014 Colombia fue el cuarto país del mundo en alojar la mayor cantidad de ataques de robo de identidad, sólo superado por Estados Unidos, Alemania y Canadá.

Ante estos inminentes riesgos las compañías de seguridad del mundo trabajan sin descanso en el desarrollo de herramientas físicas y aplicativos virtuales que puedan blindar a los usuarios de la red.

Precisamente desde mañana miércoles Colombia albergará uno de los eventos regionales más importantes en materia de seguridad electrónica, física, industrial e informática. Se trata de la Feria Internacional de Seguridad, que en su edición número 20 espera convocar a más de 10.000 visitantes quienes interactuarán con más de 300 empresarios de 18 países.

EL TIEMPO tuvo acceso a algunos de los adelantos tecnológicos más llamativos que serán presentados en la feria. “Gadgets” con usos para el hogar, corporaciones y e incluso para la fuerza pública, que sin duda marcarán la pauta en temas de seguridad durante los próximos años.

Hogares seguros y 100% conectados

Algunas de las tendencias tecnológicas en materia de seguridad para el hogar van enfocadas al uso responsable de la red por parte de los menores. Para ello existen dispositivos físicos que al complementarse con aplicaciones, le permiten al usuario hacer un seguimiento de las páginas web que son visitadas en su hogar, al tiempo que ofrece alternativas para bloquear usuarios que quieran ingresar a la red de forma no autorizada. Otros dispositivos de vigilancia para bebes, cuentan con sensores de movimiento y audio, monitores de temperatura ambiente y visión nocturna, funciones que pueden ser seguidas de forma remota.

Más allá de la información

Si bien las empresas cada día se preocupan más por mejorar las condiciones de seguridad de sus redes en busca de salvaguardar información, la protección de las instalaciones físicas y del personal sigue siendo una prioridad en el sector industrial. Entre las novedades que traerá la feria Internacional de Seguridad están sistemas inalámbricos de detección de incendios, gases y movimientos telúricos, cámaras de vigilancia 4K Ultra HD o sistemas de evacuación de incendios.

Más ojos y oídos para las ciudades

Entre los desarrollo de seguridad que puede usar la fuerza pública se destacan “gadgets” como gafas con cámaras de video HD o bloqueadores de señal. Según cifras del Fondo de Vigilancia y Seguridad, en Bogotá hay 411 videocámaras distribuidas en 20 localidades, mientras que ciudades como Sucre, en Venezuela, son vigiladas por 1.200 lentes.

Tablet para monitoreo de hogares

El dispositivo integra el control de iluminación, persianas, chimeneas, accesos y electrodomésticos, así como sistemas de seguridad. Además ofrece acceso a Twitter, Facebook, entre otras redes y puede ser operado desde un Smarphone de manera remota. La innovación italiana, de 7 pulgadas, ya está siendo utilizada por 10 hogares de Colombia, pero se espera que para finales de 2014 existan entre 50 y 60 casas con esta tecnología.

Smartphone como botón de pánico

La “app” Smartpanics que fue desarrollada por la compañía Softguard, incorpora los teléfonos móviles a la seguridad ciudadana, llegó a las 100.000 descargas en menos de seis meses. Convierte el celular en botón de pánico para informar tanto a agentes privados como a las autoridades frente a siniestros o situaciones peligrosas.

Gafas con mini cámara HD

Esta mini-cámara de video HD que se incorpora en el lateral izquierdo del marco de unas gafas permite enviar el video capturado a un servidor en la nube. En el diseño del dispositivo participaron más de 100 agentes de policía de Estados Unidos, quienes asesoraron a los fabricantes para lograr un producto que no altere en lo más mínimo su efectividad en las operaciones.

Rastreador GPS

Este rastreador GPS para uso personal, aparece como una alternativa para el monitoreo de personas bajo libertad condicional, ya que es posible vigilar desde un centro de control la ubicación del usuario, e incluso escuchar su conversaciones. Así mismo, el portador puede enviar señales SOS en caso de emergencia o realizar llamadas a números predeterminados.

Fuente: El tiempo

PorjLeonett

Se buscan especialistas en seguridad informática

Por el cargo, que está en niveles gerenciales, pagan cifras astronómicas, pero alrededor de este también se genera un gran estrés y elevado riesgo laboral. Compadézcanse del pobre jefe de seguridad de la información. La profesión apenas existía hace una generación.

Pero para combatir la creciente amenaza de las violaciones de seguridad en línea, las empresas y los Gobiernos están contratando ejecutivos cuya principal responsabilidad es hacer que los sistemas de datos sean seguros.

Cuando las cosas van mal –y es a menudo– estos ejecutivos esperan cargar con la culpa. “Somos como ovejas esperando a ser sacrificadas”, dijo David Jordan, director de seguridad de la información para el condado de Arlington, en Virginia. “Todos sabemos nuestro destino cuando hay una violación significativa. Este trabajo no es para pusilánimes”.

Hace una década, pocas organizaciones tenían un jefe especializado en seguridad de la información o CISO, como se les conoce. Ahora, más de la mitad de las empresas con 1.000 o más empleados cuentan con un ejecutivo de tiempo completo o de medio tiempo en el puesto, según un estudio realizado el año pasado por el Instituto

Empresas como VeriFone, el proveedor de sistemas de pagos electrónicos; Brown-Forman, la empresa de bebidas; las universidades de Carolina del Norte y Chicago; y advenedizos recientes como Fitbit están todos en busca de oficiales de seguridad dedicados. Neiman Marcus, que sufrió una violación importante el año pasado, está buscando también.

El trabajo se ha vuelto tan crucial, dicen los reclutadores, que las empresas tratan de endulzar el trato y ofrecen bonos y salarios que van de 188.000 a 1,2 millones de dólares, con ventajas como la posibilidad de trabajar desde casa y generoso tiempo libre, y la promesa de mayores presupuestos para comprar más protección para los sistemas porosos.

Aún así, se ve como un trabajo ingrato. Muchos directores de seguridad de la información que han participado en el estudio de Ponemon calificaron su posición como el más difícil en la organización. La mayoría de los encuestados dijeron que su trabajo era malo o el peor trabajo que habían tenido.

El trabajo es tan demandante que muchos terminan dejándolo –voluntariamente o no– después de dos años, mientras los directores ejecutivos se mantienen 10 años en promedio.

De todos los dolores de cabeza que los CISO enfrentan, uno de los más grandes es averiguar en cuáles productos de seguridad pueden confiar. También se quejan de que se ha vuelto casi imposible evaluar los productos de cara al miedo y la incesante comercialización.

Los oficiales de seguridad dicen que no hay una bala de plata cuando hay que defenderse de una posible violación. Es cuestión de colocar capas de las tecnologías más eficaces, contratar a los mejores y, a continuación, tener la esperanza de contar con buena suerte.

Los candidatos a un puesto de trabajo como oficial de seguridad de la información tienen el cuidado de sacar a colación directamente las conversaciones difíciles desde el inicio, dicen los reclutadores. Antes de aceptar una oferta, algunos quieren asegurarse de que la junta está de acuerdo en que las infracciones son inevitables y que tienen que destinar presupuesto suficiente para la tecnología de seguridad de la información. “Si usted sabe que va a ser sacrificado, querrá una razón suficiente para aceptar el trabajo”, dijo el analista de seguridad de la firma de investigación de mercado Forrester John Kindervag. “Nadie habla de lo que le estamos haciendo a esta pobre gente. Estamos poniendo toda esta complejidad en sus hombros y después solo es ‘buena suerte’”.

Los directores de seguridad de la información deben estar siempre un paso adelante de los criminales, verificar una creciente lista de cumplimientos y vigilar de cerca a los vendedores que diseminan la información y de empleados imprudentes que cargan datos sensibles a las cuentas de Dropbox e iPhones desbloqueados.

Deben ser expertos en crisis y comunicaciones y expertos en la tecnología más sofisticada, a pesar de que incluso las más brillantes nuevas trampas de seguridad pueden ser burladas. Además, se enfrentan a un ritmo acelerado de noticias sobre infracciones por piratería informática.

Fuente: The New York Times – Nicole Perlroth/San Francisco (EE. UU.) – Portofolio

PorjLeonett

Ebook gratuito: Ingeniería inversa para principiantes

¿Por qué uno debe aprender el lenguaje ensamblador en estos días? A menos que seas desarrollador de sistemas operativos, es probable que no necesites escribir nunca en ensamblador: los compiladores modernos realizan optimizaciones mucho mejor de lo que lo hacen los humanos. Además, las CPUs modernas son dispositivos muy complejos y saber ensamblador no te dará un conocimiento exacto de su funcionamiento interno.

Sin embargo, hay al menos dos áreas en las que un buen conocimiento de ensamblador podría ayudarte: Primero, el análisis de malware/seguridad. Segundo, obtener una mejor comprensión de tu código compilado mientras lo depuras.

Ingeniería inversa para principiantes (en inglés ‘Reverse Engineering for Beginners’) es un libro gratuito deDennis Yurichev dirigido a todos aquellos que quieran aprender a entender el código x86 (que representa la mayor parte de ejecutables en el mundo del software) y ARM creado por compiladores C/C++.

Fuente: HackPlayers

PorjLeonett

Diez claves para evitar ciberataques

Usar comunicaciones inalámbricas sin autentificación o el uso ineficiente del ancho de banda son algunas de las principales debilidades

El pasado mes de junio el Instituto Español de Ciberseguridad, el SCSI, presentó el documento La ciberseguridad nacional un compromiso de todos. El estudio desarrolla los conceptos de ciberespacio y ciberseguridad, los riesgos y amenazas conocidos, evalúa la situación actual en España y propone la necesidad de desarrollar un sistema nacional de ciberseguridad que fomente la integración de todos los actores e instrumentos, públicos y privados.

El estudio dibuja también cómo la ciberseguridad se está convirtiendo en una de las principales preocupaciones de las compañías españolas, testigos de un claro cambio de paradigma. Sus objetivos de rentabilidad básicos tienen que cumplirse ahora desde un nuevo escenario que ha pasado de los sistemas propietarios a la adopción de tecnología abierta, en el que se posee menos tiempo para tomar decisiones y se ha incrementado la necesidad de intercambiar información.

 

U-tad señala que el principal problema actual en las empresas es su desconocimiento de las causas de los ataques y la consecuente imposibilidad de aportar soluciones. Consciente de esta dificultad, U-tad ofrece a las empresas las claves de las 10 principales vulnerabilidades de las empresas que les pueden convertir en objetivo de los actuales ciberdelicuentes:

 

1. Control inadecuado de las políticas de seguridad: es importante actualizar estas políticas con la misma asiduidad que con la que avanza la tecnología y regularlas haciendo un control exhaustivo de su aplicación.

 

2.   Confiar en la seguridad por oscuridad: los trabajadores de una entidad, a quiénes se les confían los mecanismos internos de las redes de la compañía, pueden cambiar su rumbo laboral y abandonar la compañía dejando al descubierto esas contraseñas o scripts que hasta ahora permanecían en la oscuridad.

 

3.   Procesos de parcheo lentos o con efectos poco predecibles: la rapidez es una de los principales factores del éxito o el fracaso de un ciberataque. Utilizar parcheos rápidos y con efectos predecibles facilita el proceso resolutivo.

 

4. Utilizar comunicación inalámbrica sin autentificación ni cifrado: con la introducción del byod en las empresas, cada vez con más frecuencia, los trabajadores utilizan dispositivos propios inalámbricos y/o sin cifrado que facilitan los ciberataques y posibilitan la entrada remota de usuarios a las redes de la compañía.

 

5.  Mecanismos deficientes para el aislamiento de redes y el control del tráfico no permitido: con la introducción de los usb en las empresas cualquier trabajador puede transportar información de una red a otra pese a estar físicamente aisladas. A esto hay que sumarle el ineficiente sistema de aislamiento de redes que se suele llevar a cabo en las empresas.

 

6.   Inexistencia de herramientas que identifiquen rápidamente actividad sospechosa: es necesario que las empresas incluyan una plataforma resolutiva de incidentes  que no solo integre alertas de cientos de soluciones puntuales, si no que de respuestas a incidentes inteligentes y accionables y automatice los procesos, permitiéndoles enfocarse en los incidentes más urgentes.

 

7.   Contraseñas débiles: la gestión deficiente de los controles de acceso puede abrir las puertas con facilidad a ataques externos.

 

8.   Utilización ineficiente del ancho de banda de red

 

9. Gestión deficiente de la memoria que puede derivar en “buffer overflow”: si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepase la capacidad y los bytes que sobren se almacenen en zonas de memoria adyacentes de fácil acceso.

 

10. No se mantiene una traza fiable de los cambios de seguridad

 

 

Este contexto empresarial ha provocado la necesidad de desarrollar un marco de certificación de profesionales con nuevas capacidades. Según el último informe elaborado por Esys, la Fundación Empresa Seguridad y Sociedad, sobre las necesidades de formación en seguridad, el 22,73% de los ingenieros españoles muestra una formación inadecuada en Ciberseguridad, mientras que el 45,45% tiene un nivel mejorable en este sector.

Fuente: globbtv