El 96% de los ataques sociales tienen éxito

November 18th, 2010 | Posted by in Uncategorized - (0 Comments)

La seguridad de los sistemas de información una vez más a la palestra en las redes sociales.

Un estudio reciente demuestra que 9 usuarios de cada 10 entregan información sensible sin pensárselo mucho. La formación sigue siendo la herramienta más eficaz para proteger el sistema de información corporativo.

¡Sabíamos que el usuario es el eslabón débil de la seguridad de los sistemas de información pero no hasta este punto! En el último Defcon, reunión anual de hackers que tuvo lugar el mes de julio pasado, un equipo a intentado obtener información confidencial de 135 empleados de 17 grandes empresas americanas como Cisco, Coca-Cola, Google, Ford, Pepsi, Symantec, etc. Estos hackers se han hecho pasar simplemente por consultores que realizaban una encuesta interna o bien por colaboradores.

Esta técnica se llama “Social Engineering” porque se centra en el aspecto humano y social de la estructura organizacional vinculada al sistema de la información que se quiere comprometer.

El resultado fue que el 96% de las personas contactadas por e-mail o por teléfono han desvelado información confidencial. Solo 5 mujeres de las 135 personas interrogadas no han desvelado nada de nada, además estas mujeres han colgado el teléfono en menos de 15s.

¿Son las mujeres más fiables que los hambres para guardar secretos de empresa?

La situación desvelada por esta encuesta es especialmente grave ya que la información que los hackers han podido recoger les permite rodar las defensas establecidas por el departamento de sistemas. Las informaciones que han podido recoger van desde la versión del sistema operativo, el navegador utilizado o bien el antivirus instalado en puestos de trabajo y servidores.

Esta encuesta ha permitido saber que más de las mitad de las empresas atacadas utilizan Internet Explorer 6. Esta versión del navegador de Microsoft es conocida por sus numerosos problemas de seguridad. Muchos puestos de trabajo hubiesen podido ser infectados por caballos de Troya o bien por spyware ya que la mayoría de los interlocutores han aceptado conectarse a los sitios webs dudosos que les indicaban los Hackers.

Esta experiencia prueba una vez más la necesidad de formar a los usuarios en el ámbito de la seguridad de la información y hacerles tomas consciencia de las consecuencias de sus actos en el ámbito laboral.

Fuente: Blaunia


, , , , , , , , , , , , , , , , , , ,

Sólo 15% de las empresas de México cuentan con sistemas de protección

November 17th, 2010 | Posted by in Uncategorized - (0 Comments)

Tan sólo 15% de las empresas en México cuentan con algún sistema de protección de su información, pese a que ésta puede llegar a representar para algunas firmas más de 70% de su valor, explica Saúl Cruz, director ejecutivo de la consultora Select.

La escasa cultura de seguridad en la información, el desconocimiento por parte de los empleados de las medidas de seguridad informática, los altos costos de los sistemas de seguridad y la falta de medidas de protección eficientes, hacen que las empresas mexicanas sean vulnerables al espionaje industrial cibernético, explica Cruz.

El Estudio de Percepción sobre Seguridad de la Información México 2009, elaborado por la consultora Joint Future Systems, muestra que las principales preocupaciones de las empresas sobre seguridad informática son la privacidad y confidencialidad (55%), la integridad (42%), el robo de identidad (40%), pérdida de la información (29%) y la extracción de datos (39%).

El robo de información electrónica es un riesgo latente para cualquier empresa, ya sea de servicios o manufacturera, y va desde la sustracción de planes de negocio, negociaciones, listas de clientes o contratos, hasta el robo de patentes, fórmulas de preparación, planos, prototipos, esquemas, diseños o estrategias de fabricación, comenta el directivo de Select.

En los estudios anteriores de Joint Future Systems, los Virus y Hackers se posicionaban como las principales amenazas del espionaje industrial cibernético, mientras que en el estudio más reciente se registra un incremento en los agresores internos y en los programas espía o spyreware.

Esto se debe, explica Cruz, a que las compañías aún no tienen muy desarrollado el concepto de protección de la información electrónica. Actualmente existen sistemas de seguridad virtual o electrónica que no requieren inversiones en infraestructura propia, ya que pueden ser implementados y operados por terceros.

Para Eric Herrera, director de alianzas estratégicas para Archer-RSA, mantener segura la información no sólo reduce los riesgos de espionaje industrial, sino que además permite a las organizaciones tomar más decisiones estratégicas informadas y mejorar procesos de cumplimiento de normas al facilitar la presentación de informes.

“Contar con soluciones virtuales que garanticen la confidencialidad de la información independientemente de quién accese a ella o cómo sea usada, permite a las empresas reducir incidentes por malos manejos de datos disminuyendo pérdidas económicas por fraudes e, incluso, por multas de auditorías externas”, comenta el directivo de Archer-RSA, proveedora de software de riesgos.

Para contar con una mejor visualización y gestión del riesgo en toda la infraestructura de tecnologías de la información (TI) de las empresas, comenta Herrera, existen una gama de soluciones en el mercado que van desde la administración de riesgos, incidentes y amenazas, hasta la planificación de auditorias, políticas y reglamentación.

Cinco tips para proteger a su empresa del espionaje industrial cibernético:

1. Establecer políticas, que contemplen planes y programas en materia de seguridad electrónica.
2. Capacitar al personal en todos los niveles de la empresa en seguridad informática, ya que el desconocimiento del usuario facilita el robo de información.
3. Establecer la firma de cláusulas de confidencialidad en los contratos de trabajo de los empleados para que no divulguen información estratégica a la que tienen acceso, aún si dejan de pertenecer a la compañía.
4. Apegarse a los estándares de seguridad informática, como el ISO 7799, que certifica las empresas en función de sus metodologías y estándares de protección de información.
5. Contar con sistemas de seguridad virtual y electrónica especializados.

Fuente: CNN Expansión


, , , , , , , , , , , , , , , , , ,

80% de los websites con malware son sitios legítimos que han sido comprometidos

November 12th, 2010 | Posted by in Uncategorized - (0 Comments)

La cantidad de sitios web maliciosos en Internet se ha incrementado en más de un 100% desde el año pasado, de acuerdo con los resultados de una investigación llevada a cabo por la firma de seguridad Websense.

Según Websense, casi un 80% de los websites con código malicioso son sitios legítimos que han resultado comprometidos por los hackers. Además, la compañía asegura que un 90% del spam distribuido en 2010 incluía enlaces a websites maliciosos o de difusión de correo basura.

El estudio de Websense también concluye que uno de cada cinco actualizaciones de status Facebook contiene un link, y de ellos el 10% son vías de entrada de spam o malware. Además, la compañía advierte que los ciberdelincuentes ahora tienden a combinar diferentes botnets, troyanos y virus, como Aurora, Stuxnet y Zeus y utilizan también una combinación de tácticas, como phishing, sitios web comprometidos y redes sociales para expandir sus actividades en la Web.

Por otra parte, Websense asegura que son los usuarios web que buscan noticias de candente actualidad tienen más probabilidades de entrar en alguna página infectada de malware que los que buscan webs de contenido para adultos. En concreto, un 22% de probabilidades frente a un 21% en el segundo caso.

De cualquier modo, el mayor riesgo los que buscan websites de entretenimiento online: un 23% de los resultados de tales búsquedas conducen a enlaces maliciosos, siendo Estados Unidos el país que hospeda la mayor cantidad de páginas de phishing.

Cuando de robo de datos se trata, el 52% de los ataques se producen vía web, y Estados Unidos y China son los países donde se ha generado la mayoría del malware de robo de datos entre 2009 y 2010.

Fuente: CSO


, , , , , , , , , , , , , , , ,

Kinect, hackeado

November 9th, 2010 | Posted by in Uncategorized - (0 Comments)

Hace poco, un grupo de hackers puso al
público un concurso en el que ofrecían darle 2000 dólares a la
persona que desarrollara un driver libre y abierto para Kinect, la
nueva estrella de Microsoft. Pues bien, mucho antes de lo esperado,
el día de hoy se ha hecho público un controlador que permite el
acceso al dispositivo.

, , ,

Vulnerabilidad de ‘dia-cero’ en Firefox bajo ataque en el sitio oficial del Premio Nobel

October 26th, 2010 | Posted by in Uncategorized - (0 Comments)

Hackers maliciosos están explotando una vulnerabilidad 0-day en el navegador Firefox de Mozilla para lanzar un ataque de descargas silenciosas (drive-by download) contra los visitantes del sitio web del Premio Nobel.

Según investigadores de Norman ASA, Los usuarios de Firefox que navegaron el sitio fueron infectados silenciosamente con Belmoo, un troyano de Windows que le da al atacante control completo de la máquina.

La explotación fue exitosa en las versiones Firefox 3.5 y 3.6 según informa Norman.

Una vez realizada la descarga silenciosa, dice Norman, el malware podría intentar conectarse con dos direcciones de Internet, ambas apuntan a un servidor en Taiwan. El equipo de respuesta de Mozilla esta investigando el tema, según un vocero.

Traducción: Raúl Batista – Segu-Info
Autor: Ryan Naraine
Fuente: Blogs ZDNet


, , , , , , , , , , , , , , , , , , ,