Legislación relevante para Seguridad de la Información

0
hace 5 meses
por Miguel Ángel Hernández Ruiz en ,
votar

Siempre me rondan por la cabeza las leyes del marco legal español que tocan más a la seguridad de la información y hoy he encontrado un hueco para hacer un esquema donde he dejado plasmadas las que para mí son las más relevantes aunque, evidentemente, no son las únicas (podemos echar un vistazo al post sobre el código disciplinario sin ir más lejos).

Éstas son algunas de las legislaciones que además servirán como parte de la identificación de la legislación aplicable según exige la propia norma. Os dejo el diagrama, ahora solo falta conocerlas todas a fondo…

Espero que os resulte de utilidad e interés.

Salu2!

Curso de Peritaje Informático: Un Enfoque Basado en Casos

0
hace 6 meses
por Miguel Ángel Hernández Ruiz en
votar

El Ilustre Colegio de Ingenieros en Informática de la Región de Murcia organiza durante los dos últimos fines de semana de Noviembre el un curso de peritaje informático donde se va a formar a futuros peritos desde un enfoque lo más práctico posible por peritos informáticos experimentados y profesionales del ámbito legal de reconocido prestigio.

FECHAS
El curso tendrá una duración de 20h, repartidas en 4 sesiones. Los horarios serán Viernes 16:00h a 21:00h y Sábados 09:00h a 14:00h.

Curso: 23, 24, 30 de Noviembre y 1 Diciembre.
Acto de entrega de diplomas: 13 de Diciembre.1

PRECIOS
Colegiados: 200€
Alumnos y Profesores de la UMU: 250€
Otros: 300€

TEMARIO
El curso estará dividido en 4 sesiones:

Sesión 1: EL PERITO INFORMÁTICO
Sesión 2: LEGISLACIÓN VINCULANTE
Sesión 3: EVIDENCIA DIGITAL
Sesión 4: PERICIALES TIPO

INSCRIPCIONES
Para realizar la inscripción en el curso, siga los siguientes pasos:

1. Descarga del Formulario de Inscripción Curso Peritajes 2012
2. Completar el formulario y enviarlo por correo electrónico a cop@cii-murcia.es
3. Realizar el pago del curso y enviar el justificante a cop@cii-murcia.es

El plazo de inscripción es del 22/10/2012 al 21/11/2012. Plazas limitadas (20), según riguroso orden de inscripción.

Para más información podéis dirigíos a la web del curso en la del Colegio de Ingenieros en Informática de la Región de Murcia.

Más blogs que leo

0
hace 7 meses
por Miguel Ángel Hernández Ruiz en ,
votar

Anteriormente publiqué un post con algunos de los blogs que leo y en los que encuentro siempre cosas interesantes. Lo cierto es que no hay lista justa porque siempre alguien que lo merece se queda fuera y yo en la anterior lista de blogs me dejé algunos de los que más me gustan pero que realmente no creo que les resulte ni siguiera significativa la mención aquí, dada su amplia difusión. Aún así en este post quiero completar aquella primera lista.

  • Un informático en el lado del mal de Chema Alonso. No se para que pongo esto porque a Chema lo lee todo el mundo medianamente vinculado a Seguridad Informática. Ni que decir tiene la gran dedicación que pone diariamente para publicar, hasta cuando se agarra un constipado.
  • Una al día de Hispasec donde nos mantienen al tanto de bugs significativos, noticias relevantes, actualizaciones, etc… debería estar en los feed readers de tod@s sin excepción.
  • Blog de Seguridad de la Información de Inteco VV.AA. Especialistas españoles en seguridad de la información y privacidad publican en este blog de forma continua, ofreciendo un buen lugar donde encontrar conocimientos de gran difusión y también grandes reflexiones sobre el mundo de la seguridad en Internet.
  • Barrapunto. Aún resultando más generalista, la información de este blog resulta muy interesante y siempre relacionada con TI.
  • Segu-info: Información relacionada con seguridad de la información que pueden ser aportaciones propias o de otros blogs reconocidos. Muy buena actualización e información. Recomendable.
  • Cryptex: Este blog lo sigo prácticamente desde mis inicios en la seguridad, hace ya unos pocos años. Muy buena actualización y buen filtrado de posts que suelen provenir de especialistas en el ámbito de seguridad de la información y seguridad informática. Es sin duda una fuente imprescindible para que no se te escape nada.
  • Schneier on security por Bruce Schneier: Considerado el máximo exponente de la seguridad a nivel mundial por muchos, este blog es fuente de artículos y reflexiones de su autor que resultan muy interesantes.
  • CSO Noticias: toda clase de noticias vinculadas a la seguridad de la información y la seguridad informática. Imprescindible para mantenerte al día.

Por lo pronto lo voy a dejar aquí, quizá más adelante os ponga otro dedicado por entero a los blogs en inglés. Con estos y con los de la entrada anterior tenéis algunos de los más relevantes para mi. Espero disfrutéis con su contenido, que sus autores nos ofrecen y que desde aquí les agradezco.

Nos leemos…

TOP desafíos en ISO 27001 (I): El Proceso Disciplinario

0
hace 7 meses
por Miguel Ángel Hernández Ruiz en
votar

En esta ocasión quiero iniciar una serie de posts sobre algunos aspectos algo controvertidos de la norma ISO 27001 y que quizá, una vez expuestos aquí, puedan ayudar a aquellos que se encuentren ante el problema de su implantación. Son ya unos cuantos años peleándome disfrutando con esta normativa, pero aún a día de hoy sigo encontrando algunos controles o apartados de la norma que no resultan todo lo claros que me gustaría. A continuación voy a dar mi interpretación de uno de ellos, el Proceso Disciplinario.

Disclaimer: el de siempre, que no soy abogado ni pretendo serlo por lo que el siguiente texto puede contener errores u omisiones.

Agradecimientos: quiero agradecer su aportación en este post a Nuria Martínez @numarfer, Ángel Juan Cano @Angel_juca y Javier Cao @javiercao.

Control A.8.2.3. Proceso Disciplinario

Este control es uno de los más controvertidos al resultar complejo distinguir entre lo que puede realmente regular la empresa, y lo que no.

Podemos distinguir en este control varios casos entre los que quiero destacar 3:

  • Caso 1: Personal Laboral en Empresas Privadas
  • Caso 2: Personal Funcionario en Administraciones Públicas
  • Caso 3: Personal Laboral Privado en Administraciones Públicas

En los 3 casos hay una base legal reguladora que crea un marco sancionador y en algún caso también el proceso disciplinario. Analizaremos los casos anteriores por separado.

Caso 1: Personal Laboral en Empresas Privadas

Vamos a comenzar por el plato fuerte porque los otros dos parecen algo más claros. El personal laboral en empresas privadas debe regirse por la siguiente legislación de aplicación en relación al proceso disciplinario:

  • Real Decreto Legislativo 1/1995, de 24 de marzo, Ley del Estatuto de los trabajadores. En el que se regulan las relaciones laborales por cuenta ajena.
  • Convenio colectivo de aplicación al sector de la empresa. En el que se ofrece regulación sectorial y condiciones pactadas entre trabajadores y empresarios así como puede definirse también el régimen disciplinario.
  • Resolución de 13 de mayo de 1997, de la Dirección General de Trabajo, Acuerdo de Cobertura de Vacíos. Donde se define el régimen disciplinario de aplicación si no existiera otro en la legislación de aplicación más directa.

El Estatuto de los Trabajadores define en su artículo 58 las Faltas y Sanciones de los Trabajadores pero deja abierta la puerta a la definición de qué se considerará una falta, y los tipos de falta, al convenio colectivo correspodiente, siendo común denominador la definición de tres tipos de faltas categorizadas como muy graves,  graves y leves en función de diversos criterios. Así, para entender cómo se aplica la legislación vinculante para este control en una empresa determinada es necesario conocer los convenios colectivos que le aplican y acudir a los mismos en busca de un criterio de clasificación de las faltas y una orientación sobre qué puede suponer una falta de mayor o menor gravedad. El problema suele venir cuando, una vez identificados los convenios correspondientes, tampoco se localiza el capítulo correspondiente al régimen disciplinario, tal como sucede en el Convenio de Empresas de Consultoría por ejemplo. Para estos casos se debe estar a lo dispuesto en el Acuerdo de Cobertura de Vacíos que define en su Título II, Capítulo IV el Régimen disciplinario.

Todo lo anterior es necesario a la hora de tener claro qué sanciones podría la empresa aplicar a un trabajador en caso de un incumplimiento de sus deberes y obligaciones en el desempeño de sus tareas. Estas sanciones deben ser proporcionales porque lo normal es que, ante una sanción de carácter grave o muy grave, sobre todo aquellas que acaban con un despido disciplinario recogido también en el Estatuto de los Trabajadores, se acabe en un proceso judicial en el que el resultado dependerá del buen hacer de la empresa.

El control A.8.2.3 es muy escueto y hay que ir a la ISO 27002 para ver qué se pretende realmente con el control (como con otros muchos). De la 27002 deducimos que lo que debería solucionar este proceso disciplinario, entre otros aspectos, es lo siguiente:

  • Identificación del marco legal de aplicación referenciando al mismo como el que rige en todo momento en caso de conducta inadecuada del empleado.
  • Si se estimase necesario, asociaciones entre el marco normativo organizacional y la gravedad de las faltas en que se incurriría por su incumplimiento para aquellos casos que no tengan un claro encaje en la legislación de aplicación. El acuerdo de cobertura de vacíos proporciona una buena guía para modular de forma adecuada las sanciones ya que sí es un poco más intensivo en relación a las alteraciones o mal uso de los activos físicos de la organización. Esto nos puede dar una idea a la hora de establecer una correspondencia coherente.
  • Actuaciones a realizar por cada una de las faltas sancionadas, observando en todo momento las restricciones legales que pueden señalar, como lo hace el artículo 17 del Acuerdo de Cobertura de Vacíos cuando cita: “La falta, sea cual fuere su calificación, requerirá comunicación escrita y motivada de la empresa al trabajador”. Pueden existir situaciones en las que la organización estime conveniente una actuación en una hora determinada, que requiera de ciertas personas, escolta del trabajador, retirada de material con el que trabaja, o bien que existan trámites de expedientes internos, etc. Esto puede suceder ante situaciones de despido disciplinario, ocasionado por una conducta grave y culpable del trabajador, como así recoge el artículo 54 del Estatuto de los Trabajadores.
  • Vinculación a los procedimientos internos de la organización en caso de ser necesaria su ejecución por el incumplimiento de algunas normas internas. Algunos de los procedimentos vinculados pueden ser, entre otros, los surgidos de los controles A.11.2.2. Gestión de Privilegios o A.13.2.3. Recolección de Evidencias. Estos procedimientos pueden sentar las bases para actuaciones ante determinado tipo de faltas, como un mal uso del puesto de trabajo que pueda perjudicar la imagen de la organización.

El proceso disciplinario dentro de una empresa privada requiere de la participación de Recursos Humanos. Aún no perteneciendo a este control sino a los controles “A.8.1.3 Términos y Condiciones de la Contratación” y “A.7.1.3 Uso aceptable de los activos” es básica la comunicación al trabajador de todas sus obligaciones y la normativa a cumplir junto con el código disciplinario de aplicación en relación al desempeño de sus funciones. La no comunicación al usuario de qué puede y qué no puede hacer con su puesto de trabajo puede dar con situaciones tan absurdas como tener que indemnizar a un empleado al que se había despedido de forma disciplinaria por consultar más de 300 páginas de contenido pornográfico en dos semanas desde su puesto de trabajo.

Caso 2: Personal Funcionario en Administraciones Públicas

El empleado público tiene regulado su proceso disciplinario dentro de la propia legislación española por lo que sería suficiente mencionar tales circunstancias y señalar la legislación de aplicación que ya debe ser conocida de facto por el personal que ocupe un cargo público.

La legislación de aplicación que puede vincularse al personal funcionario a este respecto es la siguiente:

La base de los códigos disciplinarios de aplicación a los empleados públicos es el R.D. 33/1986 de 10 de Enero por el que se aprueba el Reglamento de Régimen Disciplinario de los Funcionarios de la Administración del Estado. En este reglamento se determina qué es constitutivo de falta muy grave, grave y leve, y también señala a la Ley de Procedimiento Administrativo como la sistemática a seguir para el procesado de cualquier sanción al funcionariado. Asimismo, el Estatuto Básico del Empleado Público define en su Título VII el Régimen Disciplinario, y detalla en su artículo 95 las faltas que se consideran como muy graves.

El estatuto básico del empleado público, deja a cargo de la Ley de Cortes Generales y la Ley de Función Pública la definición de las faltas graves y leves respectivamente así como a lo dispuesto en los convenios colectivos. A este respecto se puede acudir al III Convenio Único para el Personal Laboral de la Administración General de Estado. En este convenio, a partir del artículo 78 se puede localizar el régimen disciplinario de aplicación al colectivo bajo este convenio. De forma similar a la anterior se gradúan las faltas y las sanciones.

Lo único que restaría, una vez comprobamos que legalmente todo se encuentra atado, es asegurarnos de que se ha contemplado también la legislación local. En el caso de Murcia a los empleados públicos les sería de aplicación lo declarado en:

  • Decreto legislativo 1/2001, de 36 de Enero, Ley de la Función Pública de la Región de Murcia. Donde se exponen requisitos adicionales al régimen disciplinario recogido en el Estatuto Básico del Empleado Público.
Caso 3: Personal Laboral Privado en Administraciones Públicas

Este caso es, aparentemente, el más sencillo porque aplicaría el caso 1 a pesar de estar en dependencias públicas. Ha de tenerse en cuenta que el personal laboral que trabaja en las dependencias de la administración pública lo hace a través de una empresa o empleador, de forma que, en caso de incumplimiento por parte del trabajador, se estaría a lo dispuesto en el contrato firmado entre administración y empresa o empleador, en lo que a la Administración Pública se refiere. Al empleado le sería de aplicación el código disciplinario del caso 1.

Referencias

[1] Responsabilidad Disciplinaria Laboral

 

Espero que os resulte de utilidad a los que caigáis por este blog. Nos leemos…

Documental Ciberterrorismo y Ciberguerra

0
hace 7 meses
por Miguel Ángel Hernández Ruiz en
votar

El otro día vi esta entrada en el blog de Javier Cao que a su vez se había basado en una de Chema Alonso, donde exponían el vídeo que ahora os dejo yo aquí. Tuve la oportunidad de ver el documental ayer y me pareció interesante porque da una perspectiva cercana a todo el mundo. De una forma amena, mediante entrevistas a especialistas en seguridad se detallan las implicaciones que puede llegar a tener (y que de hecho ya ha tenido) el nuevo escenario de batalla que supone el ciberespacio.

Me ha resultado especialmente agradable ver cómo hacia el minuto 5:30 se habla de la guerra fría digial que fue expuesta en este blog, imagino que como en otros antes. No pude evitar sentirme identificado de algún modo en ese momento del documental :P .

Calculadora de Tiempo de Implantación ISO 27001

2
hace 7 meses
por Miguel Ángel Hernández Ruiz en
votar

Uno de los aspectos que cualquier organización debe plantearse cuando afronta una certificación ISO 27001 es cual va a ser su coste real de implantación. Este coste depende de múltiples y resulta complejo de estimar.

Esta mañana me ha informado Dejan Kosutic que han lanzado una calculadora que recoge algunos de los parámetros más significativos a la hora de afrontar una implantación de ISO 27001. Los parámetros que se recogen para la estimación son:

  • Número de Empleados bajo el Alcance
  • Número de Departamentos bajo el Alcance
  • Número de Ubicaciones Físicas bajo el alcance
  • Implementación de otros estándares relacionados como 9001, PCI-DSS, etc.
  • Contratación de expertos para la implementación
  • Coordinación interna del proyecto
  • Soporte de Dirección

Si la memoria no me falla, los tres primeros parámetros son los que normalmente se solicitan por las entidades de certificación a la hora de estimar los recursos necesarios para auditorías, tanto de certificación como de seguimiento. El resto de parámetros definitivamente influye en el tiempo de implantación. Lo único que echo en falta en un primer vistazo es que la proporcionalidad de las respuestas es, para mi, algo escasa. No es lo mismo tener a alguien experto trabajando a tiempo completo en la organización cliente (en la que se va a implantar ISO 27001), que contratar este servicio a alguien externo que no va a estar en las instalaciones de la empresa y a encargarse de la implementación. Asimismo hecho en falta una pregunta para determinar cuantos empleados de la organización se destinarán al proyecto, no sólo si hay o no un manager, sino qué recursos voy a dedicar a tiempo parcial o completo al proyecto.

A pesar de estos detalles, la iniciativa me ha parecido muy buena y tal como ya comentamos en relación a CVSS, las calculadoras son una buena herramienta para hacernos una primera idea, a partir de ahí, entra la casuística de cada organización.

Actualizado 04/10 Corregido el enlace a la calculadora que contenía  un error.

Yo no tengo Facebook

2
hace 7 meses
por Miguel Ángel Hernández Ruiz en
votar

Pues si, como lo oyes, bueno, más bien, como lo lees, NO tengo Facebook y nunca lo he tenido. Y es que cada vez que leo, veo y/o escucho en los medios algo referente a las redes sociales, y a Facebook en particular, tengo algo de complejo de estar fuera de la sociedad 2.0 (Menos mal que tengo Linked In). Sí, tengo la impresión de estarme convirtiendo en algo así como “el amigo desconectado”, siguiendo un poco aquello que proponía en este estupendo monólogo Cristina Fenollar; “Yo no Tengo Iphone”.

Pero claro, hay muchas veces que me alegro de no haberlo tenido porque como de cualquier otra red social y de cualquier otro servicio hay sus pros y sus contras. Parece ser que la última noticia sobre los problemas de privacidad de facebook que todos hemos escuchado, referentes a la aparición de mensajes privados anteriores a 2009, no es tal problema de privacidad, según ha aclarado posteriormente la propia empresa en voz de su director de ingeniería. Pero no sería la primera vez que hay un agujero en Facebook que permite la extracción de contenido del área privada del usuario. Y es que como reza el refrán, “Cada cual es dueño de lo que calla y esclavo de sus palabras” cuya versión 2.0 sería “Cada cual es dueño de lo que no publica y esclavo de lo que algún día puso en Internet”.

Al hilo de lo anterior, resulta que la mitad de los reclutadores descarta candidatos por su página de facebook, que puede usarse para contrastar datos de formación, para ver si el perfil cumple con determinadas condiciones humanas, o para ver qué posibilidades hay de que el candidato llegue perjudicado cada lunes a su puesto de trabajo. Hace bien poco leía también en el blog de Javier Cao su post: ¿Está la tecnología llevando a la privacidad al peligro de extinción en el mundo digital? donde reflexiona a este respecto, pero en un comentario le planteé que el problema de fondo para mi vuelve a ser el mismo que rige la seguridad, un juicio de valor. El usuario se hace la pregunta de qué valor le proporciona algo y en contrapartida qué tiene que ofrecer a cambio y los datos personales son fáciles de ofrecer, no se crea aversión en el usuario para ofrecerlos (ya que hay una costumbre de darlos para otros trámites) y el mismo no es capaz de asociar el acto de ofrecerlos con nada que vaya en su perjuicio.

No quiero entrar aquí en el debate de Facebook SI, Facebook NO, sino simplemente hacer consciente a quien lo lea de que su información privada, no lo es porque así lo haya configurado en facebook, sino porque no la haya ofrecido, al menos de momento.

¿Y tú?, ¿Tienes Facebook?.

SPAM Blacklists, Whitelists y Listas Robinson

0
hace 8 meses
por Miguel Ángel Hernández Ruiz en , ,
votar

El spam es un término que aplica al envío de mensajes no autorizados por parte del receptor. Estos mensajes suelen ser de tipo publicitario ofreciendo todo tipo de productos o servicios. La publicidad que se cuela en nuestro buzón de correo físico puede considerarse un tipo de spam y su objetivo es captar nuevos clientes o recordar a los ya existentes que el producto o servicio sigue ahí. Éste, que podríamos identificar como spam físico, no es el más famoso ni tampoco el único, el spam telefónico es otra modalidad mediante la que las empresas tratan de vender sus productos, ¿quien no ha recibido una oferta telefónica de una antigua empresa con la que ya no está vinculada (pensad en las operadoras de telefonía), o incluso de una que no conoce?. Pero el spam que más recibimos los que a diario tenemos un ordenador por herramienta de trabajo, es el spam mediante correo electrónico. A continuación vamos a hablar de tres mecanismos para prevenir este spam y como funciona cada uno de ellos.

Blacklists

Una DNSBL o Domain Nave Service Black List es un conjunto de direcciones IP que se desautorizan para el envío de correos electrónicos. Estas direcciones IP se corresponden con fuentes que en el pasado han enviado supuestamente correos de spam.

A la recepción de una conexión SMTP, el servidor de correo hace una verificación “on the fly” sobre si la IP origen de la conexión se encuentra en alguna de las listas negras y en ese caso la bloquea. Estas listas negras se implementan mediante ficheros de zona DNS de forma que son fácilmente consultables mediante un dns lookup.

Una de las listas que hay disponibles para verificar si una determinada IP ha sido reconocida como una fuente de SPAM es Barracuda. Dando de alta el servidor DNS en esta lista podemos realizar consultas contra la misma. Para realizarlas sólo es necesario saber que se emplea una notación IP4R en la que, disponiendo los octetos de la dirección Ip en orden inverso y concatenándolos con la dirección de la lista formamos un subdominio fictíceo sobre el que podemos consultar. Esto quiere decir que si quisiéramos consultar por la dirección 127.0.0.2 que es un registro de tests habilitado en todas las listas de este tipo por convención, deberemos realmente hacer un dns lookup al subdominio fictíceo 2.0.0.127.dnsbl.example.com. En nuesto caso, desde windows podemos ejecutarlo como sigue en la figura:

nslookup

Si preguntamos por ejemplo por el servidor smtp de gmail obtendríamos algo como esto:

Preguntando por smtp de gmail

Si queremos hacer la prueba para una dirección IP conocida como fuente de spam y ver qué ocurre podemos ir a spam-ip y comprobar con alguna de las contenidas en su fichero .csv.

Por ejemplo:

Consulta de IP sospechosa de SPAM a la blacklist barracuda

la de arriba sería la respuesta no autoritativa recibida como respuesta a la consulta sobre la IP 118.35.46.144 que figuraba ayer día 18 de Septiembre de 2012 en el fichero CSV de spamip. También podríamos ir directamente a la dirección web de barracudacentral para hacer una consulta sobre una determinada IP.

Whitelist

La otra aproximación posible es el uso de whitelists. Estas listas lo que hacen es almacenar direcciones Ip, nombres de dominio o remitentes de fuentes conocidas, permitiendo el paso de correos electrónicos enviados desde dichas IPs. Se pueden distinguir dos modalidades de lista blanca, exclusiva y no exclusiva. La primera de ellas sólo permite el paso de aquellos e-mails que se encuentran en la lista blanca descartando los demás. La segunda opción permite a los correos evadir los filtros de spam entrando en la bandeja de entrada del correo del usuario sin ser evaluado por los mismos. Las whitelists tienen como misión evitar los falsos positivos, e-mails que se detectan como spam pero que son de fuentes conocidas y probablemente hayan sido mal clasificadas por el filtro anti-spam. Diversos ISP ofrecen este servicio.

Listas Robinson

Y hago hincapié en el plural porque son un mecanismo, como en los casos anteriores. En este caso, no consiste en una medida de caracter lógico sino más bien administrativo. Aunque la LSSICE regula el envío de correos electrónicos en su artículo 21 aclarando que el destinatario debe haber autorizado el envío, las listas robinson recogen a aquellas personas que no quieren recibir correos publicitarios (esta declaración de intenciones también se extiende a las llamadas telefónicas, fax, sms y mms).

Amén de los muchos comentarios que ya se han hecho al respecto de esta lista en España, Yo quiero plantear una pregunta muy obvia; Si una determinada empresa no conoce o no quiere respetar la LSSICE, ¿va a consultar un fichero de este tipo?. Lo curioso de esto es que la lista con decenas de miles de datos personales de las personas que no quieren recibir publicidad se puede adquirir por 150€ más IVA lo que supone una buena fuente de potenciales víctimas para cualquier spammer o phisher.

y hasta aquí ha llegado este repaso a algunas de las alternativas que existen y que se ponen en práctica hoy día para prevenir el SPAM.

Nos leemos…

Referencias

[1] http://www.kloth.net/internet/dnsbl-howto.php

[2] http://spam-ip.com/list-1.html

[3] http://en.wikipedia.org/wiki/Whitelist#Email_whitelists

[4] http://espanol.verizon.com/enes/sdmy/micro/whitelist/

La seguridad del usuario ante eventos de especial relevancia

1
hace 9 meses
por Miguel Ángel Hernández Ruiz en
votar

Inteco esta llevando a cabo una campaña de concienciación en seguridad de la que ha publicado ya numerosos post. Aquí os dejo el mío que salió publicado hace un par de semanas. Al final os dejo referencia a todos los que han aparecido hasta el momento y se encuentran accesibles a través del blog de Inteco.

——–

Pues si, apenas saboreamos durante unos días nuestra victoria en la Eurocopa de fútbol, segunda consecutiva y los juegos olímpicos tocaron a nuestra puerta para que les prestemos atención. Con los mejores de mis deseos para los olímpicos españoles he querido también en este texto hacer hincapié en algunas de las amenazas que se presentan siempre que concurren determinados acontecimientos, ya sean deportivos, vinculados a la moda, al cine, e incluso a determinados sucesos de tipo catastrófico como el terremoto de Haití, el tsunami que afectó a Japón o la catástrofe de las torres gemelas en Estados Unidos. Cualquier evento es bueno si a la gente le llama la atención y eso puede ser un punto de entrada al ordenador de cualquiera.

Hay diversas amenazas que se pueden presentar ante un evento multitudinario pero las más frecuentes tienen un punto de entrada en común y este es el correo electrónico.  Vamos a hacer un pequeño repaso de cómo los criminales pueden intentar llegar hasta nuestros datos, e incluso hasta nuestro dinero.

  • Hoax: aunque aquellos que estamos familiarizados con estos correos los detectamos nada más verlos, parece increíble que aún a día de hoy nos sigan llegando correos de este tipo que tienen como única misión el llenar los buzones de correo de todos con bulos o alteraciones de la verdad que solicitan ser enviadas en cadena dando a reenviar e introduciendo una lista de destinos personal. De lo que no suele percatarse el usuario es que está desvelando direcciones de correo electrónico entre sus propios contactos siempre que los pone en el campo “para” o “cc” del correo electrónico y no sólo eso, al ir encadenados y ser reenviados continuamente, el contenido del mensaje puede llegar a contener cientos de direcciones de correo electrónico que pueden ser usadas con fines maliciosos por criminales. En 2010 sin ir más lejos, recibí un correo con 607 direcciones adjuntas que guardo como una muestra de lo que no se debe hacer.
  • Phishing: como no, si ya de por si realizar un phishing se vuelve más accesible por momentos (existiendo desde hace tiempo kits de phishing que automatizan todo el proceso), situaciones trágicas como las catástrofes antes mencionadas proporcionan una excusa magnífica para conseguir un mayor porcentaje de impacto por número de mails enviados. Quién no va a hacer un pequeño donativo para Haití o para Japón o para los afectados por el terremoto de Lorca, sin ir más lejos. Estos acontecimientos hacen que proliferen los correos en los que el criminal solicita credenciales de acceso o número de tarjetas de crédito con la excusa de la donación, yendo directo a la parte sentimental del usuario.
  • Troyanos, virus, backdoors y demás malware: con cualquier tipo de evento y con la proliferación de las plataformas móviles, no es de extrañar encontrar correos electrónicos que nos ofrezcan la instalación de una aplicación para iphone, android, windows phone, etc, que podríamos hacer cómodamente desde nuestro propio ordenador con el teléfono conectado. Esta aplicación puede ser realmente cualquier tipo de malware que infecte nuestro ordenador dejando residente un software malicioso con diferentes objetivos como; el robo de contraseñas, integrar el ordenador en una botnet (o red zombie), robar contenido del usuario, tarjetas de crédito, y un largo etcétera.

Estas son algunas de las amenazas que pueden ver incrementada su probabilidad de ocurrencia en los próximos días de forma que, ante la amenaza, prevención:

  • Nunca facilitéis vuestras claves: Ni vuestro banco, ni nadie os debe solicitar nunca vuestras claves, sean las que sean, vuestras claves son vuestras, tratadlas como las Llaves de vuestra casa, si os las pide alguien por teléfono, por mail o por cualquier vía, nunca las facilitéis, igualmente con vuestro número de tarjeta de crédito y su código de seguridad.
  • Desconfiad de mensajes de origen desconocido: trasladad al entorno digital las directrices que se siguen en la vida física. Desconfiad de cualquier mensaje que venga de una dirección desconocida. Igualmente, sed cautos con ciertos mensajes que no sean propios de alguien a quien conozcáis porque en ocasiones ocurre que cuentas de correo poco usadas por algún conocido son comprometidas y aprovechada esta circunstancia para tratar de engañar a los mails que se encuentran accesibles a través de ella.
  • Desconfiad de cualquier software que venga de una fuente desconocida: tened presente siempre cual es el software oficial e id siempre con cuidado de no descargar archivos de páginas poco fiables porque pueden resultar ser aplicaciones que se hacen pasar por oficiales sin serlo y llevar el correspondiente código malicioso añadido o simplemente tratarse de malware en su totalidad.

Nada más de momento. Espero que estos consejos, muy generales y extendidos sirvan a los usuarios para andarse con ojo, no solo para estas olimpiadas sino también cuando concurran otros eventos de carácter multitudinarios cualquiera que fuese su origen.

————-

Post de la campaña Veranoseguro hasta la fecha:

Claves para un #veranoseguro: Los smartphones y tablets son para el verano… pero con precaución
Claves para un #veranoseguro: Al publicar fotos de las vacaciones en las redes sociales, ¿conoces tus derechos?
Claves para un #veranoseguro: Los servicios en la nube y la seguridad en las vacaciones de verano
Claves para un #veranoseguro: Gana tu propia medalla de seguridad en estas olimpiadas
Claves para un #veranoseguro: ¿cómo conectamos con los nuevos amig@s?
Claves para un #veranoseguro: NFC, ¿Puedo pagar con mi móvil de forma segura?
Claves para un #veranoseguro: etiquetas en las imágenes de las redes sociales, un riesgo para la privacidad y la convivencia
Claves para un #veranoseguro: El abuso se incrementa en verano... ponle bronceador a tu perfil social

Entrevista conmigo en el blog de Inteco

0
hace 1 año
por Miguel Ángel Hernández Ruiz en
votar

El inteco ha consultado a sus colaboradores en una serie muy interesante de posts sobre lo más destacable de 2011 y lo que esta por venir en este 2012. Mi entrevista fue publicada el día 13 y la tenéis accesible en este enlace. Asimismo, si navegáis entre post anteriores y posteriores a éste podréis encontrar las opiniones de los profesionales más relevantes en seguridad de la información del panorama nacional.

 

Ir arriba