jueves, 30 de octubre de 2014

10 películas en las que los hackers son protagonistas, cual te falta por ver?

A Hollywood siempre le ha interesado el mundo de los ordenadores, tanto por lo que ya aportan como, sobre todo, por lo que pueden significar en el futuro. El cine de ciencia ficción está lleno de películas que hablan de universos futuros y distópicos en los que todo está controlado por códigos informáticos. El conflicto de estas películas es fácil de encontrar: ¿qué pasaría si alguien lograse entrar en ese sistema?
El interés creció en los años 80, un momento en el que los ordenadores pasaron de ser algo extraño y accesible solo a militares a un producto destinado al consumo de masas. Los ordenadores, los videojuegos, las redes y la posibilidad real de un futuro en el que todos estuviésemos conectados estaban por todas partes, una situación que se tradujo en el cine con películas en las que algún programador informático o hacker era protagonista.Tron” o “Juegos de Guerra” son ejemplos perfectos.
En los 90 la fijación tecnológica siguió, teniendo unpunto álgido en 1.999. Posiblemente ayudado por la cercanía del fin del milenio, la omnipresente amenaza del Efecto 2.000, y la inminente llegada de un futuro (¡los años que empiezan por 2!) en el que todos creíamos que los coches ya volarían y tendríamos amigos que son robots. En ese año llegaron “Matrix“, “Piratas de Silicon Valley”, “Trabajo basura”, “El piso 13″, “El hombre bicentenario”, “Virus” y “ExistenZ”.
En el siglo XXI el interés no ha desaparecido, aunque en muchos casos, especialmente en los últimos años, el enfoque es menos futurista y más centrado en el presente o en el pasado reciente. Se habla de historias reales -o verosímiles -de hackers y todo lo que lograron, ahora que hay ejemplos muy cercanos. La red social siguiendo a Mark Zuckerberg, El quinto poder contando la historia de Julian Assange y Wikileaks
¿Cuáles son las películas sobre hackers más significativas de estas últimas tres décadas? Estas son 10 de las que han alcanzado el status de clásicos.

Un programador logra entrar en el mundo virtual de un ordenador, donde los programas tienen vida propia. Su objetivo es liberar el mainframe de la compañía y, claro, conseguir volver a salir al mundo.


En plena Guerra Fría, un joven hacker entra por curiosidad en un sistema militar de Estados Unidos que predice los resultados de una guerra nueclear. Él cree que es un videojuego, así que crea una simiulación de guerra nuclear... que casi provoca la Tercera Guerra Mundial. Matthe Broderick muy joven es su protagonista.



Un grupo de analistas de seguridad y genios informáticos es reclutado por la CIA para robar una caja negra que puede descodificar cualquier mensaje encriptado. Luego, claro, descubren que no fue la CIA quien los contrató. Con Robert Redford, Dan Aykroyd y Sidney Poitier.




Sandra Bullock es ingeniera de software y decide irse de vacaciones. No puede, claro, porque descubre un programa que permite entrar en bases de datos secretas. Y no debería haberlo descubierto.




HACKERS (1995)

Un pequeño genio al que arrestan por crear un virus informático y prohiben usar un ordenador hasta los 18 años. Por supuesto, acabará usándolo para conseguir pruebas sobre cibercriminales que planean lanzar un virus mucho más peligroso. Sale Angelina Jolie muy, muy joven.


 MATRIX (1999)

La película en la que Keanu Reeves es programador de día y hacker de noche. De pronto aprende que su existencia no es lo que creía.


TRABAJO BASURA (1999)

Al ser despedidos de la oficina en la que solo hacían trabajos basura, varios ex-empleados deciden lanzar un virus a la compañía para pasar dinero de la firma a sus propias cuentas. Comedia clásica de finales de los 90.









PITATAS DE SILICON VALLEY (1999)

Una película que intenta recrear los primeros días de los creadores de Apple y Microsoft. Están, claro, Steve Jobs, Bill Gates, Wozniak, Paul Allen y hasta Steve Ballmer.







OPERACION SWORDFISH (2001)

John Travolta, Hugh Jackman y Halle Berry en una película que fue pisoteada por la crítica. Jackman es un hacker que acaba de salir de la cárcel, al que un terrorista (Travolta) recluta para decodificar un código de seguridad de una cuenta secreta.




LA JUNGLA 4.0 (2007)

La cuarta entrega de las películas de La Jungla, protagonizadas por Bruce Willis, se centra en un ataque informático que podría apagar todo Estados Unidos el fin de semana del Día de la Independencia.



(Fte. www.itespresso.es )
































































































miércoles, 29 de octubre de 2014

LOPD / LSSI-CE nos ayudaran a protegernos de las formas ocultas en que nos siguen el rastro en nuestra vida cotidiana


"Yo no tengo nada que ocultar", dice mucha gente cuando se enfrentan al problema de la seguridad y la privacidad en la era de internet y la hiperconectividad.

"Cuando les pregunto sobre su salario, no me responden; cuando les pregunto sobre sus fantasías sexuales no me responden", dice el experto en seguridad Bruce Schneier.
 
"Eso de 'yo no tengo nada que ocultar' es estúpido, es un comentario tonto", agrega el hombre que ayudó al periodista Glen Greenwald a analizar los documentos que filtró Edward Snowden de la NSA (siglas de la Agencia Nacional de Seguridad de Estados Unidos).

Más aún, insiste, la vida cotidiana de casi todos está siendo monitoreada en formas que nadie imagina y los detalles que se van acumulando podrían ser usados en contra de cualquiera en el futuro.
Las palabras de Schneier, quien participó de la BBC Future's World-Changing Ideas Summit (Cumbre de BBC Future sobre ideas que cambiarán el mundo) el 21 de octubre, se hacen eco de las que escribió Edward Snowden en un email que le envió a la documentalista Laura Poitras (quien colaboró con Greenwald en la recolección y análisis de los documentos de la NSA).

"Cada torre de telefonía celular que pasas, amigo que tienes, artículo que escribes, sitio que visitas, asunto (de correo electrónico) que escribes y paquete de datos que transmites está en manos de un sistema cuyo alcance no tiene límites pero cuyas salvaguardas sí los tienen", dijo Snowden en esa misiva.

Tu Kindle sabe cuán rápido lees

Schneier quiere que los gobiernos utilicen los sitemas de vigilancia sólo para monitorear a sospechosos, no a toda la población.
Prácticamente todo lo que uno hace puede rastrearse hoy en día, dice Schneier, "todo lo que involucre una computadora, todo lo que haces en línea, todo lo que haces en tu teléfono, todo lo que haces que involucra cualquier tipo de sistema (electrónico) de pago".

"Tú sabes que tu Kindle (dispositivo de libros electrónicos) registra cuán rápido lees, ¿verdad?".

Como ejemplo, Schneier dijo en la World-Changing Ideas Summit que cosas tan simples como la información sobre cuánto pagan pasajeros por viajes en taxi -información que debería ser anónima- es muy fácil de vincular con personas puntuales utilizando datos sobre la ubicación de esos sujetos.

Bicicletas soplonas

"Si alguien visita un club de striptease, por ejemplo, dejará de ser algo privado", dice Chris Baraniuk, de la publicación BBC Future.
Y recuerda que en Londres, recientemente, la autoridad de transporte público difundió torpemente los datos respecto a viajes hechos en las bicicletas de alquiler de la ciudad, incluyendo el número que identifica a cada usuario.
La información difundida acerca del uso de las bicicletas públicas de Londres podría servir para reconstruir el recorrido de usuarios individuales.
Sofisticadas aplicaciones para teléfonos inteligentes son capaces hoy en día de construir una clara imagen de la ubicación de las personas, pero también del entorno en el que se encuentran, explica Baraniuk.
En un trabajo reciente, un grupo de investigadores mostró cómo la aplicación CarSafe es capaz de aprender los hábitos de manejo de sus usuarios analizando la información provista por las dos cámaras que suelen tener los teléfonos inteligentes modernos.

Torres secretas

Schneier advirtió que muchas de las torres de telefonía celular pueden no haber sido levantadas por empresas de telefonía, sino por gobiernos -propios y extranjeros- que quieren averiguar quién pasa a su lado y qué está haciendo.
El hecho de que es algo secreto hace difícil saber cuántas hay, dice el experto.
"El gobierno británico ni siquiera reconoce que las usa. Nosotros sabemos que sí, pero ellos no lo reconocen".

"El FBI sí reconoce que las usa, pero es muy celoso respecto a la información sobre cómo las usa".
"Alguien descubrió que hay 80-100 de esas torres en Washington DC que no son del gobierno estadounidense", dijo, "pero no sabemos de quién son".

Dispositivo de seguimiento

La conexión inalámbrica a internet pública es aún más problemática, ya que los routers que reciben la señal de los teléfonos celular son hoy capaces de triangular la posición de una persona con la suficiente precisión como para determinar, por ejemplo, en qué pasillo de un supermercado se encuentra.

Si la dirección MAC del dispositivo (un código único de identificación de cada dispositivo capaz de conectarse a redes de datos) puede vincularse a una persona determinada, entonces cualquiera que cuente con la información podría saber dónde ha pasado su tiempo ese individuo.

"Si el gobierno te dijera que debes llevar un dispositivo de seguimiento, es casi seguro que te rebelarías", sugiere Schneier.

"Pero el gobierno no tiene que decir eso porque lo haces de buena gana y ellos reciben una copia de la información".
El director del FBI se quejó de que el cifrado que ofrecen empresas como Apple y Google les impide a las autoridades acceder a información.
Y lo mismo sucede con todo lo demás: las mismas vulnerabilidades que aprovechan las agencias de seguridad pueden potencialmente ser aprovechadas por corporaciones, compañías de seguros, proveedores de salud, cibercriminales o extremistas.

"Tenemos que optar entre seguridad y vigilancia", dijo Schneier.

Para él no es posible construir dispositivos electrónicos capaces de ocultar información de todos excepto de, por ejemplo, agencias oficiales de seguridad intentando detectar a extremistas.
"O todos espían o nadie espía", aseguró.

Medidas de protección

Por eso el experto argumenta que la gente tiene derecho a defenderse de ser seguida, monitoreada.
Eso incluye el derecho a tomar medidas de protección de carácter técnico, comunicarse a través de sistemas cifrados o navegar internet utilizando sistemas que protegen la identidad.

Pero la creciente popularidad de ese tipo de herramientas ha generado consternación en el FBI.
James Comey, su director, dijo que el cifrado que ofrecen empresas como Apple y Google les impide a las autoridades acceder a información que podría ser crucial para resolver crímenes o salvar vidas.
Para Tom Gaffney, director técnico de la firma de seguridad de la información F-Secure, que vende software para proteger la privacidad, los comentarios suenan vacíos.

"Efectivamente, el gobierno está obligando a la gente a usar estas herramientas por su falta de transparencia, su deseo de registrar cada fragmento de nuestra información en vez de concentrarse en criminales" dice.

Gaffney también dice que la información que recogen las compañías privadas, sea cifrada o no, también puede conservarse más o menos para siempre, y que no hay forma de saber con certeza cuándo podría ser usada o vendida en el futuro.

Para Schneier, el seguimiento que realizan los gobiernos debería ser legal y dirigido exclusivamente a individuos sobre los que ya hay sospechas de actividad criminal, en vez de utilizar un sistema de vigilancia universal en el que se registran y almacenan las experiencias privadas de millones de ciudadanos inocentes.

"La información que creamos con nuestro estar en el mundo físico y digital", dice Baraniuk, de BBC Future, "es llamada a veces 'huella digital'".

"Suena relativamente benigno, lo que hace que el término sea una mala metáfora".

(Fte. BBC MUNDO)

lunes, 27 de octubre de 2014

Así protegen los ‘hackers’ sus datos en la nube



Hace pocos días se conocía que 200.000 fotos y vídeos compartidos a través del servicio de mensajería Snapchat habían sido robados. Cualquiera puede hoy descargar esas imágenes. El caso no es uno más entre la montaña de informaciones sobre violaciones de la privacidad en Internet, pues en algunas de estas imágenes se ven escenas de sexo captadas por los usuarios. Además, el número de archivos filtrados es muy superior al del celebgate, un caso que tuvo mucho más repercusión porque las fotos robadas de las cuentas del servicio iCloud de Apple pertenecían a famosas actrices, cantantes y modelos.
El anonimato de las víctimas del snappening, que es como se ha llamado a este robo de datos, demuestra que no solo un personaje famoso puede ser víctima de una grave intromisión en su privacidad. También siembra dudas sobre servicios que son percibidos por el usuario como seguros, pues Snapchat debe su éxito a una función creada para evitar que el destinatario de una imagen pueda almacenarla y difundirla: la foto o el vídeo sólo aparece en la pantalla del móvil un máximo de 10 segundos.
Los responsables de Snapchat derivaron toda la responsabilidad en los creadores de la desaparecida web snapsaved.com, que permitía realizar copias de las fotos y vídeos enviados con la aplicación de mensajería. Ciertamente Snapchat no había proporcionado ninguna herramienta para que los creadores de esa web hackeada pudiesen usar su información, pero el caso demuestra lo frágiles que son los cimientos de algunas de estas aplicaciones tan populares.
Edward Snowden desaconseja el uso de Facebook, Dropbox y las diferentes herramientas de Google
De hecho, expertos en seguridad como Adam Caudill ya habían advertido de que era relativamente sencillo usar la tecnología de Snapchat sin el consentimiento de sus responsables. Por eso en las tiendas de software de Apple, Google y Microsoft hay numerosas aplicaciones que explotan la fragilidad del código de Snapchat para ofrecer distintos servicios. Algunas de ellas comprometen la seguridad del usuario.
¿Estamos condenados a vivir en un estado de inseguridad permanente al usar servicios de Internet? La respuesta a esta duda que algunos se plantean parece ser negativa. Al menos si hacemos caso a lo que contaba Edward Snowden en una entrevista publicada por New Yorker. En ella, este antiguo empleado de la CIA desaconsejaba el uso de Facebook, Dropbox y las diferentes herramientas de Google. También señaló que la última versión del sistema operativo móvil de Apple, iOS 8, no es inmune a las intrusiones a pesar de que ha aumentado su seguridad.
Pero Snowden también recomendó algunas aplicaciones para que nuestros datos y comunicaciones estén a salvo de miradas ajenas. A la hora de almacenar información en la nube citó el caso de SpiderOak, pues los datos que se guardan con este servicio están encriptados y ni la propia empresa tiene acceso a ellos. Para realizar llamadas telefónicas e intercambiar mensajes puso los ejemplos del servicio RedPhone, que permite llamar de forma segura con un teléfono Android. También mencionó las aplicaciones para hacer llamadas y mandar mensajes desarrolladas por la empresa Silent Circle, que además ha creado el primer teléfono diseñado para garantizar la privacidad de las comunicaciones: el Blackphone.

Seguros a cambio de información

Más allá de estas recomendaciones de Snowden existen otras opciones para lograr que la información que enviamos a través de Internet circule con cierta seguridad. Julián González es un ingeniero de telecomunicación especializado en seguridad informática y autor del blog Seguridad para todos. Al pedirle su opinión sobre la proliferación de problemas de seguridad en servicios online explica que Internet ha generado la conciencia de obtener información y servicio de forma gratuita, pagando tan solo por el acceso a la red. "Por eso, mientras que la concienciación de los usuarios sea usar servicios gratuitos, el sacrificio de la privacidad y la seguridad será algo aceptado. Esto genera una proliferación de servicios cuyo modelo de negocio son los datos del usuario. Algo que seguirá creciendo”, añade.
Mientras los usuarios quieran servicios gratuitos, aceptan sacrificar la privacidad y la seguridad. Esto genera una proliferación de servicios cuyo modelo de negocio son los datos del usuario”, advierte un experto
Mariano Benito es coordinador del comité técnico de Cloud Security Alliance España y responsable de seguridad de la empresa GMV. Este experto opina que a pesar de los frecuentes problemas de seguridad, la tendencia es que Internet sea cada vez más seguro. “Lo que sucede es que primero se crea un servicio con numerosas prestaciones para que los usuarios lleguen a él y luego se abordan los aspectos de seguridad”, apunta. Como ejemplo cita lo sucedido con el celebgate: “Apple ha reaccionado solucionando un problema de seguridad del que antes nadie se había percatado, con lo que se ha mejorado el servicio”
Respecto a lo que pueden hacer lo usuarios a la hora de escoger un servicio de almacenamiento en Internet, Julián González recomienda “elegir aquellos que proporcionen un sistema de cifrado de la información antes de que ésta sea almacenada en la nube”. Entre los servicios que este experto elige están SpiderOak; la aplicación Boxcrypto, que cifra los datos que subimos a Dropbox; y Prot-ON, que cifra la información que compartimos en la nube.
Lo más seguro es elegir un sistema de almacenamiento que proporcione un sistema de cifrado de la información del usuario antes de que ésta sea almacenada en la nube
En lo que respecta a las aplicaciones de mensajeríam González habla de Telegram, una alternativa a WhatsApp de la que sus creadores destacan que salvaguarda la privacidad del usuario, algo que no es precisamente uno de los puntos fuertes de WhatsApp. Aunque para González, Telegram también plantea dudas: “A pesar de mejorar la seguridad en la transmisión de la información presenta algunos inconvenientes en cuanto a la privacidad del usuario”. Como alternativa, este experto propone usar CryptoChat, un sistema de mensajería que aunque es minoritorio es bastante seguro. La aplicación BlackBerry Messenger, que desde hace unos meses no solo está disponible para los teléfonos de la compañía canadiense, también es una opción fiable para este experto.

La importancia de blindar las contraseñas

Abraham Pasamar es consultor de seguridad de información y CEO de la empresa Incide. Al preguntarle cómo es posible que se sucedan las noticias relacionadas con robos de información señala que “cada vez hay más servicios en la nube y, por ende, más volumen de información allí alojada". Y añade que cada vez es más fácil "atacar estos nuevos servicios a través de un mismo fallo recurrente: la debilidad de los passwords y las medidas de protección asociadas, a lo que hay que sumar la alta candidez del usuario, que es muy confiado en contextos digitales”.
Para solucionar el problema de las contraseñas, Pasamar recomienda usar alguno de los gestores de contraseñas gratuitos y accesibles a cualquier usuario medio de Internet. Destaca tres de ellos: 1Password, LastPass y Dashlane. Otro consejo que da este experto es que el usuario sea “altamente suspicaz". "Una de las técnicas más frecuentes a las que recurre cualquier potencial atacante es la ingeniería social. Es decir, conocer lo mejor posible a la víctima hasta deducir, por ejemplo, las respuestas a las preguntas de seguridad de recuperación de una contraseña”, añade.
Pasamar recomienda usar alguno de los gestores de contraseñas gratuitos y accesibles a cualquier usuario de Internet
En su opinión, solo deberíamos facilitar información privada y contraseñas en aquellos sitios en los que veamos la presencia de un candado en la cabecera del navegador o las siglas https (Hypertext Transfer Protocol Secure) delante de la dirección de la página que estamos visitando. Son dos señales que nos indican que estamos ante un lugar seguro para operar con nuestros datos personales.
Mariano Benito también piensa que es bueno tomarse la molestia de crear contraseñas lo más seguras que sea posible para los servicios de Internet que usemos. Él mismo utiliza tres contraseñas con diferentes grados de seguridad. Siendo la más compleja de adivinar una que incluye más de 20 caracteres. Al preguntarle si hay alguna clase de información con la que debemos ser especialmente cuidadosos cita dos cosas: “Datos bancarios o contraseñas que den acceso a otros servicios”.
En cualquier caso, si la seguridad de un servicio falla no tenemos porqué quedarnos de brazos cruzados. Un portavoz de la Agencia Española de Protección de Datos explica que cualquiera que considere que ha podido existir un acceso irregular a sus datos de carácter personal pueden denunciarlo ante este organismo, que analiza cada denuncia para determinar si existen indicios que justifiquen la apertura de un procedimiento. Aunque antes de llegar a eso desde la AEPD recomiendan usar servicios de internet que informen de manera clara y digan qué datos recogen o para qué los van a usar.
Solo el tiempo dirá si la privacidad comienza a ser un valor a tener en cuenta sobre otras funciones por parte de los usuarios y las empresas que desarrollan servicios en Internet. Pero lo que sí parece claro es que cada vez habrá más opciones para mantener un nivel de privacidad óptimo sin renunciar a usar toda clase de servicios en la red. Aunque probablemente esto no será gratis.

(Fte. El País)

viernes, 24 de octubre de 2014

¿Es legal revisar el móvil a un alumno para evitar 'cyberbullying'?


¿Es legal revisar el móvil a un alumno para evitar 'cyberbullying'?

- Los colegios buscan evitar denuncias pidiendo una autorización previa a los padres.
- Los tribunales dieron la razón a un colegio frente a la familia denunciante. 
- Los expertos cuestionan esta práctica porque puede excluir 'la privacidad en todo el centro'. 

 
Teniendo en cuenta que el derecho de las comunicaciones sólo lo puede levantar un juez, ¿puede un profesor requisar y, lo más importante, revisar el móvil de un alumno? ¿Qué pasa si el docente necesita encontrar en el móvil la prueba de un caso de cyberbullying? La cuestión de si es legal o no esta actuación ha abierto un debate en los colegios, donde para la irrupción masiva de estos dispositivos no siempre hay una respuesta o un protocolo de actuación. 

De ahí que ya haya algún centro que ha comenzado a solicitar a los padres de los menores que firmen un documento sobre la asunción de responsabilidad sobre el uso de ordenadores, móviles y redes sociales en el interior del colegio. En concreto, el documento que deben firmar las familias de un colegio valenciano especifica que la autorización se da "para que pueda revisar cualquier soporte que lleve el hijo o tutelado que se pueda utilizar para grabar cuando se detecte que el aparato está encendido sin autorización". 

En este caso, dicha autorización sirve igualmente para "las revisiones ordinarias de los soportes con el fin de verificar que no llevan instalado ningún software que pueda atentar contra la seguridad del colegio, o de los derechos al honor y la intimidad y a la propia imagen de cualquier miembro de la comunidad educativa mientras esté [el alumno] en el recinto del colegio".

¿Es legal esta exigencia del centro? Lo cierto es que la revisión del móvil del menor no puede hacerse sin el consentimiento de sus padres. Ahora bien, "este consentimiento a priori puede justificar la acción del centro, pero deja algo tan delicado como las comunicaciones del menor en manos del centro, cuando el titular de este secreto es el propio menor o sus padres», señala a este diario Ricard Martínez, doctor en Derecho y presidente de la Asociación Profesional Española de Privacidad (APEP). 

Porque, ¿a qué se va a acceder exactamente del móvil?, se pregunta Martínez. Así que si no hay más remedio, "es más fácil hacerlo con los padres que con un consentimiento previo y general". Y si los padres se negasen a esa inspección, sería el momento para el colegio de acudir a la "autoridad competente". 

Para este experto en protección de datos, pedir el consentimiento de los padres a principio de curso en previsión de un conflicto posterior supone en la práctica "una exclusión de privacidad en todo el centro y a criterio del centro". La pregunta es qué pasaría con el alumno cuyos padres se negasen a firmar dicha autorización. 

La actuación de este colegio busca en realidad evitar una denuncia ante los tribunales como la que tuvo que dirimir la Audiencia Nacional contra la Agencia Española de Protección de Datos (AEPD), demandada el año pasado por una familia precisamente por no sancionar a un colegio de Madrid que había inspeccionado el móvil de un estudiante sin que sus padres diesen la aprobación. 

La sentencia acabó dando la razón al colegio, ya que la sospecha de que el menor guardaba vídeos de contenido sexual en el terminal -como así lo había denunciado una alumna- suponía un "estado de necesidad". Es decir, en juego estaba la protección de los derechos de otros menores, lo cual justificaba la urgencia de la actuación, aun sin el previo consentimiento de los padres. 

Por ello, Martínez admite que es posible "que un profesor necesite controlar el móvil de un menor", pero "en casos excepcionales", como recoge el fallo. "Lo que no veo es un consentimiento general con criterio indeterminado", afirma. Dicho con otras palabras, lo más conveniente para el centro educativo es que si debe revisar el móvil de un alumno, pida entonces autorización a los padres. Y no antes.

(Fuente: El Mundo)

miércoles, 22 de octubre de 2014

9 consejos para proteger una empresa del hackeo.

La concienciación de los empleados y las buenas prácticas en la Red permiten a las compañías reducir los riesgos de ataques. Las contraseñas, verdaderos pilares de la protección de los datos corporativos en Internet, deben de ser elegidas con mucha precaución.

Los revuelos que ha conocido la web, tras el hackeo sufrido por varias celebrities de Hollywood o, más recientemente, la filtración de millones de contraseñas de Gmail, han dejado en entredicho la seguridad de los sistemas de almacenamiento y vuelto a poner de relieve la importancia de adoptar medidas para proteger los datos personales en la Red. Pero, ¿qué pasa con los ataques dirigidos a grandes compañías en los que los ciberdelincuentes consiguen tener acceso a información privilegiada? ¿Cómo pueden las empresas prevenir estos riesgos?

Si la fiabilidad de los proveedores de almacenamiento en la Red es clave para no sufrir ataques, las buenas prácticas por parte de las empresas son igualmente primordiales, como explica Francisco José Mateos de Vector ITC Group: “No preguntes qué puede hacer tu proveedor por tu seguridad; sino qué puedes hacer tú, como empresa, por tu propia seguridad y la de tus empleados”. Y añade: “En el ámbito laboral gestionamos más contraseñas de las que pensamos, para el correo, la intranet corporativa, el acceso al sistema, a las bases de datos, la wiki o otras numerosas herramientas. Y cuantas más contraseñas, mayor riesgo y mayor necesidad de asegurarse que son altamente seguras”.

Para minimizar el riesgo de que una empresa sufra ataques y complicar la tarea de los ciberdelincuentes, Vector ITC Group y Auda Consultores enumera 9 consejos a seguir:


1. Informar periódicamente a la plantilla

Las compañías deben instaurar ciclos de formación sobre las medidas que deben seguir los empleados para gestionar sus contraseñas en su trabajo diario.


2. Crear una política que obligue a generar contraseñas robustas

Para ser considerada “fuerte”, una contraseña debe reunir ciertas características:

- Tener al menos 8 caracteres
- Alternar letras mayúsculas y minúsculas
- Usar números y caracteres no alfanuméricos
- No utilizar palabras del diccionario
- No estar relacionada con la vida, los gustos o hobbies
- No usar fechas de cumpleaños, aniversarios, etc.


3. Instaurar la costumbre de cambiar las contraseñas cada cierto tiempo

Para una mayor seguridad, es recomendable que todos los colaboradores de la empresa cambien sus contraseñas cada 3 ó 6 meses.


4. Cifrar todas las contraseñas de los empleados con un algoritmo robusto


5. Nunca almacenar las contraseñas de los empleados, usar en su lugar un hash


6. Crear un segundo factor de autenticación para los empleados

El segundo factor de autenticación funciona de forma que al introducir un usuario y una contraseña, el servicio al que se está accediendo envía un token a un dispositivo (normalmente el móvil) y pide que se introduzca el código que se ha enviado. De esta manera, se autentica mejor al usuario, ya que un atacante tendría que vulnerar el dispositivo para obtener el token, además de averiguar el usuario y la contraseña.


7. Permitir que los empleados puedan escribir su propia pregunta personalizada en un sistema de preguntas recordatorio para reseteo de contraseñas 

Esta medida de seguridad se ha convertido en una vía más de ataque a la cuenta objetivo. Consiste en unas preguntas que se deben responder con la respuesta que se introdujo al dar de alta la cuenta para recuperar el control de la misma al olvidar la contraseña. Una buena solución para no sufrir ataques y que la respuesta no sea demasiado fácil de encontrar es no contestar con lógica y previsibilidad. Por ejemplo, si la pregunta es “apellido de soltera de tu madre”, la respuesta debería ser cualquiera menos esa: una palabra clave, una dirección de correo o una contraseña antigua. El objetivo es que un atacante no pueda usar información personal recopilada de Internet para adivinar la respuesta.


8. Cambiar las contraseñas por defecto de todas las aplicaciones que use la empresa

Al igual que es primordial cambiar de forma regular las contraseñas personales de los empleados, las de todas las aplicaciones y herramientas utilizadas en la empresa también han de ser actualizadas.


9. Investigar la seguridad de los servicios que quieran usar los empleados para su trabajo y elegir el más seguro

Unas simples observaciones permiten evaluar el grado de fiabilidad de un servicio en Internet:

-¿La página del servicio exige una contraseña robusta?
-¿Usa HTTPS? La famosa S después de HTTP implica una conexión cifrada y no enviar datos en claro.
-¿Tiene un segundo factor de autenticación?
-¿Tiene límite de reintentos?
-¿Se bloquea la cuenta cuando se supera el límite de reintentos?
- Para desbloquear una cuenta, ¿se envía un email? ¿Este email viene con la contraseña en claro o es un enlace para introducir una nueva contraseña?
-¿Tiene preguntas recordatorio que permiten introducir manualmente la respuesta o sólo permite escoger entre una serie de valores prefijados?
-¿Permite configurar una dirección de email a la cual se enviarán los emails de reseteo de contraseña en caso de olvidar la contraseña?

Todas estas consideraciones están supeditadas a la importancia de la información a proteger, ya que obviamente, no es lo mismo proteger el acceso a la web de nóminas de los empleados que el acceso a una web con contenido estático y meramente informativo.

(Fuente: socialetic.com)

lunes, 20 de octubre de 2014

La Policía Municipal denuncia a Industria por tirar a la basura documentos con datos personales.

Una patrulla de la Policía de Madrid encontró en la vía pública “gran cantidad de documentación” con datos de empresas y particulares que los agentes destruyeron en su mayor parte. Protección de Datos ha expedientado al departamento de Soria por una infracción “grave”. 


La Policía Municipal de Madrid ha denunciado al Ministerio de Industria, Energía y Turismo ante la Agencia Española de Protección de Datos (AEPD) por abandonar en un contenedor de basura en plena vía pública “gran cantidad de documentación” perteneciente al departamento de José Manuel Soria que contenía información sensible de empresas y particulares.

La AEPD acaba de dar carpetazo al expediente y ha determinado que Industria cometió una infracción “grave” por “una vulneración del principio de seguridad de los datos", sin que pueda "exonerarse su responsabilidad” en este punto. Esa vulneración de la seguridad de los datos "ha tenido como consecuencia que los datos de carácter personal, cuya custodia era responsabilidad de esa entidad, acabaran siendo recuperados” por un tercero.

Sin embargo, la agencia considera que se trata “posiblemente de un hecho puntual” en el que “ha podido influir la existencia de un error humano”. “Aun cuando la entidad denunciada es responsable de la custodia de la documentación, ésta se encontraba dentro de un contenedor de basura orgánica" y pasó "a ser custodiada por la policía, por lo que no se puede considerar que fuera revelada a terceras personas vulnerando así el deber de secreto”.

Los hechos ocurrieron en las navidades de 2012, y en concreto el 26 de diciembre de ese año, cuando una patrulla policial observó “a un individuo que junto a un carro de supermercado se encontraba rebuscando y sacando documentos de un contenedor de basura. Dicha documentación procedía en su mayoría del Órgano denunciado”, según la resolución que acaba de publicar la AEPD.

En vista de que la documentación localizada contenía datos personales, los agentes cursaron su denuncia ante Protección de Datos. En su escrito, explicaron que “debido a la gran cantidad de documentación recuperada se optó por destruir de forma segura la mayor parte" dejando "tan sólo una pequeña muestra que se aportó junto al escrito de denuncia”.

En abril del año pasado, y una vez abierto el expediente, personal de la agencia se personó en el ministerio para una inspección durante la cual un representante de Industria explicó que la documentación recuperada pertenecía a las Subdirecciones Generales de Fomento de la Sociedad de la Información y Coordinación y Ejecución de Programas, dependientes de la Secretaría de Estado de Telecomunicaciones, y que “casi la totalidad de los documentos” correspondían a documentación incluida en expedientes derivados de programas de concesión de ayudas.

El representante del ministerio también explicó que “por la fecha en la que fueron encontrados los documentos, el origen de los mismos podría ser la limpieza de un despacho realizada con motivo de la jubilación de un Vocal Asesor (Nivel 30)” y reconocía que Industria “no cuenta con un protocolo establecido para la destrucción de documentación en papel". Tampoco había "constancia de que se hayan proporcionado instrucciones al respecto a los trabajadores”.

Industria, “examinados los documentos incautados por la Policía Municipal”, aseguró en el trámite de alegaciones que los datos que contenían esos papeles eran “principalmente de personas jurídicas”. También “principalmente”, decía, no pertenecían personas físicas “y en ningún caso” se trataba de “datos especialmente protegidos. En el caso de los documentos en los que pueden aparecer datos personales, éstos son datos de cargos públicos”, aseguraba el Ministerio.

El departamento de Soria también argumentó que “los documentos localizados no son documentos originales, sino copias, correos de trabajo, por lo que no es seguro que sea responsable este Ministerio de haber abandonado allí dicha documentación”. También explicó que el hecho de no existiera un protocolo establecido para la destrucción de documentos de papel “no significa que no hubiese un uso y modo de proceder, consistente en la destrucción de la documentación en papel que se puede considerar confidencial”.

El ministerio añadía que se estaba elaborando “un borrador” con “medidas concretas de protección de la información de la información relacionada con la LOPD” (Ley Orgánica de Protección de Datos), un aspecto que la AEPD ha valorado “positivamente” en su resolución. Al tratarse de una Administración pública, la agencia no ha impuesto ninguna sanción pecuniaria a Industria, que tiene dos meses para recurrir ante la Audiencia Nacional.

(Fuente: vozpopuli.com)