Como crear contraseñas seguras

Desde el área de sistemas de GEYCE raro es el día que no tenemos de oír la frase, de vaya contraseña, se nota que sois de sistemas. La razón es que el usuario recibe la contraseña impuesta por el administrador y al final termina por apuntarla (peligro: la contraseña pasa a ser capturable) o por poner otra más sencilla, si puede cambiarla.
El problema es considerar que nadie va a conocer nuestra contraseña. Falso. Por la relevancia que tiene reproducimos aquí las recomendaciones que INTECO (Instituto Nacional de Tecnologías de la Comunicación) :


"Cómo crear una contraseña segura:

• La longitud de las contraseñas no debe ser inferior a ocho caracteres. Se debe tener en cuenta que a mayor longitud más difícil será de reproducir y mayor seguridad ofrecerá.
• Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas), dígitos e incluso caracteres especiales (@, ¡, +, &).
• Se deben cambiar las contraseñas regularmente. (Dependiendo de la criticidad de los datos puede ser cada X meses).

Estrategias que deben evitarse con respecto a las contraseñas

• La contraseña no debe contener el identificador o nombre de usuario de la cuenta, o cualquier otra información personal que sea fácil de averiguar (cumpleaños, nombres de hijos, conyuges, ...). Tampoco una serie de letras dispuestas adyacentemente en el teclado (123456, qwerty...)
• No se recomienda emplear la misma contraseña para todas las cuentas creadas para acceder a servicios en línea. Si alguna de ellas queda expuesta, todas las demás cuentas protegidas por esa misma contraseña también deberán considerarse en peligro.
• Se deben evitar contraseñas que contengan palabras existentes en algún idioma (por ejemplo Aguilanegra), uno de los ataques más conocidos para romper contraseñas es probar cada una de las palabras que figuran en el diccionario y/o palabras de uso común.
• No se deben almacenar las contraseñas en un lugar público y al alcance de los demás.
• No compartir las contraseñas en Internet, por correo electrónico ni por teléfono. En especial se debe desconfiar de cualquier mensaje de correo electrónico en el que te soliciten la contraseña o indiquen que se ha de visitar un sitio Web para comprobarla. Casi con total seguridad se trata de un fraude.

Actualmente el método más extendido para obtener acceso a información personal que se almacena en los ordenadores y/o servicios en línea es mediante contraseñas. Se trata de solicitar información secreta - que solo debería conocer el propietario de la cuenta - para controlar el acceso hacia algún recurso.

Dado que la mayoría de las veces una contraseña es la única barrera entre los datos confidenciales y potenciales atacantes es necesario invertir un poco de tiempo y esfuerzo en generar una contraseña segura.

Hemos de tener en cuenta de que si un usuario malintencionado consiguiera apoderarse de esa información podría desde acceder a información personal violando la privacidad hasta tener acceso a servicios financieros, suplantar en transacciones en línea e incluso solicitar una hipoteca. Si un usuario malintencionado consiguiera apoderarse de una contraseña podría desde acceder a su información personal violando la privacidad hasta tener acceso a servicios financieros.

Un buen método para crear una contraseña sólida es pensar en una frase fácil de memorizar y acortarla aplicando alguna regla sencilla. Un ejemplo sería seleccionando la primera letra de cada palabra y convirtiendo algunas de las letras en números que sean similares. Por ejemplo, "La seguridad es como una cadena, es tan fuerte como el eslabón más débil" podría convertirse en "Lsec1cetfceemd".

Es posible crear contraseñas más seguras dificultando la regla a aplicar sobre la frase. Por ejemplo intercalando mayúsculas y minúsculas y sustituyendo la primera de las letras "e" por el símbolo "¬", quedando Ls¬c1cEtFcEeMd." 

Windows 8 es más seguro pero no lo suficiente

Esta es la conclusión de los técnicos de BitDefender al someter  al sistema de seguridad nativo de Windows 8 a 400 ejemplares de los “bichos” más populares detectados en los últimos seis meses.

Dicha prueba puso de manifiesto que el benjamín de Microsoft fue capaz de bloquear 340 amenazas por si mismo (un 85 por cierto de las muestras), convirtiéndolo en la versión de Windows más segura de toda la historia.

La mejora principal sobre las versiones anteriores es que integra una solución de seguridad, conocida como Windows Defender conocida anteriormente como Microsoft Security Essentials, esta solución que integra antivirus, antispyware, SmartScreen para proteger de instalación de aplicaciones, y un nuevo sistema de Entrada /Salida UEFI que obliga que las actualizaciones de firmware estén firmadas, este paso ayuda a proteger el arranque del sistema operativo.

El hecho de que ya existan  numerosas versiones comerciales y gratuitas de suites de seguridad compatibles con Windows 8, unas 50 publicado por av-test, confirman que a fecha de hoy es necesaria o casi obligatoria la instalación de una solución de seguridad externa al propio sistema operativo.

Valoran positivamente el esfuerzo de mejora de la seguridad en el nuevo sistema operativo realizada por Microsoft, pero una suite de seguridad integrada en el sistema operativo, puede provocar que los usuarios no instalen ninguna solución mas completa en sus equipos, esta situación provocaría a la larga, que los creadores de malware realicen soluciones a medida que exploten vulnerabilidades de la solución de segundad, obviando las propias sistema operativo.

Microsoft coincidiendo con sus periódicas  actualizaciones de seguridad, el segundo martes de cada mes, hoy lanzarán un total de 6 boletines que documentan un total de 19 vulnerabilidades de sus productos, entre ellos Windows 8 (technet.microsoft.com)

McAfee lanza cuatro nuevas suites de seguridad destinada a centros de datos

McAfee ha presentado cuatro nuevas suites que garantizan la seguridad de servidores y bases de datos, destinada a los equipos ubicados en centros datos.

Estas soluciones ofrecen a los clientes la posibilidad de proteger sus servidores físicos, virtuales así como sus escritorios virtuales, con una combinación de tecnologías en una única solución simplificando su uso.

• McAfee Data Center Security Suite for Server esta solución proporciona una combinación de listas blancas, listas negras y funciones de virtualización optimizadas para seguridad básica de todo tipo de servidores, con el objetivo de minimizar el impacto en el rendimiento.

• McAfee Data Center Security Suite for Virtual Desktop Infrastructure proporciona seguridad integral para la implementación de escritorios virtuales que no compromete el rendimiento o experiencia de usuario final.

• McAfee Data Center Security Suite for Server–Hypervisor Edition una solucion similar a McAfee Data Center Security Suite for Server pero añade soporte a nativo a Hypervisores (monitor de máquina virtual).

• McAfee Database Server Protection ofrece monitorización de bases de datos y evaluación de vulnerabilidades en una única solución, para los principales servidores en los centros de datos.

Estas soluciones satisfacen la necesidad de la industria de ofrecer soluciones que proporcionen el más alto nivel de protección en entornos de misión critica con un impacto mínimo en los recursos de hardware.

Para más información: www.mcafee.com

Windows 8 no gusta a los expertos TI, sólo llegan al 0,33% de instalaciones

El nuevo sistema operativo de Microsoft Windows 8, según las estadísticas publicadas por NetApplications, tiene una aceptación muy limitada, se calcula de solo 0.33% de los ordenadores que se conectan a Internet son Windows 8.(sobre un muestreo de 10.000)

Tras la aparición del su antecesor Windows 7, a fines de septiembre de 2009, es decir, a tres semanas después de su lanzamiento, Windows 7 estaba instalado en el 1,64%, lo que equivaldría a 164 entre cada 10.000 PCs. Esto equivale a 5 veces más que lo observado para Windows 8.

Las cifras publicadas por NetApplications corresponden a la versión RTM (Release to manufacturing), distribuida  por Microsoft entre desarrolladores, profesionales y empresas TI con acuerdos especiales con Microsoft. NetApplications sólo reflejan la situación entre usuarios especializados y no entre consumidores o el empresariado en general.

A lo anterior se suma que Microsoft ha anunciado un precio rebajado a niveles sin precedentes de Windows 8, en que los usuarios podrán actualizar el sistema operativo por sólo USD 40 (30,989€), en una campaña que tendrá inicio para el lanzamiento del sistema operativo, el 26 octubre de este año y finalizara el 31 enero 2013. 

Parece que el sistema operativos Windows 7,  se convertirá para el publico general en el natural sucesor de WindowsXP, Vista no aparece en la lista ya que ha sido borrado del mapa por Windows 7.

Esperaremos el comportamiento del nuevo vástago de Microsoft, y como evoluciona su índice de aceptación por los expertos, a igual que el Windows 7 produjo sus mas y sus menos en las primeras instalaciones es de suponer que 'WIN8' también se abra un hueco en el mercado.

La seguridad debe ser proporcional a lo protegido.

Acabamos de conocer una noticia en la que los piratas informáticos, han sido capaces de Reproducir el iris de una persona para asaltar sistemas biométricos.

Evidentemente dicho esfuerzo tiene su sentido por acceder al tesoro que aguarda detrás de dicha barrera. En el día a día, nuestra información no suele requerir de dicha tecnología pero demuestra que los piratas buscan nuevas herramientas para acceder a datos protegidos.

Sirva este ejemplo para comentar que seguridad no es sinónimo de copias de seguridad.

Disponer de copias de seguridad sólo garantiza reponer la misma en el sistema cuando se produzca un desastre en el servidor o en el sistema operativo. No garantiza que los datos puedan ser robados con la consecuente responsabilidad añadida frente a la Agencia de Protección de Datos.

Controlar el acceso a la información sensible de nuestra empresa, ya sean datos personales o económicos, requiere de una elaboración exhaustiva de directrices a aplicar para evitar el intrusismo.

Cuantos empleados de su empresa leen USB que se traen de casa sin ningún tipo de control?. Los USB es una ejemplo de una forma sencilla de intrusismo para recopilar información reservada de la empresa.

Acceso a los servidores, cuanta gente de su empresa se intercambia sus palabras de paso o tienen permiso para acceder al servidor de datos?.

Para su empresa ¿hace falta poner un control biométrico ocular? casi seguro que no. Los medios de defensa deben ser proporcionales a lo que protegemos.

Pero no debemos olvidar que nuestra información forma parte de la riqueza, y por lo tanto de la supervivencia, de nuestra empresa; protegerlos adecuadamente contra su posible robo es una labor que se debe implantar de forma general.

Ver noticia citada.

Utilizar Internet Explorer 7 costará un 6.8% más en su compra.

Con este curioso aviso se ha presentado en una conocida pagina australiana de electrónica, en su pagina web. http://www.blogger.com/img/blank.gif

La tienda Kogan.com, se ha convertido en la pionera en aplicar un recargo de 6.8% (por el momento) sobre el total de las compras que realicen sus usuarios con el navegador Internet Explorer 7.

Se trata de un impuesto reajustable, ya que el carro de compras de Kogan.com aplica a los usuarios un recargo de 0,1% por cada mes de existencia del navegador IE7. A la fecha, el "impuesto acumulado", asciende a 6,8%.

Lógicamente la pagina web muestra un mensaje un tanto curioso informando de la aplicación de dicho recargo y la alternativa para evitar dicho pago es instalar un navegador alternativo, Google Chrome, Mozilla Firefox, Safari, Opera o Internet Explorer 8 o 9 (en caso de Windows vista,7,2008).

Fuente DiarioTI.com

INTECO-CERT : Grave problema de seguridad en Internet Explorer

El instituto nacional de tecnologias de la comunicacion, ha dado a conocer un grave problema de seguridad de Intenet explorer en sus botelines.

Fecha de Publicación: 2012-06-20 12:40:00

Sistemas Afectados
Todas las versiones de Windows y Office 2003 y 2007.

Descripción
Permite que se ejecute código malicioso al visitar una página web.

Solución
Hasta que se publique una actualización de seguridad del navegador, se recomienda instalar un «parche» (solución provisional) publicado por Microsoft. Para ello siga los siguientes pasos:

Descargue el «parche» de la web de Microsoft "Fix it for me".
Se mostrará una ventana de descarga de archivo. Haga clic en «Ejecutar».
Siga las instrucciones que se muestran por pantalla.

Detalle
Se ha detectado un problema de seguridad en un componente del navegador Internet Explorer. Este problema posibilita que al visitar una página web maliciosa, con el navegador Internet Explorer, se ejecute código malicioso en el equipo sin necesidad de que el usuario realice ninguna acción.

Ya se han detectado ataques que tratan de explotar este problema de seguridad.

Referencias

Vulnerabilidad grave en Microsoft XML Core Services

Watsapp Sniffer (El azote de Android)

¿En la actualidad quien no tiene un 'teléfono inteligente'?.

Se han hecho imprescindibles tanto para adultos como para adolescentes, siendo en la actualidad auténticos ordenadores en la palma de la mano.

La gran existencia de aplicaciones para estos teléfonos y la utilización de acceso a Internet universal, ha agudizado el ingenio de los "chicos malos" y cada vez es mas común que el objetivo de los nuevos virus, troyanos y demás fauna cibernética,  sea este nuevo novedoso terreno.

De todas las aplicaciones que se pueden instalar, la más popular es el Whatsapp (servicio de mensajería instantánea para teléfonos similar a los sms pero sin coste por mensaje). Ni esta aplicación  se salva de los problemas de seguridad.

El malo de esta película le llama Watsapp Sniffer para Android, esta aplicación ha facilitado la intervención de terceros en las conversaciones de los usuarios. Sniffer para Android, permite obtener todos los mensajes enviados por los usuarios de Watsapp que se encuentren conectados a una misma red de Wi-Fi.

Según un estudio de Gartner, compañía que investiga los mercados de nuevas tecnologías, Android es líder en plataformas moviles en el año 2011. Existen mas de 450 millones de dispositivos con este sistema operativo y se prevee un crecimiento de 550 mil por dia.

Por el momento la única opción viable es esperar una actualizacion que lo solvente y que los usuarios de WhatsApp con Android no lo utilicen en redes publicas Wi-Fi.

Fuentes:     diario-ti    elmundo.com.sv

Visa y MasterCard advierten una de brecha de seguridad

Visa y MasterCard notificaron a los bancos estadounidenses que uno de los puntos de procesamiento de transacciones en Estados Unidos había sido violado. La intrusión de seguridad pone en compromiso a más de 10 millones de números de tarjetas.

Ninguna de las firmas reveló qué procesador había sido comprometido. Las alertas enviadas a los bancos de Estados Unidos la semana pasada informaban que ciertas tarjetas, podría verse implicadas y que todos los datos del Track 1 y Track 2 fueron robados, lo que significa que los asaltantes obtuvieron lo suficiente como para falsificar tarjetas nuevas.

Se cree que la brecha de seguridad se produjo entre el 21 de enero y el 25 de febrero de 2012. Los bancos afectados reciben reportes de análisis de transacción de datos, con la esperanza de localizar algún punto en común de compra. Hasta ahora, la mayoría de las transacciones dudosas analizadas apuntan hacia estacionamientos cercanos a la ciudad de Nueva York.

Fuente ZDNET

Nuevo objetivo de una campaña de phishing: AEAT

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado una alerta sobre correos electrónicos que imitan la imagen de la Agencia Tributaria. Es un ataque de phishing que tiene como presunción robar los datos bancarios de los usuarios, prometiendo una falsa devolución de impuestos.

Los criminales cada vez utilizan más a menudo estos recursos para sus actividades. Tratan de imitar la imagen de las organizaciones o empresas que pretenden suplantar, para engañar a los usuarios y poder sustraer datos sensibles.

En el mensaje se promete una devolución de parte de los impuestos, solicitando los datos bancarios para realizar el ingreso. Estos datos facilitados por el incauto receptor del correo permitirán a los criminales vender sus datos personales a terceros o sustraer dinero a los usuarios ellos directamente.

Es importante que los usuarios estén alerta ante este tipo de amenazas y que se abstengan de abrir mensajes o adjuntos que pueden ser sospechosos. La recomendaciones facilitadas por INTECO a los usuarios que reciban este tipo de emisiva, es contactar directamente con el organismo origen del correo electrónico, en este caso la AEAT, antes de facilitar datos personales.

Fuente: www.csospain.es

McAfee publica final de ciclo de su producto 8.5

Le informamos que McAfee ha publicado el final de ciclo de sus productos entre ellos:

• McAfee Anti-Spyware Enterprise: versión 8.5 el 31-Dic-11 (Sustituido por McAfee Anti-Spyware Enterprise 8.7 y por McAfee VirusScan Enterprise 8.8)

• McAfee VirusScan Enterprise: versión 8.5 el 31-Dic-11 (Sustituido por McAfee VirusScan Enterprise 8.7 y por McAfee VirusScan Enterprise 8.8)

Estos productos ya no tendrán soporte, ante cualquier duda si Ud. adquirió el producto através de GEYCE, pongase en contacto con nuestro departamento comercial para regularizar su producto.