[Seguridad] 6 consejos de seguridad para las contraseñas

December 17th, 2010 | Posted by in Uncategorized - (0 Comments)

Como el reciente frenesí de los medios acerca del ataque a Gawker Media realizado por el grupo de hackers conocido como Anonymous continua, una cosa es absolutamente clara: Hubo una falta grave en la seguridad de las contraseñas de los empleados de Gawker y de los visitantes del sitio.

Si bien una buena política de contraseñas podría parecer algo elemental, el episodio de Gawker revela que no mucha gente toma seriamente su política de contraseñas. Eso me dice que es un buen momento de volver a la vieja escuela con algunas sugerencias de seguridad de contraseñas. Así que aquí están seis pautas básicas de seguridad de contraseñas que se aconseja seguir a todos.

1. Solicite un largo de clave mínimo

Las contraseñas cortas y poco complicadas son casi tan malas como no tener ninguna contraseña. Contraseñas como “perro” y “gato” pueden ser fáciles de recordar, pero son igualmente sencillas para que cualquier otro las adivine. Obligue un largo mínimo de contraseñas de al menos 6-8 caracteres para todos sus usuarios.

2. Cambio frecuente de contraseñas

Una buena regla práctica es forzar el cambio de contraseña cada 90 días o parecido, pero se podrían necesitar cambios más frecuentes, dependiendo del negocio en que uno esté. El colaborador de Windows IT Russell Smith sugiere que los profesionales de TI que trabajan para bancos, hospitales y otras organizaciones que tengan ajustadas requerimientos de seguridad deberían imponer cambios de contraseña más frecuentes.

3. No use palabras del diccionario, frases comunes o cadenas de texto comunes como contraseñas

Cada profesional de TI sabe que algunos usuarios siempre confían en esas contraseñas horribles como “password”, “letmein”, o “qwerty”. Si una palabra existe en un diccionario en inglés (N.T.: o en español) o es una frase común o una cadena común, no permita a sus usuarios usarla sin ninguna modificación.

4. Use caracteres especiales

Requiera el uso de caracteres especiales en sus contraseñas. Reemplazar “i” con el número “1″ o la “o” con el número “0″ no cuenta. Establezca y fuerce algunas reglas de complejidad rigurosa para todos sus usuarios.

5. No comparta contraseñas con otros

Muchas organizaciones que usan un servicio en la nube que los usuarios comparten acceso son culpables de esto, ya que docenas (sino cientos) de empleados puede que tengan la misma información de ingreso y contraseña. Eso podría ser aceptable si la información o servicio a la que esa contraseña provee acceso no es crítica, pero siempre hay algún riesgo involucrado. Y esta es la pregunta que uno se debe hacer: Si alguien con mala intención consiguiera acceso a ese sistema, ¿cuanto daño podría hacer?. Incluso si el riesgo es bajo, los accionistas y clientes normalmente no les gustaría escuchar sobre ningún tipo de brechas de seguridad o privacidad en las compañías con las cuales trabajan.

6. No use la misma contraseña para múltiples servicios

Demasiada gentes usa la misma contraseña para múltiples servicios en línea y cuentas. Admitiré sin problema que todos debemos hacer malabarismos con docenas de contraseñas de cuentas, pero usar la misma contraseña para todos ellos es como coquetear con el desastre, especialmente si usa la misma contraseña para servicios críticos como la banca electrónica, administrar sus fondos de retiro o inversión, o acceder a su cuenta principal de correo.

En lugar de recurrir a mantener una lista escrita de docenas de contraseñas o usar la misma contraseña para todo, recomiendo fuertemente usar un agregado para el navegador como LastPass, el cual automáticamente lleva registro de todas sus contraseñas de una forma segura.

Traducción: Raúl Batista – Segu.Info
Autor: Jeff James
Fuente: Windows IT Pro – Security Blog


, , , , , , , , , , , , , , , , , , ,

[Seguridad] Una filtración del FBI revela el coste y el modo de actuar en un ataque informático a gran escala

December 16th, 2010 | Posted by in Uncategorized - (0 Comments)

¿Cuánto le puede costar a una compañía como Google o Visa un ataque informático? ¿Cómo actúan las compañías ante tales ataques? Ahora que todos los medios comentan y parecen saber sobre los ataques informáticos, llegando a exponer de manera exhaustiva de qué se trata un ataque DDoS gracias a la relevancia de WikiLeaks, el New York Times (PDF) ha conseguido unas notas de control interno del FBI detallando el coste de un ataque y su “curiosa” resolución. Las notas adquieren hoy un valor más relevante. Por un lado veremos cómo actúa una compañía como Google ante un ataque así, por otro, nos podemos imaginar que los acontecimientos de estas semanas, con los ataques a Mastercard, Visa o PayPal deberán estar dando más de un quebradero de cabeza a las compañías.

Las notas conseguidas se remontan al año 2005. No sé si os acordaréis del nombre de Santy. Se trataba de un gusano, un software malicioso que infectó miles de ordenadores introduciéndose automáticamente en las consultas de las búsquedas. Durante varios meses Google se vio abrumada, presentando el 22 de diciembre del 2005 una reclamación al FBI en el que explicaban el bajo rendimiento del motor de búsqueda por los continuos ataques.

Tal y como explica Google en el informe, durante 18 meses vieron como su sistema se plagaba de gusanos que utilizaban las consultas para encontrar sitios web vulnerables, aprovechando un agujero de seguridad que se encontraba. Lo curioso del caso es que Google intentó tapar estas acciones a la voz pública debido a las presiones de varios grupos de antivirus. Evidentemente, al final no ha sido así.

En una de las notas que expone el diario, una agente del FBI escribió en medio de la investigación abierta:

A medida que Google filtra ciertas frases en la cadena de búsquedas, en cuestión de minutos, los sujetos modifican la frase de búsqueda, evitando los filtros de la compañía

La compañía intensificó la defensa debido a la gravedad del ataque. Un equipo entero de ingenieros para contrarrestar las acometidas. Pues bien, se cifra en los datos filtrados que alrededor de 500.000 dólares fue el coste para la empresa en pérdidas de ingresos. Unos datos que si bien son altos, hoy no lo serían tanto para el activo de la compañía, aunque se trata del año 2005.

La resolución del caso fue, cuanto menos, extraña. El gusano Santy y sus variantes fueron finalmente contrarrestados. Al examinar el código de software utilizado, los ingenieros encontraron una ventana que les llevaba al responsable. En el código se incorporaba una dirección de Gmail para un contacto técnico. Se redactó la dirección de correo y se envió al FBI.

El FBI emitió varias citaciones para comparecer en el juzgado de San José, supuestamente los responsables de los ataques. Poco después, el 31 de enero del 2006, Google le dice a la agencia que ya no está interesada en continuar con la investigación y el FBI cierra el caso.

¿Por qué? Hasta ahí llega el diario y las notas reveladoras. Aunque todo son suposiciones, podría haberse tratado de un tema de espionaje entre compañías, unas vez hablado y solucionado entre ambas partes, lo cerraron. O bien se podría tratar de un ingeniero que actualmente trabaja en las oficinas de Google, no sería el primer caso ni el último.

Fuente: DDS Media


, , , , , , , , , , ,

“Quiero ser libre” = Minero para el traductor de Google

October 8th, 2010 | Posted by in Uncategorized - (0 Comments)

Google Translate es el servicio de traducción del gigante
norteamericano que, a través de un método propio, es capaz de
mostrar palabras o frases en más de 50 idiomas –entre ellos, el
latín, swahili o vietnamita-. Sin embargo, en un caso aparentemente
más sencillo, muestra un resultado cuanto menos curioso.

, , , , , , , , , ,

Un equipo español diseña un bot para cazar pedófilos en redes sociales

October 2nd, 2010 | Posted by in Uncategorized - (0 Comments)

El sistema permite bloquear el contacto del ciberacosador con los menores.

Un grupo de investigadores españoles ha ideado una trampa digital para localizar y neutralizar a los pedófilos que aprovechan la falta de control en la red para contactar con menores. El prototipo, diseñado por ocho investigadores de la Facultad de Informática de la Universidad Politécnica de Madrid, recibe el nombre de Baby Bot, y se basa en un robot que se conecta a las redes sociales y a través de distintos avatares, que funcionan de manera autónoma deambulando por la red y se expresan con el lenguaje propio de un menor, crea señuelos para atrapar a los pedófilos.

“Te vienen a buscar a ti”, resume José Gabriel Zato, director del grupo investigador. Los avatares, dirigidos por el robot, son capaces de establecer conversaciones con otros usuarios sin esperar a que sea un posible ciberacosador quien se dirija a ellos. Cuando el usuario real escribe una frase de respuesta, el Baby Bot la interpreta y genera instantáneamente una respuesta que transmite el avatar ficticio.

Estas respuestas “se construyen de forma específica para que se mantenga el interés de la conversación y así esta derive en frases que progresivamente suben de tono”, señala Zato.


Cuando el presunto acosador empieza a realizar preguntas del tipo: “¿Qué talla de pecho llevas?” o “¿Podría verte desnudo?”, la alarma salta en el sistema; la charla se guarda en una base de datos y el usuario entra en un registro de presuntos depredadores.

El investigador precisa que “el avatar actúa como gancho y se muestra receptivo, pero nunca provoca al verdugo ni hace proposiciones deshonestas”. En este sentido, José María Gómez Hidalgo, que trabaja para la empresa de seguridad Optenet en el desarrollo del producto, con una subvención de la Comunidad de Madrid, recuerda que “no puede haber evidencias de incitación, porque en España es delito”, al contrario de lo que ocurre, por ejemplo, en EEUU.

Los creadores de Baby Bot utilizaron la plataforma Second Life como banco de pruebas, aunque aseguran que puede aplicarse en cualquier red social. De hecho, la empresa está investigando con Tuenti cómo crear perfiles que busquen amigos de manera autónoma y evalúen sus actitudes.

Una vez concluya el desarrollo del sistema, Gómez prevé, entre otros usos, distribuirlo a particulares, colegios o institutos a través de un software que, instalado en un ordenador, podrá bloquear el acceso de un menor a todos los ciberacosadores registrados, con sólo activar una pestaña en las opciones del programa.

Colaboración con la policía

La empresa también está dispuesta a trasladar el programa a las fuerzas de seguridad del Estado. “Ellos pueden contactar con el proveedor de internet y, en caso de alguna irregularidad, solicitarle la IP y los datos del presunto pedófilo”, explica Gómez. El trabajo no es fácil, dado el grado de experiencia de los internautas. “Tienen muchos conocimientos informáticos y entre ellos llegan a crear redes para atrapar a menores; al final, todo se convierte en una lucha constante de inteligencias entre ambas partes”, asegura Zato.

En la actualidad, Optenet no conecta directamente con la policía, sino que utilizan a la ONG Protégeles como encargada de tramitar todas las denuncias. El organismo recibe unas 3.000 al año, la mayoría sobre pornografía infantil. “De redes sociales recibimos unas cien en 2009″, dice su presidente, Guillermo Cánovas, alertando de que todo el tráfico de menores se está trasladando a estos portales debido a su multifuncionalidad.

La política de privacidad, según Cánovas, difiere mucho de unas redes sociales a otras. “Tuenti trabaja muy bien y se adapta a la legislación española, mientras que con Facebook todo es mucho más complicado”, resume.

Fuente: Público.es


, , , , , , , , , , , , , , , , , , ,

Informe: los adolescentes y las redes sociales

September 30th, 2010 | Posted by in Uncategorized - (0 Comments)

El Ministerio de Educación de Argentina ha publicado un informe sobre las redes sociales, su extensión, su funcionamiento, su importancia actual y sobre todo un extenso estudio sobre las cifras en el país.

Si bien algunos de los datos han sido extraídos de otros estudios, algunas frases del informe remarcan:

La mayoría de quienes están en alguna red social son jóvenes. El 80 por ciento de los usuarios de redes sociales en todo el mundo, tiene entre 12 y 30 años. Y la frecuencia de uso entre los adolescentes (12 a 19) es muy alta.

El riesgo mayor con Internet, es que los chicos y adolescentes no siempre son conscientes de lo que puede ocasionar un uso no responsable de la web. La confianza que tienen en ellos mismos es superior a la posibilidad de pensar en situaciones difíciles que puede generar la Red:

  • 95% no cree en los riesgos de Internet
  • 90% se siente inmune frente a lo que puedan encontrar
  • 75% cree en todo lo que dice la Red
  • 60% cree que sólo amigos ven su página personal
  • 90% dice que en su casa no hay reglas de uso

Una encuesta internacional realizada entre los más jóvenes para saber qué contenidos incluyen en sus sitios personales, dice que en sus páginas web:

  • 80% menciona su ciudad
  • 60% sube fotos propias
  • 30% da el nombre de su escuela
  • 20% admite el consumo de alcohol
  • 10% reconoce el consumo de cigarrillos
  • 10% usa su nombre completo

 ¿Qué se puede hacer?

La principal recomendación para los adultos es siempre el diálogo.
Conversar con los chicos acerca del uso que hacen de Internet, estar al tanto de las páginas que visitan, saber con quiénes chatean y qué información suben a sus sitios, es la mejor manera de acompañar a los más jóvenes ante cualquier situación difícil que se les pueda presentar.

Para profundizar estos conocimientos, recomendamos ingresar a Segu-Kids, sitio orientado a padres, docentes y jóvenes y que tiene la intención de educacar y prevenir.

Cristian de la Redacción de Segu-Info


, , , , , , , , , , , , ,