Preocupantes deficiencias en el sistema del DTOP en Puerto Rico.
Luego de un año 2014 donde ocurrió una gran cantidad de intrusiones ilegales en sistemas de conocidas empresas y ataques cibernético a varios países, hoy el periódico El Nuevo Día publica una noticia muy preocupante, aunque no sorprendente del todo. Una auditoría hecha al Departamento de Transportación y Obras Públicas de Puerto Rico por la Oficina del Contralor, reveló serias deficiencias en la seguridad de los sistemas de información que utiliza esta agencia. Algunas de las deficiencias encontradas fueron:
- La información de multas puede ser modificada sin necesidad de validar a qué infracción corresponde.
- El sistema DAVID Plus no genera informes que permitan corroborar si el registro de multas ha sido corregido (este registro incluye multas pagadas, expiradas, invalidadas o canceladas).
- Los puntos anteriores pueden permitir que se invalide de forma errónea una multa.
- Fallas en las 25 cuentas que acceden al módulo de administrador que controla la seguridad del sistema DAVID Plus. Ocho de esas cuentas las tenían usuarios que no realizan tareas de administrador y cinco continuaban activas a pesar de que éstas no habían accedido al sistema hacía más de 210 días.
- Aunque DAVID Plus posee dos registros de auditoría, éstos no eran verificados por las personas responsables de hacerlo, de manera que se corría el riesgo de la no detección temprana de problemas e irregularidades.
La auditoría cubre el período entre junio del 2012 hasta diciembre del 2013 y al momento del reportaje ningún funcionario del DTOP había informado si las fallas encontradas habían sido corregidas. En un mundo donde la información de los ciudadanos es un activo más valiosos que el dinero, lo menos que puede hacer cualquier gobierno es tratar de proteger la integridad de dicha información. La inversión en tecnología de seguridad no es un lujo ni un gasto innecesario, es una obligación, como lo han comprendido de la forma difícil varias empresas del sector privado víctimas de intrusiones ilegales. La situación económica no es una excusa para dejar de tomar medidas cautelares de rigor cuando de proteger la privacidad de los datos de los ciudadanos se trata. Recordemos que estamos hablando de nuestra información personal.
Fuente: El Nuevo Día, martes 27 de enero, p. 5
Cuándo usar TOR.
TOR, antes el acrónimo de «The Onion Router», es la red que permite navegar con cierta garantía de anonimato (y digo cierta porque creo en el Internet ya no hay nada anónimo). Para sacarle el mayor provecho, el equipo de Make Use Of ha preparado este infograma que sirve de guía para entender y poder utilizar correctamente TOR.
Fuente: Make Use Of
El poder de la curiosidad.
La curiosidad humana no parece no tener límites, a veces para bien y otras con consecuencias nefastas. El caso de la tecnología no es una excepción; la curiosidad ha resultado en grandes inventos y desarrollos, pero al mismo tiempo sigue siendo un dolor de cabeza para los usuarios y un detonante de víctimas para los «spammers», «scammers» y otros ciber-delincuentes. Basta con ver las estadísticas cada vez más alarmantes del aumento en el tráfico de correo no deseado, víctimas de fraude, «phishing» y robo de identidad para tener una idea de cómo los humanos siguen cediendo a la curiosidad. Al parecer las promesas de grandes ganancias con poca o ninguna inversión, productos mágicos que rejuvenecen, los que adelgazan sin necesidad de dieta o premios de concursos donde nunca participamos siguen siendo un fuerte imán que nos atrae a un agujero negro del que ya hemos sido advertidos. Es como el niño cuya madre le advierte que si se sube a una cerca se puede caer y, sin pensarlo dos veces, el niño trepa para corroborar lo que su madre la he dicho. Somos seres complicados y difíciles de entender; pero esto no quita que aprendamos a obrar con precaución. Cosas simples como no abrir correos electrónicos sospechosos, no divulgar datos personales en redes sociales, evitar descargar aplicaciones o archivos de origen desconocido o dudoso son prácticas que parecen y son fáciles de seguir. Sin embargo, da la impresión de que es todo lo contrario. ¿La razón? Pudiéramos teorizar que todo apunta a que la curiosidad puede más que el sentido común y la prudencia. Hay que aprender a controlar y dominar ese impulso que, dice un refrán pueblerino, mató al gato.
Vulnerabilidad de seguridad descubierta en el Bash Shell.
En un nuevo episodio de vulnerabilidades puestas al descubierto, investigadores de Red Hat encontraron un exploit escondido dentro del shell de comandos Bash, utilizado tanto en Linux como en OS X. Con el conocimiento adecuado, alguien puede aprovechar esta vulnerabilidad para realizar una variedad ataques contra dispositivos, servidores, páginas web sin seguridad y hasta contra dispositivos inteligentes en una casa. El peligro mayor de esto es que no se trata de algo nuevo, hace tiempo que existe, lo que significa que equipos viejos que aún son utilizados son particularmente vulnerables. Dispositivos como las cámaras de seguridad son un ejemplo de aparatos vulnerables porque parte de su programación se realiza con scripts de Bash. Se espera que Apple tome las medidas de seguridad apropiadas con prontitud como hicieron cuando el caso del Heartbleed Bug, aún cuando según la compañía de Cupertino, éste no afectaba servicios clave de su ecosistema. Robert Graham, experto en seguridad, advierte que se trata de un problema serio y de grandes proporciones, especialmente porque aún cuando exista una actualización que corrija la vulnerabilidad, teme que a muchos equipos no se le aplicará.
Fuente: iPhone Hacks
5 millones de contraseñas son reveladas.
De acuerdo a varios sitios de noticias en Internet, unos 5 millones de nombres de cuentas de usuario de Gmail y la misma cantidad de contraseñas fueron divulgadas en un foro ruso de Bitcoins. Al principio se pensaba que las contraseñas correspondían a las cuentas de Gmail publicadas, pero posterior investigación reveló que las contraseñas parecen provenir de otras cuentas donde los usuarios se inscribieron utilizando su correo electrónico de Gmail. Según expertos muchas de las contraseñas son viejas y no funcionan y los datos provienen de actividades de «phishing» en diferentes páginas web donde se utilizó la cuenta de Gmail para suscribirse. Google por su parte, ha indicado que sus servidores no han sido víctima de intrusiones. Las recomendaciones siguen siendo las de siempre: Utilizar una contraseña fuerte, no usar la misma para varias cuentas, usar la autenticación de dos factores donde esté disponible y, por si las moscas, cambiar la contraseña de la cuenta de Google. Para verificar si tu cuenta de Gmail está entre las filtradas, puedes visitar este link: IsLeak Tool.
Fuente: Lifehacker
Las ocho grietas de seguridad más grandes en la historia.
Los accesos no autorizados a sistemas son cada día más comunes, convirtiéndose en un serio dolor de cabeza para la banca, empresas privadas, instituciones educativas y gobiernos, así como para el usuario de servicios en línea. Sin embargo, hay ocho sucesos que se destacan por haber sido las intrusiones más grandes en términos de información robada y pérdidas generadas. La página WhoIsHostingThis ha resumido en una infografía estos ocho eventos que hicieron historia y a la vez dieron la alarma de que un acceso ilegal puede ocurrir a cualquiera, en cualquier momento y con consecuencias devastadoras.
Fuente: WhoIsHostingThis
Reseña: CM Browser.
Cheetah Mobile, segunda empresa más importante de seguridad de IT en China y creadores de Clean Master, la excelente aplicación de limpieza de archivos para Android, llega el navegador CM Browser con atractivas características que lo convierten en esencial. Comienzo por mencionar que es un navegador sumamente rápido, recordando navegadores como Opera. Esto lo consigue haciendo una pre-carga de las páginas, agilizando así la navegación. Lo he probado con páginas que racionalmente se tardan en cargar y la diferencia es notable.
CM Browser integra un sistema de protección anti-malware que avisa al usuario en caso de que la descarga de un archivo apk pueda ser de origen malicioso (utilizando el servicio AV-TEST). Las descargas pueden ser vistas desde el administrador de archivos integrado al navegador, evitando tener que salir para hacer uso de un administrador de archivos parte. También permite importar bookmarks desde otros navegadores que tengas instalados y compartirlos, además de proveer navegación anónima.
Para moverse entre pestañas abiertas, en lugar de utilizar una interfaz un tanto poblada (como la de Chrome), hace uso de una especie de «rueda» de pestañas a manera de tarjetas, facilitando el movimiento entre éstas. Adicional provee para cambiar el tamaño de la letra y se pueden utilizar gestos para ver vídeos, todo esto en 1.6 MB. CM Browser está disponible gratis el Google Play.
Grupo de hackers rusos roban 1.2 billones de contraseñas.
En lo que se considera hasta el momento la más grande violación de seguridad en Internet, un grupo de hackers rusos ha logrado apropiarse de 1.2 billones de nombres de usuario y contraseñas, así como de aproximadamente 500 millones de cuentas de correo electrónico de 420,000 páginas web y sitios de FTP. El hallazgo fue realizado por la compañía Hold Security luego de 18 meses de investigación. Para lograrlo utilizaron botnets que detectaban vulnerabilidades en páginas de Internet que les permitieran ejecutar ataques SQL Injections en las páginas vulnerables, logrando así enviar comandos remotos para robar datos. Los hallazgos de Hold Security fueron confirmados por una firma independiente de expertos contratados por el New York Times. En vista de este y otros ataques similares, que cada vez son más frecuentes, ¿qué puede y debe hacer el internauta? aquí varias sugerencias:
- Crear contraseñas fuertes, difíciles de adivinar. La longitud debe ser de entre 8 y 14 caracteres con una combinación de letras, números y símbolos, además de nunca incluir datos como: fecha de nacimiento, apellidos, nombres de mascotas o cualquier otra cosa que dé pistas sobre la identidad del usuario.
- Nunca utilice la misma contraseña para varias cuentas. Imagínese lo que puede ocurrir si alguien la roba.
- Utilice la autenticación de dos factores (disponible en sitios como Amazon, Apple y Google). De esta forma cada vez que acceda a una de sus cuentas desde dispositivos diferentes, se le enviará un código por mensaje de texto necesario para poder acceder.
- Utilice un administrador de contraseñas (1Password, LastPass). Estos generan contraseñas complicadas, diferentes y las guardan por usted.
- Use su sentido común antes de acceder a sitios que no sean conocidos y nunca entre información personal en páginas desconocidas y que carecen de protección adecuada de sus datos. Jamás le preste o revele sus contraseñas a otros, ni las escriba en papeles o sitios donde puedan ser descubiertas.
Fuente: Mashable
Accesorios: Motorola Skip.
Hoy día nuestro teléfono celular es mucho más que un instrumento de comunicación; además de guardar nuestros contactos, éste se sincroniza con nuestra cuenta de Google, Apple o Microsoft según sea el caso (sin mencionar Dropbox o algún otro servicio de almacenamiento en la nube). Quizá utilizas una aplicación para guardar y sincronizar tus contraseñas, además de que utilizas el celular como cámara y tienes fotos de tu familia en él, etc. Suficientes razones para proteger tu teléfono con una contraseña, pin o, en el caso de Android, un patrón de seguridad. Entonces, ¿por qué muchas personas optan por no utilizar ninguna forma de protección en su teléfono? Por la molestia de tener que entrar algo cada vez que van a utilizar su celular. Motorola tiene un producto que, por su simpleza, puede pasar desapercibido que soluciona ese problema: Motorola Skip. Se trata de un pequeño «clip» magnético que se puede adherir a un bolsillo del pantalón o a cualquier parte de la camisa o blusa. Al acercarlo a la parte trasera del teléfono, mediante NFC, lo desbloquea sin necesidad de introducir manualmente pin ni patrón de seguridad. Para utilizarlo, configuras un pin o patrón de seguridad, activas el NFC, descargas del Play la aplicación Motorola Skip y al acercar el Skip al teléfono, se mostrará en pantalla la configuración. El kit del Motorola Skip incluye un clip y tres calcomanías con el logo de Motorola que se pueden configurar también para desbloquear el teléfono. El precio regular del Skip es de $19.99, pero en estos días Motorola lo ofrece a precio especial de $9.99 en su página oficial en diferentes colores. Lo he estado probando con mi Moto X y realmente es un éxito no tener que entrar código de seguridad alguno cada vez que quiero acceder a mi teléfono.
Prisma Digital 
