El cibercrimen, una amenaza a la que se enfrentan las empresas de todos los tamaños 9 junio, 2011
Posted by Gregorio García in Radio, Seguridad.Tags: Cibercrimen, Miguel Suárez, Podcast, Symantec
1 comment so far
Confianza en la red 115
En Confianza en la red hemos hablado de cibercrimen con Miguel Suárez. Miguel trabaja en Symantec como Pre-sales security leader. Experto en seguridad dentro de la compañía líder mundial en suministro de soluciones para seguridad, almacenamiento y gestión de sistemas, la labor de Suárez se centra en ayudar a las organizaciones a garantizar la seguridad y gestionar sus entornos basados en la información.
Puede escuchar la entrevista completa con el siguiente reproductor:
En el último informe de Symantec MessageLabs Intelligence correspondiente a mayo de 2011, se indica, tal y como ya había estimado la compañía, que por primera vez los spammers establecen sus propios servicios falsos para abreviar direcciones URL, un factor que ha contribuido al aumento de los niveles de spam.
¿Cómo se enfrentan las empresas a esta circunstancia?
En este sentido lo que demuestra este informe incluso la técnica que estas comentando, es que hay una evolución continua por parte de «los malos», los hackers, esas personas que en Internet tratan de alguna forma de aprovecharse de vulnerabilidades y obtener beneficio, principalmente, económico.
En este sentido las empresas buscan nuevas técnicas en el ámbito de la seguridad, que permitan ir evolucionando a la vez que evolucionan las técnicas que usan «los malos» y, en este sentido, Symantec trabaja con las empresas a nivel nacional para proveer de nuevas tecnologías, de investigación y desarrollo para poder ayudarles a detectar estas técnicas.
¿A qué otras amenazas en materia de seguridad informática se enfrentan hoy por hoy las empresas españolas?
Yo creo que las nuevas amenazas están ligadas a las nuevas funcionalidades que tenemos en Internet, porque seguro que si hablo de redes sociales o de dispositivos móviles es algo que todos o casi todos los usuarios tenemos en mente porque ya hacemos uso de ello. Entonces, las nuevas amenazas están ligadas a los nuevos medios, en entornos como Facebook o Twitter, todas esas redes sociales en donde acceden millones de personas o a esos nuevos dispositivos móviles de los que hacemos uso diariamente, constituyen un nuevo punto donde estas organizaciones pueden sacar beneficios.
Adicionalmente, también observamos en los últimos años, que los ataques que se producen van orientados claramente a obtener un beneficio económico, y por lo tanto lo que están haciendo los hackers es realizar ataques mas dirigidos, con un objetivo mucho más concreto, focalizado en ciertas empresas concretas, con cierto grupo de personas y de sistemas informáticos, lo que los americanos llaman APT (Ataques dirigidos contra ciertas compañías).
¿Están preparadas y concienciadas las empresas de nuestro país para luchar contra el cibercrimen?
Realmente, varia mucho en función del sector, hay algunos realmente concienciados porque históricamente han vivido y realizado actividades en este entorno y hay sectores donde no existe una clara concienciación. En general, en el caso de usuarios existe cierto grado, pero creo que aún debemos ayudar a los usuarios a entender como deben de utilizar Internet, y eso probablemente permita hacer un mejor uso de Internet y evitar posible amenazas o el impacto que puedan tener estas amenazas. Por poner un ejemplo concreto, cuando nos desplazamos físicamente por un sitio sabemos determinar si es peligroso o no, pasar por una calle o realizar ciertas actividades, pues ese mismo comportamiento es algo que deberíamos tener claro en Internet, ser conscientes de que hacemos y cuanto riesgo tiene hacer cualquier cosa en Internet.
La movilidad, el hecho de que se utilicen dispositivos móviles tanto para cuestiones personales como profesionales, ¿también es una amenaza a la hora de mantener los datos seguros?
La amenaza fundamental es que compartimos datos personales con datos de empresa en un mismo dispositivo, entonces lo que hacemos es facilitar que, si no seguimos unas buenas prácticas en el ámbito personal, pues pongamos en compromiso esos datos de empresa que pueden ser significativos. Pensemos en Directores o Ministros que en sus dispositivos pueden tener fotos personales, datos del Ministerio o de la empresa y entonces esto puede provocar problemas en ese ámbito de que alguien pueda tomar o acceder a ese dispositivo, que ya ha pasado, y pueda tomar información que sea sensible y, sobretodo, la toman porque les interesa de alguna manera y tiene beneficio económico.
Y por último, ahora que está tan en boga el Cloud Computing y los datos en la nube, ¿cómo se establece este modelo de negocio dentro de Symantec y cuáles son las recomendaciones para las empresas en este sentido?
Los servicios en la nube tiene unos objetivos muy claros que es eficiencia, especialización y eficacia. Entonces lo que nosotros tratamos de proveer a nuestros clientes son unos servicios en ese ámbito, que sean diferenciales y que permitan fácilmente obtener un valor a las empresas. La reducción de costes es un efecto muy claro dentro de lo que es un servicio en la nube.
Dispositivos seguros de creación de firma 2 May, 2011
Posted by Gregorio García in Julián Inza, Radio, Seguridad.Tags: DIRECTIVA 1999/93/CE, Dispositivos seguros de creación de firma, Julián Inza, Ley 59/2003
3 comments
Confianza en la red 087
En Confianza en la red hemos hablado con Julián Inza, Presidente de Albalia Interactiva.
Puede escuchar la entrevista completa con el siguiente reproductor:
¿Qué son los dispositivos seguros de creación de firma?
Se define en la Directiva y en la Ley de Firma Electrónica y es un dispositivo que garantiza la seguridad de las claves privadas que se emplean en la Firma Electrónica. En realidad se ha convertido en un requisito para que las firmas electrónicas que se generan en determinados contextos tengan el máximo valor real.
¿Dónde se emplean los dispositivos seguros de creación de firma?
En general y dependiendo del tipo de dispositivo se pueden emplear en usos personales o en usos empresariales o corporativos, por ejemplo, en las Administraciones Publicas. Te pongo un ejemplo, el chip del DNI electrónico (DNIe) es un dispositivo seguro de creación de firma, pero también lo es un aparato que se denomina HSM (Hardware Security Module) que se instala en los CPD (Centros de procesamiento de datos) de ayuntamientos, entidades financieras… y con los que se realizan, muchas veces de forma automatizada, firmas electrónicas.
¿Por qué es importante disponer de un dispositivo seguro de creación de firma?
Porque en la Ley y en la Directiva de Firma Electrónica, se establece que las firmas electrónicas avanzadas que se realizan con un certificado cualificado y con un dispositivo seguro de creación de firma, tiene el mismo valor que las firmas manuscritas. Esto es importante cuando las firmas las hacen personas pero es más importante cuando las realizan las instituciones de manera automatizada pero también dándole el valor de que lo firmen las personas.
En estos casos el dispositivo seguro de creación de firma, por sí solo, no es suficiente porque también hay que garantizar que las claves que se gestionan con ese dispositivo están bajo control exclusivo del titular, y para eso, conviene redactar unos textos legales que refrenden esa actividad tanto para la entidad, empresa o Ayuntamiento, y para la persona que figura como titular de los certificados.
¿Qué deben hacer las empresas y los organismos para gestionar los dispositivos seguros de creación de firma?
Nosotros recomendamos desarrollar una política de firma, esto empieza a ser cada vez más importante porque, en las empresas y los organismos empieza a haber muchos certificados para tratar con hacienda, con las notificaciones, con la seguridad social… Hay muchas personas que tienen que usarlos en sus actividades y recomendamos que haya una política de firma.
De hecho nosotros asesoramos a varias empresas en desarrollo de estas políticas, pero especialmente en relación con la custodia de los certificados en nuestros dispositivos, recomendamos que se haga un peritaje cuando se solicitan los certificados a las autoridades de certificación para que esta información del dispositivo quede grabada en los certificados desde su momento de emisión.
Facebook 26 abril, 2011
Posted by Gregorio García in Radio, Seguridad.Tags: Facebook, Fanpage, Fátima Martínez López, Privacidad, Redes sociales, Twitter
4 comments
Confianza en la red 083
En Confianza en la red hemos hablado sobre Facebook con Fátima Martínez López, publicista especialista en comunicación y relaciones publicas. Fátima ha trabajado durante 28 años en medios de comunicación de gran prestigio (El Pais, Vocento diario ABC, Punto Radio, Onda 6 TV entre otros) En la actualidad Consultora y Formadora en Social Media.
Puede escuchar la entrevista completa con el siguiente reproductor:
¿Cual ha sido la evolución de Facebook en estos años?
Facebook nació en el año 2004 y lo fundaron estudiantes de la universidad de Harvard para estar en contacto. Cuando llega a España creo que todos los españoles empezamos a utilizarlo, fundamentalmente, para temas personales, para estar en contacto con antiguos compañeros del colegio o de la universidad, para la familia o colgar vídeos y fotos. poco a poco, esto ha ido cambiando yendo siempre hacia temas profesionales, hemos aumentado nuestro numero de amigos, ya no son de los de toda la vida sino que empieza a haber amigos que no conocemos personalmente, hemos abierto las puertas por decirlo de alguna manera.
¿Es importante la privacidad en Facebook?
Es muy importante por varios factores, lo primero los niños y adolescentes, no hay que prohibirles que tengan Facebook, pero si hay que ayudarles y enseñarles como tienen que guardar su privacidad, sus álbumes de fotos, vídeos, temas personales o que no se localicen. Es decir, es una red que si la controlas no hay ningún problema, siempre que guardes tu privacidad siempre.
Y para los adultos de la misma manera, pues a veces colgamos cosas que no debemos o al menos no deberían estar expuestas para el público general. De hecho las empresas están empezando a buscar perfiles dentro de Facebook y sería un drama que encontrasen cosas que no queremos que se enseñen.
¿Se puede equiparar con Twitter?
Son dos redes complementarias pero absolutamente diferentes. Nuestro perfil en Facebook es más informal, más para amistad, para contar como estamos con lenguaje más coloquial y con más caracteres. Twitter en cambio es inmediatez, es información, contamos que esta pasando, nos informamos, aprendemos y nos permite compartir. Son dos redes muy diferentes que hay que usar de forma distinta.
¿Deberían estar todas las empresas en Facebook?
Facebook es un gran escaparate para las empresas, yo creo que es una gran oportunidad para las que quieran abrir el dialogo con sus consumidores. Pero antes de tomar la decisión hay que tener muy claro la estrategia y saber los objetivos que buscamos. No se puede abrir, simplemente, una página de Facebook porque por si misma no es nada, tiene que estar dentro de una clara estrategia marcada y dentro de un plan con unos objetivos claros.
¿Las páginas son sólo para empresas o las recomiendas para algo mas?
Las fanpages, o paginas de Facebook, además de las opciones que dan para marcas, famosos o artistas, yo las recomiendo también a nivel profesional. Para nosotros mismos es un gran escaparate para crear nuestra marca personal, para lanzar nuestros blogs y para dar a conocer más de nosotros y compartir nuestra información. Es importante que todos profesionalmente pudiéramos tener una gran fanpage.
Sistema tecnológico para evitar los atropellos entre personas y carretillas industriales 24 marzo, 2011
Posted by jimenezshaw in Radio, Seguridad.Tags: Berenguer Alert, Carretillas industriales, Grupo Icnita, Icnita Safety, RFID, Telepeaje
5 comments
Confianza en la red 065
En Confianza en la red hemos hablado del sistema tecnológico para evitar los atropellos entre personas y carretillas industriales porque son muy frecuentes. Icnita Safety fabrica un dispositivo para evitar que ocurran estos accidentes en áreas concretas. Suelen ser áreas como muelles de carga o cruces con poca visibilidad. Berenguer Alert es el director de la unidad de negocio de Icnita Safety, perteneciente al Grupo Icnita, uno de los grupos tecnológico más especializados en tecnologías inalámbricas y en la tecnología RFID en España.
¿Como funciona esta solución? ¿Y cuales son los ejemplos de tecnología?
Icnita desarrolla soluciones inhalámbricas y de identificación electrónica para múltiples proyectos. Por ejemplo, en el telepeaje de las autopistas donde los vehículos van con un dispositivo electrónico, que al pasar por las barreras las hace abrir a una distancias de unos 8 ó 10 metros. Esto es la tecnología RFID, en las que estamos nosotros especializados. Icnita Safety, que es la división en la que yo soy el director, ha desarrollado soluciones anti-atropello entre las personas y las carretillas industriales que están en los almacenes.
¿En que ámbito funciona este sistema, solamente en esa zona, en la de los almacenes y poco más?
Actualmente sí. Hay que entender que la primera causa de accidentes industriales en el sector industrial son las colisiones y los accidentes entre carretillas y personas. Cada vez más la sensibilización por parte de las empresas en evitar todo este tipo de accidentes, atropellos que en algunos casos pueden ser hasta mortales, hace que sistemas con esta tecnología de radiofrecuencia o RFID, sea la más viable para poder aportar al mercado una solución eficiente de anti-atropello entre carretillas y personas.
¿Aporta este sistema muchísimas ventajas?
Podemos citar varias ventajas, aparte de lo que es evitar el accidente laboral:
- Aumentar los rangos de seguridad de una empresa
- El poder negociar mejor, en caso de accidente, las indemnizaciones en los juicios, porque en la empresa aparte de cumplir la normativa vigente de prevención de riesgos aporta complementos a la seguridad con estos tipos de sistemas.
- Negociación en pólizas de seguro por este tipo de servicio.
¿Hay alguna limitación?
Básicamente sí, la distancia de detección y el tipo de vehículo al cual va aplicado este sistema anti-atropello. Las distancias de detección para evitar un atropello entre un conductor de una carretilla y una persona son entre cinco y medio y siete metros de distancia, tanto por delante como por detrás. Esto limita exclusivamente la utilización de estos sistemas anti-atropello a carretillas con un peso de hasta 3,5 toneladas y en áreas muy concretas como pueden ser muelles de carga, entre camiones, conductores y carretillas, donde los conductores externos suelen estar por las zonas de peligro, ya que no se conocen bien la empresa, porque son eventuales o externos, y la protección aquí tiene su aplicación.
Puede escuchar la entrevista completa con el siguiente reproductor:
Escrow 23 febrero, 2011
Posted by Gregorio García in Radio, Seguridad.Tags: Eduardo Loyola, Escrow, Escrow Spain, Testing, Verificación
5 comments
Confianza en la red 044
En el programa hemos hablado con Eduardo Loyola, responsable de la acción comercial y de desarrollo corporativo de Escrow Spain, sobre cómo se garantiza un cliente de software la continuidad en la prestación de un servicio de mantenimiento en el tiempo.
Para poder garantizar la continuidad en la prestación de un servicio de mantenimiento, la empresa tiene que depositar el código fuente de su software en un tercero de confianza, que en caso de que tenga un problema de continuidad del servicio pueda acceder al código fuente previamente depositado.
Escrow es un sistema para asegurar la relación entre los desarrolladores de software y de un tercero de confianza. Esta práctica proviene de la legislación anglosajona pero posee plena garantía legal y jurídica en España.
Un contrato Escrow se complementa con los servicios de verificación y testing, servicios necesarios para que el depósito del código fuente tenga validez y garantía. Los servicios de verificación y testing son servicios prestados por una empresa tercera, que verifica que lo que hay en el depósito, que el notario desconoce, es lo que el desarrollador ha declarado.
Estos servicios en España son prestados por empresas formadas por abogados o por la propia Escrow Spain.
Foursquare 9 febrero, 2011
Posted by Gregorio García in José María Jiménez, Radio, Redes Sociales, Seguridad.Tags: Albalia Interactiva, Check-in, Descuentos, Diego Parrilla, Foursquare, Geolocalización, José María Jiménez Shaw, Podcast, Redes sociales
5 comments
Confianza en la red 034
En el programa hemos hablado con José María Jiménez, Director comercial y de marketing de Albalia Interactiva, sobre Foursquare y su impresionante crecimiento.
Esta red social se basa en la geolocalización. Su funcionamiento es sencillo, se trata de indicar con un teléfono móvil de última generación dotado de GPS el lugar donde te encuentras y descubrir que amigos están cerca.
Se plantea como un juego donde ganas puntos por ir haciendo check in en los lugares a los que vas, puedes llegar a ser el Mayor si eres el que más visita un sitio o desbloquear badges.
Según donde estés puedes recibir ofertas de establecimientos cercanos que te ofrecen descuentos simplemente por hacer check in en ellos, de esta manera motivan a los usuarios de Foursquare a acudir a los mismos. Éstos tienen la posibilidad de comentar y valorar cada sitio que visitan creándose un ecosistema de recomendaciones a través de Foursquare, donde unas veces los usuarios recomiendan y otras siguen recomendaciones.
En cuanto a la seguridad se han producido diversos incidentes, producidos principalmente por descuidos en el uso de las redes sociales. Entre los casos más destacados se encuentra el que comenta Diego Parrilla en la entrada de su blog Cuidado con Foursquare.
La seguridad de los servidores web en banca y administraciones públicas 8 febrero, 2011
Posted by Gregorio García in Julián Inza, Radio, Seguridad.Tags: Administración Electrónica, Banca Electrónica, Certificados de servidor, Comercio Electrónico, Curvas elípticas, EADTrust, Grupo Interactiva, Julián Inza, La seguridad de los servidores web en banca y administraciones públicas, LOPD, técnicas RSA, Thawte, VeriSign
7 comments
Confianza en la red 033
En el programa hemos hablado con Julián Inza, Presidente del Grupo Interactiva, sobre el funcionamiento de los servidores web en modo seguro.
Los servidores de los bancos y de las administraciones públicas, tienen la opción de utilizar criptografía de clave simétrica junto con la criptografía de clave asimétrica. Al instalar un certificado relacionado con su clave, el ordenador del usuario, donde está un navegador, se conecta con el servidor. Si la dirección empieza con https, sabemos que la conexión es segura. Cuando se hace este tipo de conexión, el navegador del usuario le pregunta al servidor si es capaz de mantener conexiones seguras y el servidor le contesta que sí y le entrega su certificado al navegador. Con la información del certificado, el navegador extrae la clave pública, y cifra con la clave pública una clave de sesión, se lo envía al servidor, que es el único que lo puede descifrar con su clave privada, a partir de ese momento, mantienen una sesión cifrada con clave simétrica.
Los servidores web seguros tienen interés para el sector ABC, Administración electrónica, Banca electrónica y Comercio electrónico, porque en estos contextos es muy importante que la información que pasa por muchos nodos vaya cifrada: números tarjetas de crédito, datos confidenciales, datos personales protegidos por la LOPD, …
Los que tienen este tipo de servicios tienen que instalar un certificado de servidor y tiene que ir al mercado para buscarlos. Entre las entidades proveedoras de los certificados de servidor necesarios para utilizar esta tecnología se ha de destacar la norteamericana VeriSign y Thawte en Sudáfrica. En España EADTrust ha empezado a emitir certificados para servidores web.
La tecnología de curvas elípticas permite que con tamaños de clave menores se tenga una robustez criptográfica superior. El Instituto Nacional de Normas y Tecnología de EE.UU. (NIST) y la Unión Europea recomiendan el uso de curvas elípticas para proteger a los servidores de una manera más robusta.
Entradas relacionadas
Curvas elípticas 3 febrero, 2011
Posted by Gregorio García in Julián Inza, Radio, Seguridad.Tags: Curvas elípticas, Grupo Interactiva, Instituto Nacional de Estándares y Tecnología, Julián Inza, National Institute of Standards and Technology, NIST, Sistemas Criptográficos, Sistemas RSA
6 comments
Confianza en la red 030
En el programa hemos hablado con Julián Inza, Presidente del Grupo Interactiva, sobre sistemas criptográficos.
Destacan entre estos sistemas los de curvas elípticas que ofrecen mayor protección que los sistemas RSA al ser más robusto con claves más pequeñas, siendo mucho más eficientes.
Es imprescindible que los bancos, las instituciones y demás organismos utilicen claves seguras, por ejemplo desde hace 5 años el Departamento Norteamericano que regula el uso de estándares (NIST, National Institute of Standards and Technology) recomienda usar claves de al menos 2.048 bits, mientras que las autoridades de certificación nuevas recomiendan que sean de 4.096. Todos coinciden en que se han de empezar a usar las técnicas de cifrado SC.
Finalizamos con las utilidades de estos sistemas y como se han de aplicar mediante entidades de certificación que utilicen sistemas de curvas elípticas.
Fraude online desde el punto de vista de los internautas españoles 2 febrero, 2011
Posted by Gregorio García in Radio, Seguridad.Tags: Estudio sobre el fraude a través de internet, Fraude online, Instituto Nacional de Tecnologías de la Comunicación, INTECO, Oficina de Seguridad del Internauta, OSI, Pablo Pérez San-José
5 comments
Confianza en la red 029
En este programa hemos hablado con Pablo Pérez San-José, Director de investigación y gerente del Observatorio de la Seguridad de la Información de INTECO (Instituto Nacional de Tecnologías de la Comunicación).
INTECO ha hecho público los resultados del Estudio sobre el fraude a través de internet, correspondiente al tercer trimestre de 2010.
En este estudio se concluye que el 53% de los usuarios de internet han recibido un intento de fraude en el último mes, o al menos esa es la percepción de los encuestados. Sobre estos fraudes usualmente se trata de engañar al usuario falseando una fuente legítima, como su banco, para obtener datos personales o robarle cuantías económicas que normalmente son menores a 400€.
Por suerte estos fraudes se pueden identificar de forma clara siguiendo unas pautas como no facilitar datos personales, establecer contraseñas seguras y recordar que ningún banco o entidad va a solicitar datos personales por e-mail o sms.
Y en caso de detectar un fraude o sufrirlo es importante comunicar con la Oficina de Seguridad del Internauta y denunciarlo ante la policía, para evitar ser estafados.
Finalizamos destacando que el 81% de los internautas consideran segura la red.
Confianza en la red 
