"Una red sólo es tan fuerte como su eslabón más débil"

Los hijos, el eslabón más débil de la seguridad cibernética

Por Alexandra Samuel, publicado en The Wall Street Journal.

¿Qué se puede hacer cuando la mayor amenaza a su ciberseguridad vive bajo su propio techo?

Es un hecho de la vida en línea: una red sólo es tan fuerte como su eslabón más débil. Para muchos, ese eslabón más débil son sus hijos. Descargan virus sin darse cuenta, eluden normas de seguridad para visitar sitios que sus padres no autorizan y gastan mucho dinero usando el sistema de pedidos en un clic de sus padres.

Y, lo más frustrante de todo, muchos superan con holgura la capacidad de sus padres de evitar que hagan travesuras; de hecho, muchos actúan como la ayuda técnica de facto de la familia. En una encuesta reciente, la mitad de los estadounidenses con hijos menores de 18 años indicaron que sus hijos habían violado su seguridad en línea de alguna forma. Y el costo de esas violaciones se puede acumular, ya sean computadoras dañadas, productividad perdida o dinero gastado en compras no autorizadas.

Foto de Pipy Lupindo, vista en Flickr
La foto no pertenece a la nota de WSJ

Mantenerse un paso por delante de los niños es aún más complicado porque no alcanza con que los padres impidan las travesuras. También deben tener presente que sus hijos buscan en ellos modelos de comportamiento. Así que muchas estrategias de seguridad que usan también deben ser lecciones que ayuden a sus hijos a mantenerse por el buen camino.

Felizmente, hay muchos pasos que no sólo reforzarán su seguridad, sino que también lo convertirán en una guía útil para su hijo. A continuación, algunas medidas que debería tomar.

La tecnología y sus hijos

Los niños de 5 años que se portan bien y los jóvenes rebeldes de 15 años representan riesgos de seguridad radicalmente distintos. Su pequeño podría tocar accidentalmente varias teclas y cambiar el nombre de su disco rígido; su hijo de cuarto grado podría saber lo suficiente de tecnología como para descargar varios archivos, y virus.

Entender cómo lidiar con esos problemas potenciales implica obtener un panorama preciso de la tecnología en su casa y cómo la usan sus niños.

Primero, asegúrese de saber exactamente qué máquinas, aparatos y archivos usan sus hijos para saber qué necesita poner bajo llave. No sólo las computadoras o tabletas de los pequeños; recuerde que muchos les prestamos nuestros teléfonos o tabletas a nuestros hijos en algunas ocasiones. Además, no olvide otros aparatos conectados a Internet, como su consola de juegos, el lector de libros electrónicos o el conversor de TV por cable.

A continuación, identifique qué contraseñas conocen sus hijos y considere cuáles deberían ser manejadas sólo por adultos. Con preadolescentes, una buena práctica es tener perfiles separados en cualquier aparato que usen sus niños, y darle a cada uno un perfil que les permita conectarse a aplicaciones o juegos educativos, mientras se reserva sólo para usted el acceso administrativo total.

Enséñeles a sus hijos que los perfiles de otras personas están fuera de su alcance y asegúrese de que sólo tengan la contraseña para su propio perfil. Los niños más grandes probablemente querrán administrar sus propios perfiles y aparatos, y que su historial de navegación sea privado, pero de todos modos usted debería monitorear el acceso que tengan a sus aparatos y cuentas, o los compartidos.

Luego analice de forma realista el temperamento y comportamiento de su hijo. ¿Tiene un adolescente que está probando sus límites constantemente? ¿Un hacker natural que es incansablemente curioso sobre lo que puede acceder, vulnerar o reprogramar? Eso significa tomar una postura más severa sobre la seguridad. Luego, debe entender cuán habilidosos son sus hijos. Debe monitorear la capacidad de sus niños de evadir las restricciones paternas y de alterar sus aparatos.

Eleve su nivel de seguridad

Luego debe elevar lo más posible el nivel de seguridad de su red, y asegurarse de que sus hijos entiendan la importancia de la seguridad.

Primero, ocúpese de sus contraseñas. La mejor práctica es usar un administrador de contraseñas como LastPass o 1Password para generar y recordar contraseñas únicas y complejas para cada sitio que usa. Lo importante es que use distintas contraseñas en distintos lugares, y que no use una contraseña que podrían adivinar sus hijos.

Segundo, asegúrese de que los archivos en su computadora personal sean compartidos sólo si alguien accede a su computadora con una contraseña. De esa forma, sus niños no pueden acceder a sus archivos, ni borrarlos o modificarlos conectándose de forma remota.

Tercero, establezca un sistema de respaldo para todas las computadoras y aparatos en su casa. El mejor enfoque es rotar entre dos discos de respaldo, para que si su hijo descarga algo que infecta un disco con un virus, aún tenga un respaldo previo.

Cuarto, impida compras no autorizadas al desactivar los pedidos en un clic y asegurarse de que cada compra dentro de una aplicación y cada descarga de medios sea posible sólo con contraseña.

Eso es lo básico. Luego debe enseñarles a sus hijos a reducir los riesgos de sus actividades en línea: cómo reconocer la diferencia entre una fuente confiable y una potencial fuente de software maligno; cómo elegir una contraseña segura; cuándo usar su nombre real en línea y cuándo conviene un pseudónimo.

Solucione bien los problemas

Mientras las buenas prácticas de seguridad pueden reducir su nivel de riesgo general, también necesita un plan para cuando ese plan falla.

Si sus hijos están acostumbrados a hablar con usted sobre lo que hacen en línea, enséñeles a reportar problemas. Si su hija le muestra cómo hizo para evadir las restricciones que usted le había fijado, puede castigarla, y asegurarse de que la próxima vez no le cuente lo que hace, o puede agradecer por su ingenuidad. Así, aprende que debe contarle sobre cualquier actividad que podría debilitar su seguridad. También es bueno pedirles a los niños que le ayuden a solucionar cualquier problema que pudieran haber causado.

—Alexandra Samuel es investigadora de tecnología y autora del libro ‘Work Smarter with Social Media’, algo así como ‘Trabaje de forma más inteligente con los medios sociales’. / Por Alexandra Samuel, publicado en The Wall Street Journal.--

EE. UU. el fraude con tarjetas de débito alcanzó el nivel más alto en 20 años

Se dispara el robo en cajeros automáticos en Estados Unidos.

Por Robin Sidel, publicado en The Wall Street Journal.

De enero al 9 de abril, el fraude con tarjetas de débito usadas en las máquinas alcanzó el nivel más alto en 20 años.

Delincuentes están robando datos de tarjetas de cajeros automáticos de Estados Unidos a la tasa más alta en dos décadas, mientras que los comerciantes combaten el fraude en sus registradoras.

Foto: GENE J. PUSKAR/ASSOCIATED PRESS. Visto en WSJ

Los incidentes, en los cuales los ladrones roban información de tarjetas de débito para elaborar plásticos falsos, se están registrando en cajeros automáticos de bancos y los que están montados en quioscos independientes ubicados en centros comerciales, tiendas y restaurantes, según ejecutivos de la industria.

Desde enero hasta el 9 de abril de 2015, la cantidad de ataques a tarjetas de débito usadas en cajeros automáticos alcanzó el mayor nivel para ese período en al menos 20 años, según FICO, una firma de puntaje y análisis de crédito. La empresa hace seguimiento a ese tipo de incidentes a través de su servicio de monitoreo de tarjetas para instituciones financieras que representan a más de 65% de todas las tarjetas de débito en EE.UU.

Los problemas con tarjetas de débito en cajeros automáticos ubicados en bancos aumentaron 174% desde el primero de enero al 9 de abril, comparado con el mismo período el año previo, mientras que los ataques exitosos en máquinas en establecimientos no bancarios se dispararon 317%, según FICO.

“Estos tremendos aumentos de fraude no tienen precedentes”, aseguró John Buzzard, quien maneja el servicio de alerta de tarjetas de FICO.

La empresa prefirió no revelar la cantidad total de ese tipo de incidentes, al argumentar restricciones contractuales con sus clientes.

Los ataques se producen en momentos en que los bancos se apresuran a emitir nuevas tarjetas de crédito y débito con chips que dificultan que los ladrones creen falsificaciones. Sin embargo, la mayoría de los cajeros automáticos en EE.UU. aún no acepta la nueva tecnología, aunque J.P. Morgan Chase & Co. y Bank of America han comenzado a instalar máquinas más avanzadas.

Los comerciantes están más adelantados en la instalación de equipos para aceptar las nuevas tarjetas porque deberán responder por las transacciones fraudulentas a partir de octubre si no tienen los nuevos equipos.

Ese cambio de responsabilidad no se implementará para los operadores de cajeros automáticos hasta al menos un año después. Actualmente, los emisores de tarjetas en EE.UU. son responsables por la mayoría de las transacciones falsas.

La ola de fraude informático pone de manifiesto la batalla de la industria financiera por detener la ciberdelincuencia y se produce cuando los consumidores y los bancos están recuperándose de varios incidentes de seguridad en minoristas que han dejado a millones de tarjetas de crédito y débito expuestas a una potencial estafa.

Muchos de los incidentes en cajeros automáticos involucran una técnica establecida por la cual los criminales instalan aparatos que capturan información de la banda magnética de la tarjeta. El método a veces involucra una pequeña cámara que graba al usuario de la tarjeta cuando ingresa su código de identificación personal.

Los delincuentes usan la información para clonar las tarjetas que luego pueden usar para retirar efectivo en un cajero automático o realizar compras en tiendas físicas o en línea. La tendencia es particularmente problemática porque los ladrones pueden vaciar una cuenta bancaria cuando tienen acceso a la información del titular. Aunque los usuarios no suelen tener que enfrentar el costo de actividades no autorizadas con sus tarjetas de débito, los bancos emisores podrían tener cierto poder de discreción para determinar si el cliente reportó el robo con rapidez.

Los consumidores tienen pocas formas de impedir un ataque porque el robo suele estar bien disimulado. Expertos aconsejan medidas de prevención como cubrir el teclado con la otra mano al ingresar la contraseña bancaria e intentar evitar establecimientos no bancarios donde los cajeros automáticos están ubicados en un lugar escondido al que los ladrones podrían acceder con facilidad sin ser detectados.

Ejecutivos de la industria afirman que es difícil cuantificar la cantidad de pérdidas por fraude que están asociadas a ese tipo de ataques. Tremont Capital Group, una consultora que se especializa en la industria de los cajeros automáticos, predice que los ladrones realizarán al menos 1,5 millones de retiros de efectivo de cajeros automáticos en EE.UU. este año. Sólo una parte de los ataques termina llevando a transacciones fraudulentas. La tendencia es “alarmante, pero manejable” porque representa una fracción del total de transacciones de cajeros automáticos, dijo Sam Ditzion, presidente ejecutivo de la firma con sede en Boston.

Un estudio del año pasado de la Reserva Federal de EE.UU. reveló que los consumidores en ese país realizaron 5.800 millones de retiros de cajeros automáticos en 2012, por un total de US$687.000 millones.

De todos modos, la tendencia al robo de información de tarjetas está creando dolores de cabeza para bancos, como tener que cancelar tarjetas que podrían estar comprometidas, y para clientes cuya información podría estar en riesgo o que deben lidiar con las consecuencias administrativas de sufrir un robo.

Buzzard, de FICO, dice que los ataques están ocurriendo con mayor frecuencia en el sur de Florida y Nueva York, entre otros. / Por Robin Sidel, publicado en The Wall Street Journal.--

Anticipan que Windows incluirá un método de autenticación biométrica

El avance de la tecnología biométrica sobre las contraseñas es una tendencia bien marcada, obviamente Microsoft no es ajeno a ello y anuncia que ésta tecnología llega a Windows, han anunciado que Windows Hello permitirá que los usuarios desbloqueen su máquina usando su huella o su cara.

Imagen: Captura de pantalla de vídeo en YouTube

Próximamente en Windows: use su dedo o su rostro como contraseña.
Por Shira Ovide para The Wall Street Journal.

Microsoft le está dando impulso a la cruzada para matar a la contraseña.

La empresa dijo que su próxima versión de Windows incluirá un método de autenticación biométrica, es decir, la capacidad de conectarse a una computadora, tableta o teléfono inteligente de Windows con sólo colocar el dedo en un sensor, o a través de software que reconozca una imagen del rostro o el iris del usuario.

Microsoft indicó que la función de software, llamada Windows Hello, estará incluida en varios aparatos que funcionan con Windows 10, el nuevo sistema operativo que la empresa prevé lanzar este año.

La iniciativa de Microsoft muestra el apetito por reemplazar el paradigma actual de una contraseña para todo en nuestras vidas digitales, que es un dolor de cabeza para los usuarios y una amenaza para la seguridad. El iPhone de Apple presentó un sensor de huellas digitales hace 18 meses y otros fabricantes de teléfonos inteligentes han seguido su ejemplo. Windows 8, el actual sistema operativo de Microsoft que data de 2012, tiene una opción para una “contraseña de foto”, que le permite a la gente conectarse a sus computadoras con un patrón único de toques con el dedo sobre una imagen en la pantalla de inicio.

El anuncio de Microsoft viene acompañado de una advertencia. La empresa no fabrica la mayoría de los aparatos de computación que usan su software, así que deberá depender de socios como Dell y Lenovo para que fabriquen computadoras y tabletas Windows con hardware de sensor digital y herramientas de reconocimiento de imágenes.

En su entrada de blog anunciando la opción biométrica, Microsoft indicó que trabaja “de cerca con nuestros socios de hardware para proporcionar aparatos equipados con Windows Hello que serán enviados con Windows 10”. / Por Shira Ovide para The Wall Street Journal.--

Visto en YouTube, vía Windows

Post relacionado:

• El avance de la tecnología biométrica sobre las contraseñas. 04/03/2015.

El avance de la tecnología biométrica sobre las contraseñas

Hace casi un par de años se señalaba que hay quienes opinan que el futuro –y el fin de la era de las contraseñas- podría estar en la tecnología biométrica.

"Existen diferentes alternativas en el mercado, las que reconocen las huellas digitales, el rostro o el iris. Y en la medida en la que se desarrollen, su costo disminuirá. En este momento pagamos por el valor de las patentes 90% menos de lo que teníamos que pagar cuando empezamos", afirmaba Martin George, director de Smart Sensors, una empresa que se dedica a la elaboración de tecnología para la identificación a través del iris, en una nota para BBC Mundo, replicada en éste blog.

Hoy en la sección de tecnología del diario La Nación, informan sobre "cómo son las tecnologías que podrían reemplazar a la contraseña clásica para desbloquear el teléfono móvil":

Chau contraseña: tu próximo celular se desbloqueará con el iris o con ultrasonido.

"BARCELONA.- Uno de los temas del Congreso Mundial de Móviles, que comenzó el lunes en la ciudad (y en el que se han presentado una gran variedad de equipos) es el de la seguridad: el smartphone es una herramienta de comunicación, pero cada vez más también una billetera electrónica y una llave para abrir cerraduras "inteligentes".

Para mantener los datos del teléfono seguros, históricamente se han usado claves alfanuméricas, dibujos en pantalla, reconocimiento facial o el registro de una huella digital. La primera es segura, pero es la más molesta para ingresar; es, en la jerga de los ejecutivos que muestran sus soluciones alternativas en los stands del Congreso, la que mayor fricción genera. Uno quiere desbloquear el teléfono y quiere hacerlo rápido". Por Ricardo Sametband para La Nación.

Post relacionado:

• Las contraseñas de Internet: ¿un oscuro fracaso?. 08/11/2013.

Sobre la seguridad del backdoor electrónico

¿El backdoor electrónico estaría ayudando, sin querer, a los hackers?
Publicado en Universia-Knowledge@Wharton.

Para las compañías de seguros globales, los ciberataques se han convertido en el mayor de todos los riesgos recientes, según una investigación realizada por Guy Carpenter & Co., especializada en riesgos y reaseguros. En los últimos dos años, los hackers se infiltraron en grandes compañías aéreas, empresas de energía y defensa, entre muchas otras.

Más recientemente, ha causado sensación la invasión por parte de hackers de los archivos personales de los ejecutivos de Sony Pictures y la amenaza al estudio de tomar otras medidas si no suspendía el lanzamiento de La entrevista, una comedia cuya trama gira en torno al asesinato del dictador norcoreano Kim Jong Un. El FBI confirmó que había pruebas suficientes para concluir que el Gobierno norcoreano estaba detrás de la invasión.

A medida que prosiguen los debates y la discusión sobre las maneras más eficaces de frustrar esos ataques en el futuro, empresas y gobiernos de todo el mundo reflexionan acerca de los esfuerzos de las autoridades públicas para crear backdoors en grandes redes de ordenadores y de datos que sortearían el sistema de seguridad del software permitiendo el acceso a los datos de los usuarios. ¿Ayudaría ese procedimiento a las autoridades en la investigación de ciberataques? ¿O, en lugar de eso, la medida acabaría debilitando la seguridad del sistema de maneras no previstas?

En un reciente panel de debates patrocinado por Wharton, “Backdoors, Ciberseguridad y Mantenimiento del Orden Público“, dos especialistas en ciberseguridad de la Universidad de Pensilvania comentaron acerca de las cuestiones jurídicas y técnicas poco comprendidas que rodean el tema. Los participantes en el debate —Jeffrey Vagle, profesor de la Facultad de Derecho de la Universidad de Pensilvania, y Matt Blaze, profesor de la Facultad de Ingeniería y de Ciencias Aplicadas de la misma universidad— coinciden en señalar que los backdoors, aunque bien intencionados, podrían acabar elevando los riesgos de seguridad. La discusión fue moderada por Howard Kunreuther, director adjunto del Centro de Gestión de Riesgo y de Procesos de Decisión de Wharton. El debate realizado por el panel formó parte de la Serie de Seminarios sobre Regulación de Riesgo copatrocinado por el Programa de Regulación de la Universidad de Pensilvania y por el Centro de Gestión de Riesgo y de Procesos de Decisión de Wharton.

Derechos frente a seguridad

Kunreuther, que es también profesor de Gestión de las Operaciones y de la Información de Wharton, resumió de la siguiente manera el dilema de las agencias encargadas de hacer cumplir la ley: “El FBI y otras agencias de seguridad quieren obtener datos de Google y de Apple, entre otras empresas, sobre sospechosos de crímenes, como traficantes de drogas, pero existe el temor de que las informaciones suministradas por esas empresas a través de backdoors faciliten la acción de hackers que comprometerían el sistema”.

Entre junio y septiembre del año pasado, Google y Apple anunciaron que nuevas versiones de sus sistemas operativos —Lollipop, de Google, e iOS 8, de Apple— empezarían a encriptar los datos a través de una frase de contraseña [más compleja] del usuario, lo que impediría a las empresas tener acceso a los datos de sus clientes. “Ese cambio de mercado se dio, en parte, en nuestra opinión, tras la revelación de Snowden de que el programa PRISM [de vigilancia electrónica clandestina masiva y prospección de datos] de la NSA [Agencia de Seguridad Nacional] estaba tomando datos de aparatos de Apple y de Google”.

Cuando Apple y Google anunciaron su nueva política, el entonces procurador general, Eric Holder, y James Comey, director del FBI, se opuso vehementemente diciendo que tal decisión contribuiría a que las redes “desaparecieran” de su vista.

En otras palabras, el cambio significaba que las agencias encargadas del cumplimiento de la ley en EEUU “se verían privadas de ciertas posibilidades de investigación porque las redes, o archivos, estarían encriptados y ellas no disponen de los medios de descifrado de esos archivos. Así, habría crímenes que quedarían sin solución. Los criminales podrían comunicarse con impunidad”.

En realidad, observó Vagle, la investigación muestra “que sólo un pequeño número de crímenes de los denunciados estaban asociados al encriptado”.

Vagle observó que los smartphones de hoy “son, sin exageración, tan poderosos como los supercomputadores de la década de 1980″. Ahora que los aparatos móviles están sustituyendo a los ordenadores de sobremesa como aparatos electrónicos básicos para gran parte de la población, “la mayor parte de nuestros datos acaba siendo transmitido por ellos. Esos aparatos nos atraen por su comodidad, pero son un problema porque generan un gran volumen de datos que pueden estar abiertos al análisis de los órganos de la ley”. “Tenemos conocimiento de parte de esos datos”, pero hay “gran parte de ellos que desconocemos”.

Además de los desafíos técnicos de protección de esos datos, hay también cuestiones de libre expresión, observó Vagle. Para él, existe una cuestión fundamental: “Si usted supiera que J. Edgar Hoover [el temido director del FBI entre 1935 y 1972] tenía esa tecnología, ¿cuál sería su reacción?”

“Ese es el argumento con que tenemos que volver a lidiar de nuevo hoy en día”, dijo Vagle. “Las autoridades podrían decir: ‘Necesitamos tener acceso a todo lo que usted transmite y almacena […] por eso el backdoor es imprescindible’. ¿Los órganos responsables del cumplimiento de la ley pueden realmente obligarlos a eso?”

Una superficie de ataque mayor

Blaze explicó a continuación por qué esos backdoors son tan problemáticos desde el punto de vista de la ingeniería. A principios de los años 90, cuando Internet estaba a punto de salir a escena, era evidente que sería importante desde el punto de vista comercial, pero era también igualmente claro que no contaba con “la seguridad intrínseca necesaria; era realmente imposible creer que es muy difícil ‘poner’ una escucha en una línea telefónica, ya que para eso sería necesario el acceso físico a la línea, etc. Con Internet, muchas cosas pueden realizarse de forma automática”. Mirando atrás, puede parecer extraño, pero “Internet no tenía ninguna seguridad prevista en su diseño y, de pronto, íbamos a comenzar a usarlo para una cantidad de cosas importantes, como sustituir el telegrama, el teléfono y las comunicaciones postales, además de las reuniones presenciales. Todo eso era inminente”.

En aquella época, dijo Blaze, “la criptografía, que es básicamente la tecnología subyacente que da seguridad a los mensajes en un medio inseguro, estaba comenzando a ser viable en forma de software […] Estábamos a punto de incorporar la criptografía al software, pero el Gobierno vino con una solución de hardware. Eso significaba que para introducir la criptografía usando la solución de backdoor del Gobierno, no sólo había que confiar en que el Gobierno no usaría el backdoor, sino también que tendría que adquirir hardware extra para todo producto que lo utilizara. En los años 90, era evidente que eso sería un desastre comercial, porque habría convertido una tecnología que no tenía coste marginal alguno […] en una tecnología cara. Se trataba de una iniciativa abocada al fracaso desde el inicio”. El Gobierno americano acabó perdiendo esa batalla y, alrededor del año 2000, abandonó la idea de backdoors en la criptografía quitando la mayor parte de los controles de exportación de la criptografía. Y, a pesar de la advertencia del FBI de que, un día, las consecuencias serían desastrosas, la criptografía proliferó.

Hoy, prácticamente toda llamada realizada por el móvil está encriptada. “Tenemos criptografía en muchos de las aplicaciones que, según la advertencia del FBI, si eran criptografiadas, impedirían la ejecución de la ley, dijo Blaze, queriendo decir con eso, en otras palabras, que la vigilancia electrónica se volvería imposible y los criminales cibernéticos escaparían de la justicia.

“Pero, por alguna razón”, resaltó, “el número de escuchas telefónicas de los órganos policiales, en realidad, ha aumentado —no de forma drástica, sin embargo no se ha reducido— y el número de casos en que la criptografía interfirió en una investigación es aproximadamente cero”.

Blaze advirtió que “el FBI necesita tener mucha cautela con aquello que desea. La introducción de mecanismos de vigilancia aumenta de forma significativa lo que nosotros en el campo de la seguridad llamamos ‘superficie de ataque’ del sistema. El backdoor de la vigilancia complica de forma significativa lo que un producto de seguridad tiene que ofrecer y aumenta tremendamente el número de posibilidades de ataque y de posibles ventajas en el transcurso de fallos”. (La superficie de ataque de un ambiente de software son todos los puntos a través de los cuáles el usuario no autorizado puede intentar invadirlo).

“Nosotros, científicos de la computación, no sabemos de hecho lo que estamos haciendo”, dijo Blaze. “Somos los peores de todos los ingenieros […] La manera en que hacemos software es muy mala. Después, dejamos que todo el mundo encuentre los errores; pasado algún tiempo, nosotros los hacemos más robustos. Los aspectos de la ingeniería de seguridad de los sistemas de información no son diferentes. No sabemos cómo hacer seguros y confiables sistemas complejos. No sabemos ni siquiera cómo hacer seguros y confiables sistemas sin grandes complejidades”.

La introducción de un backdoor complica la seguridad de cualquier cosa: la superficie de ataque aumenta y el número de componentes e interfaces a ser tomados en cuenta crece enormemente. En otras palabras: “El backdoor aumenta la probabilidad de que alguien encuentre un medio de sortear de forma explícita el backdoor y descubra los fallos de seguridad introducidos a través de él”.

Un segundo problema, añadió Blaze, es que el FBI quiere que ese proyecto sea aplicado a una serie enorme de productos y servicios; cualquier tecnología que procese información que pueda ser utilizada por criminales. “La serie de productos es inmensa. Forman parte de ella su móvil, su ordenador, los aparatos inteligentes de su casa y pequeños componentes que interaccionan con otros, muchos de los cuáles están siendo fabricados por empresas con equipos de seguridad mucho menores que empresas del tamaño de Google y de Apple”.

Por último, observó Blaze, “el FBI está empeñado en esas exigencias de diseño en el caso de funciones que, en la práctica, no agregan valor alguno al consumidor final”. Desde el punto de vista de la ingeniería, “es muy probable que veamos las cosas puestas de la forma más barata posible para atender las exigencias realizadas”, probablemente con un número de pruebas menos que suficientes, lo que contribuye a un enorme impacto negativo para la seguridad de la información. Desde esa perspectiva, Vagle dice que hay una razón fundamental para que la ejecución de la ley aún no haya desaparecido: “Cuando los criminales usan la criptografía o algún tipo de aparato de seguridad para ocultar su comunicación, ellos generalmente lo hacen de una manera precaria”.

Blaze, sin embargo, hace una advertencia: “Agradezco la confianza del FBI en mi campo, porque de cierta forma estamos en la antesala de hacerlo hermeticamente seguro contra las invasiones de todo aparato de sistema computacional, pero no sé cómo hacerlo […] y no creo que lleguemos a ese punto en el corto plazo. En realidad, lo que estamos discutiendo es el coste de esos ataques dirigidos. Sé cómo hacer que les resulte más caro y menos cómodo el proceso, pero no sé cómo evitar que ocurra”. / Publicado en Universia-Knowledge@Wharton.--

Cómo usar la tecnología y las redes sociales sin correr riesgos

Es importante destacar que la rápida evolución tecnológica y las redes sociales, y el mal uso que las mayorías hacen de ellas, en especial en países donde a pesar de todo no se ha desarrollado una una cultura basada en la prevención y la resiliencia que permita el resguardo de nuestra seguridad, supone un importante desafío para los actores de la economía digital para hacer frente a las fugas de información que generan ciberataques y situaciones de inseguridad con importantes daños económicos así como de imagen y reputación.

Imagen:"He's watching you" ©Todos los derechos reservados

Hay antecedentes sobre robos y asaltos realizado por delincuentes que obtuvieron información y realizaron inteligencia previa a partir de lo que sus víctimas publicaron en las redes sociales y/o compartieron a través de dispositivos móviles.

De hecho en éste espacio informamos sobre una importante acción de espionaje delictivo sobre vecinos del barrio el año pasado.

A junio de éste año se informó que la economía mundial pierde unos US$ 445 mil millones anuales por ciberdelitos.

En países más desarrollados ésta necesaria "cultura" en ciberseguridad ha motivado a consumidores preocupados por compartir demasiado en las redes sociales a volcarse al uso de aplicaciones para enviar mensajes, fotografías y vídeos a un grupo limitado de personas.

Hoy, buscando información sobre medidas de prevención, encontré un interesante artículo sobre cómo usar la tecnología y las redes sociales sin correr riesgos:

Los pros y los contras de la vida digital
Por Ricardo Mosso (especial).Publicado en La Voz.

Entrevista a Robert Guerra. Este experto en ciberseguridad explica cómo usar esa tecnología y las redes sociales sin correr el riesgo de exponer nuestra vida privada.

 "Las redes sociales son nuestra privacidad puesta en Internet”.

Para una buena parte de los argentinos –en el país hay unos 30 millones de usuarios de internet y 13 millones de personas que tienen un smartphone–, la definición debería sonar como una advertencia. Porque ciertas consecuencias negativas de las tecnologías utilizadas sin sentido común son cada vez más visibles: fotos y videos íntimos que terminan siendo vistos por miles de personas, fraudes con compras con tarjeta de crédito por Internet, sustitución de identidad y un largo rosario de etcéteras.

Al menos eso es lo que plantea el experto canadiense en ciberseguridad Robert Guerra, que viajó a Buenos Aires en octubre para exponer en el taller “Por una mejor regulación de Internet”, organizado por la Universidad de Palermo.

Guerra –canadiense, hijo de emigrantes españoles– fue dos veces parte de la delegación oficial de su país para la Cumbre Mundial de la Sociedad de la Información de las Naciones Unidas (WSIS, según su sigla en inglés) y parte de una base: “Todo es vulnerable: ahora los servicios de Inteligencia de todo el mundo vigilan a escala masiva”. Al mismo tiempo llama la atención sobre lo que empresas como Google o Facebook hacen –lo sepamos o no– con nuestra información digital. Muy didáctico, para nada tremendista, el especialista habló sobre cómo los usuarios comunes y corrientes podemos manejar mejor “las complejidades” de nuestra propia seguridad on line.

–Dijo que ya no hace falta que nos espíen para saber qué hacemos; ¿hay vuelta de esta situación?

–Antes, para conseguir datos de una persona había que preguntar y seguirlo. Pero ahora lo que se expone en Internet, a través de dispositivos como las computadoras de escritorio, y también los smartphones y las tablets, son las cosas que te gustan y a tu red de amigos. Las redes sociales, sobre todo para la gente joven, son una extensión de su vida. Es importante que los que están por empezar a usar Facebook tengan una buena idea de qué va a suceder con eso. No para asustarlos, sino para ayudarlos a aprender que en el mundo virtual hay que tomar precauciones. Ahora, si ya han puesto información en línea, el problema es que es difícil borrarla.

–Los perfiles de Facebook se pueden eliminar.

–Se puede hacer. Pero es un proceso de dos etapas: una es cerrar la cuenta y la otra es decir que quieres borrar la información. Además, durante el tiempo en el que la cuenta estuvo activa, Facebook ha vendido esa información. Quizás quitaste tus fotos, pero algún contacto puede haberlas copiado. Si uno usa Facebook, debe saber que tiene muchos permisos para configurar en su cuenta. No solamente son para que los que son amigos vean tus contenidos: también hay permisos “para mí solo”. El problema de Facebook es que, hasta hace muy poco, cada equis tiempo cambiaba las opciones de compartir. El valor por defecto tendría que ser no compartir, salvo lo que uno elige, y es al revés. ¿Por qué tiene que estar la dirección de mi casa? Una dirección de e-mail, quizás. Y si alguien te quiere etiquetar en una foto, tú tienes que autorizar eso. También está la opción para que los buscadores como Google puedan encontrar tu contenido. ¡Eso hay que apagarlo! Y si tienes el perfil completamente abierto y pones “Ahora me voy de vacaciones”, cualquiera te puede leer y puede ir a robar tu casa. Hay muchos padres que no colocan las fotos de sus hijos allí, porque si les hackean la cuenta pueden ser usadas por otros.

–Se dice que, cuando buscan un empleado, las empresas miran qué hay sobre los candidatos en las redes sociales. ¿Es así?

–De hecho, hay toda una industria multinacional que se dedica a esto. Ahí está la gran prueba de si has tenido cuidado en proteger tu información en línea. Por ejemplo, si tienes todo público en tus perfiles de Facebook, Twitter o LinkedIn, los sistemas de rastreo de las empresas de búsquedas agregan todo eso y arman un resumen. Y si encima públicamente has dado datos personales, pueden confirmar si coincide con lo que has dado en tu currículum. Lo que pasa es que mucha gente joven se está tomando fotos cuando está de fiesta, está borracha o haciendo todo tipo de cosas. Eso no lo ponen en el currículum, pero está ahí. Y puede ser problemático para gente de ciertas profesiones: ¡va a ser muy curioso, dentro de 10 años en Estados Unidos, con los políticos que se presenten a elecciones! Antes se podía decir –por ejemplo– que un candidato había fumado marihuana, pero no había ninguna foto. Desde Facebook, esas fotos ya están en Internet. Y lo peor no es el contenido: con los programas de reconocimiento de caras que tienen todas las redes sociales, pueden comparar tu foto del currículum con las que están en Internet; con la computación “en la nube”, hoy en día se puede buscar superrápido una cara en toda la colección de

Facebook. Por eso, cuando etiquetas fotos, el sistema te sugiere un nombre y la mayoría de las veces acierta.

–Esto también puede tener consecuencias políticas.

–Si eres un activista que está en una protesta contra un gobierno extranjero o lo que sea y luego pides un visado para ese país, quizás después digan “Esta persona no es deseable”. Antiguamente, hacías algo y las consecuencias eran inmediatas; ahora pueden tardar cinco o 10 años. Por eso hay empresas de manejo de reputación en línea que ponen otro contenido tuyo para que aparezca más arriba en la lista de la búsqueda de Google; ellos dicen que te pueden “limpiar” lo que posteaste en la Red.

–¿Qué pasa con la ciberseguridad en los smartphones, o teléfonos inteligentes?

–El smartphone de hoy es igual de potente que una computadora de escritorio de hace cinco años, y encima tiene dos cosas muy interesantes: una cámara y un GPS.

–Eso es casi diabólico.

–Puede serlo o puede no serlo, depende de cómo lo uses. Lo que está genial es que lo llevas contigo a todas partes, y ante cualquier problema puedes buscar lo que sea en Internet. Antes había toda una cultura y una capacitación para usar la PC, pero ahora la gente usa el móvil casi como una extensión de su brazo y no llega a averiguar cuáles son los peligros que tiene su uso. Además, hay toda una economía casi negra que vende datos de la actividad on line de la gente.

–Un ejemplo de peligro digital es que se puede ubicar a un chico por el GPS de su celular.

–El GPS del celular se puede desactivar. Pero sirve si los padres tienen miedo de que el chico se vaya a perder, o para saber si realmente está en la casa del amigo donde dijo que iba; lo pueden seguir perfectamente. Y si uno se pierde en la ciudad, con los mapas se puede saber dónde está todo; es buenísimo. Pero, a la vez, el celular es un punto de información que estás compartiendo y, si hay personas que están interesadas en ti, sea en forma positiva o negativa, pueden usar esa información. Pueden comparar la información de posicionamiento del teléfono con otros datos de las redes sociales, en las que tienen mucha información muy valiosa. Hoy se puede ver, con una aplicación que se descarga gratis, si alguien está conectado a un acceso de Wi-Fi abierto. Y si desaparece una máquina o un celular de esa red, puede querer decir que ya no está en casa. Por eso es importante tener una contraseña en el Wi-Fi. ¿Se puede seguir a la gente por su actividad en su celular inteligente? Sí. ¿Te van a seguir a vos? No sé, pero tienes que saber que es posible.

–¿Usted se considera un apocalíptico de la era digital?

–Es como todo: si no quieres presumir, te vistes con un vaquero y una camisa normales, y nadie se da cuenta de que estás. Pero si te tiñes el pelo de rojo y usas ropa completamente diferente, la gente se va a fijar. En las actividades en línea hay que tener cuidado: siempre va a haber información tuya que, si no tomas precauciones, va a quedar en Internet. Tu reputación, que es muy importante en el mundo real, es igualmente importante en el mundo virtual. / Por Ricardo Mosso (especial).Publicado en La Voz.

Datos de cerca de 5 millones de cuentas GMail expuestos

5 millones de (viejas) credenciales de Gmail filtradas: ¿qué pasó exactamente?.

"En horas de la mañana, hemos visto en Reddit y otros foros que alrededor de 5 millones de credenciales de cuentas de Gmail fueron filtradas. Una vez más, se apuntó a cibercriminales rusos como los responsables. Pero independientemente de quién esté detrás, luego de investigar un poco lo ocurrido, advertimos que estaban en desuso: en la mayoría de los casos, las contraseñas tenían una antigüedad de 5 años y en realidad no permitían el acceso a las cuentas, ya que estas estaban suspendidas. En todo caso, la “filtración” es una colección de credenciales obtenidas por campañas de phishing o ataques de malware a lo largo de los últimos años, aunque muchas fueron cambiadas en algún momento".

Por Sabrina Pagnotta, publicado en ESET Latinoamérica - Laboratorio.-

Según ha publicado FayerWayer, "Todo apunta a que no hay ninguna filtración de Google, si no que son cuentas de Gmail  usadas en foros, como dicen en este comentario de Menéame".

"La mía dice que está, pero la contraseña no coincide, curiosamente la contraseña que tienen es la que suelo usar para registrarme en foros donde no participio y solo piden registro, así que de hackear google me da que nada, han hackeado foros, pero es muy probable que gran cantidad de usuarios tengan la misma contraseña en el foro que en su correo electrónico".

"Es posible que todas esas cuentas donde la contraseña funciona es debido a que mucha gente aun usa la misma contraseña para su correo y otros servicios en internet". FayerWayer.--

Les sugiero leer bien la nota de ESET, y, aunque una investigación determinó que muchas de las contraseñas que se muestran en el "registro" son antiguas o falsas, de todas maneras hay que estar muy atentos al tema "contraseñas de sus cuentas".

Para habilitar la verificación en dos pasos para Gmail y mejorar la seguridad de la cuenta, ingrese aquí, en la ayuda de Google.

Nota relacionada:

• Contraseñas: se roban cada vez más aunque sean más complejas. Por Ariel Torres para LA NACION

El tema contraseñas, ¿un tema del momento?

"En la actualidad existen programas y computadoras capaces de realizar 53.000 millones de intentos por segundo para adivinar una contraseña. Las posibilidades de que lo logre, y en poco tiempo, son muy elevadas" (BBC).

No pocos advierten que son un oscuro fracaso.

Una serie de eventos alrededor de la seguridad en Internet nuevamente pone el tema sobre el tapete.

Comparto dos notas interesantes sobre el tema:

• Contraseñas: se roban cada vez más aunque sean más complejas. "Según un informe de una compañía de seguridad estadounidense, ya se rompieron todos los récords: una banda de delincuentes rusos se habría quedado con 1200 millones de claves. El número supera todas las marcas anteriores y, si es cierto, se convierte en la mayor sustracción de datos de la historia.". Por  Ariel Torres para lanacion.com.

• ¿Qué amenazas atentan contra las contraseñas?. "Sucesos recientes han puesto nuevamente en duda la efectividad de las contraseñas como medida de protección. En ESET hemos abordado esta cuestión con anterioridad preguntándonos “¿se trata del fin de las contraseñas?”. Incidentes de seguridad relacionados con la extracción de grandes volúmenes de datos muestran la vulnerabilidad de los sistemas informáticos, y por ende de los datos que almacenan y procesan". Por ESET Latinoamérica - Laboratorio.-

Post relacionados:

• El cuerpo humano ¿la nueva contraseña?. 20/03/2014.
• Las contraseñas de Internet: ¿un oscuro fracaso?. 08/11/2013.
• ¿Se viene el adiós a las contraseñas?. 23/09/2013.

Más sobre el tema contraseñas en éste blog.

Los groomer acechan

Tal como lo han estado mencionando algunos medios nacionales y locales, el caso Magaly Hermida, desaparecida durante 17 horas de la casa de su familia en San Isidro, puso nuevamente en cuestión la seguridad del uso de las redes sociales, como Facebook, y las aplicaciones móviles de comunicación como Whatsapp, sin el debido control parental de niños y adolescentes.

El "grooming", como se está llamando a la modalidad que "implica una serie de conductas y acciones deliberadamente emprendidas por un adulto con el objetivo de ganarse la amistad de un menor de edad, creando una conexión emocional con el mismo, con el fin de disminuir las inhibiciones del niño y poder abusar sexualmente de él", se ha convertido en el delito de mayor impacto sobre adolescentes en el web.

Los pedófilos (los groomers) acechan a sus víctimas, mediante la utilización de una identidad falsa, usurpada, se vuelven expertos en usar mecanismos de seducción para engañar a sus víctimas, que en la actualidad tienen un promedio de edad entre los 10 y 17 años.

Los padres y las instituciones deben tomar y generar conciencia que esta modalidad delictiva no es una moda pasajera, ha venido para quedarse.

Los padres deben ganarse la confianza de sus hijos para que éstos permitan de buena manera el control parental sobre todas sus comunicaciones, no es una tarea fácil, que que debe complementarse con un muy buen asesoramiento para conocer y entender el peligro que acecha a sus hijos. Las instituciones educativas deben informar y educar sobre el problema.

Un detalle importante son el webcam y la cámara del smartphone, ya que el intercambio de imágenes "comprometedoras" por parte de los niños y jóvenes, constituyen uno de los elementos que llama la atención del groomer. Es de suma importancia concientizar a los chicos sobre lo peligros que implica un mal uso de éstos dispositivos. Saber colocar un tapa indiscretos sobre la webcam ayuda.

El asunto del "sexting" (viene de sexo y texting, "mensajear" en inglés), es un gran tema a controlar. No pocas victimas de los groomers y redes de prostitución cayeron por su participación en ésta mala modalidad, muy difundida en la juventud.

Imagen de Manisha. Visto en http://canadianfamily.org

Una serie de recomendaciones interesantes para padres, niños y jóvenes, para el cuidado de datos personales a la hora de navegar en Internet incluye:

• Saber qué personas tienen acceso a la computadora que usa el joven.
• Eliminar los registros del navegador.
• Proteger con contraseña los archivos que se usan.
• Siempre cerrar la sesión de la cuenta que se esté usando.
• Cuando se usa un navegador, borrar los archivos recientes (el caché).
• Borrar el historial de los sitios a los que se accedió.
• Tener un sistema de seguridad completo, que no sólo incluya el antivirus, en funcionamiento.
• No aceptar solicitudes con nombres de usuario asociados a dibujos animados o juguetes.
• El nombre de usuario no debe contener ni el nombre ni la edad del niño o adolescente.
• Desconfiar de la excesiva amabilidad o de las invitaciones a viajes y salidas.

Cómo identificar situaciones de riesgo

• Cuando la otra persona insiste en recibir fotos, videos, o cualquier otro dato.
• Cuando hay una amenaza de pérdida de interés si el joven no cumple con lo que se le pide.
• Cuando alguien insiste en un encuentro personal, sobre todo cuando sugiere que sea sin compañía.-

El 13 de noviembre de 2013 el Senado de la Nación Argentina aprobó la Ley de Grooming. Ésta Ley que incorpora al Código Penal la figura del ciberhostigamiento, y la penalización incluye prisión de seis meses a 4 años el que por medio de comunicaciones electrónicas, telecomunicaciones, o cualquier tecnología de transmisión de datos, contacte a una persona menor de edad, con el propósito de cometer cualquier delito contra la integridad sexual de la misma.

Un agresivo malware de una red de ciberdelincuentes amenaza Internet

En éstos días se informó que la Agencia Nacional del Crimen (National Crime Agency) del Reino Unido advirtió a los internautas que dispone sólo de dos semanas para proteger sus computadoras de un masivo ciberataque de ciberdelincuentes, que robarían datos sensibles mediante la utilización de una serie de códigos maliciosos (malware) que fueron esparcidos en las últimas semanas en a través del web. 

La advertencia llegó después de que el pasado fin de semana esta Agencia en cooperación con el FBI y la Oficina Europea de Policía (Europol) lograran desmantelar una red internacional de fraude cibernético, que robó millones de dólares de los usuarios.

Los virus Gameover Zeus (conocido también como GOZeus y P2PZeus)
que robaba de los ordenadores la información bancaria y otros datos confidenciales,
y Cryptolocker: un virus que bloqueaba los ordenadores y exigía a las víctimas
un pago a cambio de la contraseña

Los ciberdelincuentes mediante una red que difundía los virus Gameover Zeus (conocido también como GOZeus y P2PZeus) que robaba de los ordenadores la información bancaria y otros datos confidenciales, y Cryptolocker: un virus que bloqueaba los ordenadores y exigía a las víctimas un pago a cambio de la contraseña para acceder a la máquina. El 'rescate' podía alcanzar unos 700 dólares por víctima.

Se ha informado que el malware se difundía mediante el correo electrónico, y podría haber infectado a entre 500.000 y un millón de ordenadores en todo el mundo, según una estimación del FBI, que supone que en los primeros meses de su actuación la red de los ciberdelincuentes se hizo con unos 27 millones de dólares.

La Agencia Nacional contra el Crimen del Reino Unido advirtió que quienes están detrás del virus, podrían reactivarlo en unas dos semanas.

¿Qué pueden hacer los usuarios para protegerse de esta amenaza? Como buena medida se señala tener permanentemente actualizado y activo: el sistema de seguridad (antivirus, firewall, etc.); el Sistema Operativo (SO), con todas sus actualizaciones; todos los programas y aplicaciones; realizar copias de seguridad de los archivos, incluyendo documentos, fotos, música, y de documentos favoritos en internet; no guardar contraseñas en el equipo (computador, notebook, tablet, etc.).

"En Reino Unido también se estaba recomendando a los usuarios que bajaran herramientas gratuitas contra el virus GameOver Zeus del sitio oficial británico de internet clic Get Safe Online. Empresas como Symantec, F-Secure, Kaspersky, Sophos, Heimdal Security, entre otras, están ofreciendo temporalmente herramientas libre de cargos para protegerse de esta última amenaza" (BBC Mundo).

En la página del US-CERT se pueden informar también sobre las soluciones que se han implementado: GameOver Zeus P2P Malware (http://www.us-cert.gov/ncas/alerts/TA14-150A).

Finalmente, un detalle importante para tener muy en cuenta, un correo electrónico que llega de alguien conocido y confiable, e inclusive de un organismo oficial, puede ser un portador de éstos malware. Es importante no abrir archivos adjuntos sin confirmación de la fuente, de idéntica manera proceder con los links a direcciones no conocidas. 

Fuentes:

• Global police operation disrupts aggressive Cryptolocker virus. "Internet users have two-week window to protect themselves, says UK's National Crime Agency after working with Europol and FBI". Por Tom Brewster en London y Dominic Rushe en New York para The Guardian.
• Cómo defenderse del mayor ataque cibernético jamás visto. "¿Cómo pueden protegerse de crímenes cibernéticos los usuarios? La pregunta ha salido nuevamente a colación luego de que el Buró Federal de Investigaciones estadounidense, (FBI, por sus siglas en inglés), descubriera que más de un millón de computadores fueron afectados en todo el mundo por lo que se considera el mayor y más peligroso virus jamás detectado". Por BBC Mundo.

Avanza el 'home banking', el 75% de los argentinos que accede a internet lo utiliza

El 75% de los internautas opera con bancos desde la web

Por La Gaceta.

Este año aumentó la cantidad de transferencias bancarias, según un estudio privado. Los mayores miedos de los usuarios, a la hora de usar el sistema, son el robo de identidad, de claves y de contraseñas.

Artículo original en La Gaceta

El Home Banking consolida, cada año, su efecto analgésico para aliviar los dolores articulares que provocan las largas colas en los bancos. Según un estudio reciente que elaboró la consultora D’Alessio Irol, el 75% de los argentinos que accede a internet utiliza el servicio de transacciones mediante la web, y evitar así acudir a las sucursales. Este porcentaje representa un avance del 6% en comparación a 2013.

El informe señala, además, que el 62% de los internautas considera que la web es un medio seguro para concretar transacciones. Esta confianza permitió, al mismo tiempo, incrementar la cantidad de transferencias bancarias (72% en 2014 contra 66% de 2013) y de pagos online (84% en 2014 versus 80% en 2013).

El informe “Seguridad en Internet: la visión de los usuarios”, que divulgó la empresa CertiSur -dedicada a la seguridad de sistemas- señala que el auge de las operaciones bancarias en la red de redes “produce el pasaje de las consultas en las sucursales de las entidades, a las operaciones que involucran dinero”. Por otro lado, el reporte precisa que los mayores miedos de los internautas, vinculados a la seguridad en la web, son el robo de identidad y de contraseñas, el fraude electrónico, los virus, la sustracción de datos de tarjetas de crédito o de claves de acceso, y el software espía.

Pese a estos temores, el 73% de los usuarios encuestados por D’Alessio Irol manifestó que internet es un medio seguro ,o muy seguro, de comunicación, contra el 68% registrado en 2013. Esto representa un avance del 5% interanual. “Para reducir los ataques, algunas entidades bancarias establecieron niveles de seguridad adicionales al usuario y a la contraseña. Entre las metodologías más utilizadas están (ya desde hace varios años) las tarjetas de coordenadas, que están llegando al fin de su madurez tecnológica. Otras medidas acertadas son los certificados digitales, que permiten la firma de transacciones, y que logran la mayor seguridad disponible en transacciones del mercado. De igual modo, se destacan los mecanismos de generación de claves de único uso (OTP), mediante un dispositivo de hardware o desde el teléfono celular”, explica Norberto Marinelli, CEO de CertiSur.

Comprar en línea

El estudio de D’Alessio Irol también registra un incremento de usuarios argentinos que operan en plataformas de comercio electrónico. Comparado con la muestra de 2013, esta modalidad de venta expandió un 5% la cantidad de compradores (84% en 2014 contra 79% en 2013). Por otro lado, el análisis destaca que este año se redujo la brecha entre segmentos socio económicos que efectúan operaciones comerciales en portales de internet: 88% corresponde a usuarios de nivel socio económico Medio-Alto y 76% representa a internautas de nivel Medio-Medio. 

Además, la consultora agrega que sólo dos de cada 10 personas no tienen los medios de pago requeridos por los sitios de comercio electrónico para efectuar transacciones. “Si bien los factores de rechazo para no comprar online están disminuyendo, el principal temor para no hacerlo está referido a la falta de seguridad que se percibe de internet en general y el temor a una mala administración de los datos personales”, advierte.

Finalmente, CertiSur afirma que para seguir mejorando la percepción de internet como plataforma de operaciones bancarias y comerciales, las empresas deben preocuparse por garantizar la seguridad de los datos de sus clientes. / Por La Gaceta.-

Los botones de ingreso vía Facebook y Google no convencen a usuarios, les preocupa revelar sus preferencias

Facebook y Google despiertan la suspicacia de los usuarios
Por Elizabeth Dwoskin para The Wall Street Journal.

Facebook Inc. y Google Inc. libran una batalla por ser la puerta de entrada a través de la cual los usuarios se conecten con sitios web y aplicaciones móviles. Pero los usuarios y los negocios podrían estar perdiendo el interés en esa opción.

Los consumidores se preocupan por revelar en público sus preferencias y hábitos ante empresas y en todas sus redes sociales. Las compañías se debaten entre facilitar la vida de sus usuarios y permitir que Facebook y Google tengan acceso a los datos resultantes.

"Hace unos años, había un frenesí, pero el interés alcanzó su punto máximo", dice Sucharita Mulpuru-Kodali, analista de Forrester Research que estudia el acceso a sitios web a través de cuentas en redes sociales. El temor está en hacer clic a algo y que luego eso aparezca en el muro de uno en Facebook, agrega.

Facebook creó Facebook Connect en 2008, y luego le cambió el nombre a Facebook Login. Los fabricantes de aplicaciones lo encontraron útil para atraer usuarios, quienes se ahorran la molestia de registrarse con sus credenciales. En tanto, Facebook obtiene más información sobre lo que hicieron sus usuarios en otros sitios de la web. Google siguió el mismo camino con Google+ Sign-In en 2013.

Los botones de conexión les permiten a los consumidores ingresar en otros sitios web y aplicaciones usando su nombre de usuario y contraseña, por ejemplo, de Facebook Login o Google+.

Pero según una encuesta a 66 empresas grandes y medianas, sólo 17% de los encuestados usa esa opción, y más de la mitad no tiene planes de hacerlo. Forrester nunca había hecho una encuesta similar, pero Mulpuru-Kodali afirma que las ofertas de ingreso por red social ya no son atractivas para minoristas ni usuarios.

El estancamiento de las ofertas para este tipo de conexión pone de manifiesto el desafío de establecer una identidad digital, y los esfuerzos continuos de Silicon Valley de ponerse en el centro. Ya en 1999, Microsoft Corp. ofrecía Passport, que incluía un nombre de usuario, contraseña y una billetera que les permitía a los usuarios registrarse y comprar bienes en Internet. En medio de la indiferencia de los consumidores y demandas de privacidad, Microsoft dejó de ofrecer un servicio de ingreso universal en 2006.

Otros, incluidos Yahoo Inc., Amazon.com Inc. y Twitter Inc., tienen sus propios botones de acceso por red social, que atrajeron a pocos seguidores. Hace poco, Yahoo prohibió los botones de ingreso de otras empresas en sus propiedades en la web, lo que vuelve más dramática la competencia.

Establecer una identidad digital es cada vez más urgente en momentos en que las pantallas se reducen, las contraseñas se multiplican y las empresas buscan formas de llegar a la gente en sus teléfonos inteligentes y de recomendar productos según los hábitos de los usuarios.

Hoy, cuando los usuarios ingresan por primera vez a un sitio web o a una aplicación a través de Facebook Login o Google+, les preguntan qué datos están dispuestos a compartir, incluidas fotos, listas de contactos y sus "me gusta". Los usuarios de Google+ también pueden agregar su información de Google Wallet y preferencias de YouTube.

Las empresas cuyos productos básicos están incorporados en una aplicación, como el sitio de reservas de hotel por Internet HotelTonight, dicen que el ingreso con un clic es un gran beneficio en la pequeña pantalla de un teléfono inteligente. La gente "se pone contenta con la opción de pasar por alto un formulario largo", sostuvo el presidente ejecutivo de HotelTonight, Sam Shank, sobre la opción de ingreso de Google+. "Lo importante es que la transacción sea lo más perfecta posible". HotelTonight también usa Facebook Login.

Facebook afirma que su servicio está ganando popularidad, y lo usan 80 de 100 aplicaciones populares para teléfonos inteligentes en Estados Unidos. Google describió su botón de ingreso como un potencial reemplazo para las "cookies" de los navegadores, que pueden ser imprecisas y no extienden la identidad de un usuario a los smartphones.

Ambas empresas están cambiando sus estrategias. Hace poco, Facebook indicó que comenzaría a ofrecer ingresos anónimos, una concesión a preocupaciones sobre la privacidad. El director de Google+ dio un paso al costado recientemente en medio de señales de que la red social no es popular entre los usuarios.

"Recibimos comentarios de usuarios", dijo Eddie O'Neil, gerente de producto de Facebook Login. "Lo primero que dice la gente es que quiere más transparencia; segundo, más control".

Algunos usuarios aún desconfían. "No quiero que todos el mi red social sepan qué estoy comprando", dijo Rebecca Silliman, que trabaja en marketing para una firma de comercio electrónico en San Francisco.

Asimismo, muchas compañías, en particular pequeños minoristas, tienen sentimientos encontrados.

Los botones de ingreso "son un gran concepto", dijo Eric Singleton, director general de información del minorista de indumentaria femenina Chico's FAS Inc., que considera incluir botones de conexión por red social en las aplicaciones para teléfono inteligente que prepara. El ejecutivo explicó que la firma quiere ofrecer recomendaciones personalizadas a los compradores, que podrían variar según la ubicación y la hora.

Los botones podrían ser de ayuda, dijo Singleton, pero le preocupa el historial inconsistente de Facebook para proteger la privacidad del consumidor. Chico's prueba de forma interna Google+ Sign-In, pero a Singleton le preocupan los desafíos técnicos de conectarse con el sistema de Google, y si le aportaría a la firma el tipo de datos que busca. Señaló que querría asegurarse de que "en cualquier cosa que haga Chico, le quede al consumidor 100% claro qué están aceptando". / Por Elizabeth Dwoskin para The Wall Street Journal. Rolfe Winkler contribuyó a este artículo.--

Dos notas interesantes sobre el bug en OpenSSL para tener en cuenta

Por qué le conviene cambiar sus contraseñas hoy mismo, y cómo hacerlo.-

Consejos para protegerse de hackers y delincuentes cibernéticos que explotan errores como Heartbleed. ¿Hace tiempo que quiere actualizar su contraseña? Hoy es el día para hacerlo. El lunes, investigadores de seguridad cibernética encontraron un problema muy preocupante llamado "Heartbleed". Es una falla en una herramienta de codificación usada por alrededor de dos tercios de los servidores de Internet que podría ser explotada para filtrar sus nombres de usuario y contraseñas.

Por Geoffrey A. Fowler para The Wall Street Journal.

¿Qué contraseñas debo cambiar ante el fallo de internet?.-

El inédito error informático llamado Heartbleed les está causando grandes dolores de cabeza a los expertos en seguridad. Mientras tanto, los sitios web intentan solucionar el problema y los usuarios, asustados, se preguntan si deben cambiar o no sus contraseñas para evitar el robo de sus cuentas de correo electrónico, números de tarjetas de crédito y otra información confidencial.

Por BBC Mundo Tecnología.

---.---

Por éste grave problema de seguridad todos los que ofrecen servicios en línea están tomando medidas para solucionar y evitar el problema.

Se puede consultar si un servicio ha actualizado su seguridad al introducir el nombre de dominio de su website en Qualys SSL Server Test (https://www.ssllabs.com/ssltest).

Se trata de un servicio gratuito en línea que realiza un test ejecutando un profundo análisis de la configuración de cualquier servidor web SSL en Internet público. Es conveniente tener cierta preparación en el tema y leer ingles.

¿Qué sitios corrigieron su vulnerabilidad ante Heartbleed? es la consulta que más se hace, en Cnet la respondieron para algunos de los 100 principales sitios web. Allí han publicado una lista con los resultados obtenidos usado Qualys SSL Server Test. En el caso que Ud. encuentre el servicio que usa allí, con el problema superado, es importante que cambie su contraseña y asuma la importancia de cambiarla al menos cada 90 días.

Si Ud. utiliza homebanking, es muy recomendable que consulte con su banco respecto de la solución del tema.

Post relacionados:

• Heartbleed abrió el debate sobre las necesidades de este software crítico. 28/04/2014.
• Señalan que OpenSSL ya no puede ser rescatado. 23/04/2014.
• El bug en OpenSSL, Heartbleed, ¿un ataque gubernamental?. 11/04/2014.
• Dos notas interesantes sobre el bug en OpenSSL para tener en cuenta. 10/04/2014.
• Aconsejan cambiar contraseñas por el bug masivo de seguridad en OpenSSL. 09/04/2014.
• Bug masivo de seguridad en OpenSSL dejó desprotegidos desde contraseñas hasta tarjetas de crédito. 08/04/2014.

Snoopy, un UAV que cuenta con tecnología que busca dispositivos móviles con wi-fi encendidos para robar

Este 'drone' puede robar lo que hay en tu 'smartphone'
Por Erica Fink para CNNMoney. Visto en CNNMéxico.

NUEVA YORK (CNNMoney) — La próxima amenaza a tu privacidad puede volar sobre tu cabeza en la calle.

Hackers desarrollaron un drone que puede robar contenidos de tu teléfono inteligente —desde datos de tu ubicación hasta tu contraseña de Amazon— y lo están probando en los cielos de Londres. Los resultados de la investigación serán presentados la próxima semana en la conferencia de seguridad cibernética Black Hat Asia que se llevará a cabo en Singapur.

El drone, conocido como Snoopy, cuenta con una tecnología que busca dispositivos móviles con wi-fi encendido.

Snoopy se aprovecha de una función dentro de los smartphones y tabletas: cuando estos intentan conectarse a internet, buscan redes a las cuales han accedido en el pasado.

“De manera muy ruidosa, el teléfono gritará el nombre de cada red a la cual se ha conectado”, dijo el investigador de seguridad de Sensepost, Glenn Wilkinson. “Estarán gritando: ‘Starbucks, ¿estás ahí?... wi-fi gratis de McDonalds, ¿estás ahí?”.

Ahí es cuando este drone podrá entrar en acción (y ser peor que la caricatura): podrá devolver una señal pretendiendo ser una red a la cual te has conectado en el pasado. Dispositivos a 60 centímetros de distancia pueden conectarse con el drone, creyendo que es una red confiable de wi-fi. Cuando los teléfonos inteligentes se conecten con Snoopy, éste interceptará todo lo que envíe y reciba.

“Tu teléfono se conecta conmigo y puedo ver todo tu tráfico”, dijo Wilkinson.

Eso incluye los sitios que visites, información de tarjetas de crédito guardada, datos de ubicación, usuarios y contraseñas. Cada teléfono tiene un número de identificación o dirección MAC, lo cual es usado por el drone para conectarse.

Los nombres de las redes que los teléfonos visiten también pueden ser reveladores. “He visto que alguien buscando la red corporativa de Bank X”, explicó Wilkinson. “Ahora sabemos que esa persona trabaja en ese banco”.

CNNMoney llevó a Snoopy a dar un paseo por Londres un sábado de marzo por la tarde y Wilkinson pudo mostrarnos lo que él creía eran las casas de varias personas que habían caminado bajo su drone. En menos de una hora de vuelo, obtuvo los nombres de las redes y coordenadas de GPS de unos 150 dispositivos móviles.

También pudo obtener nombres de usuarios y contraseñas de cuentas de Amazon, PayPal y Yahoo creadas para propósitos de este reporte, para que pudiéramos verificarlo sin robar información de transeúntes.

La recolección de metadatos, identificaciones de dispositivos y nombres de redes probablemente no es ilegal, de acuerdo con la Electronic Frontier Foundation. Interceptar nombres de usuarios, contraseñas e información de tarjetas de crédito con la intención de usarlos sí violaría leyes de robo de identidad y espionaje.

Wilkinson, quien desarrolló la tecnología junto a Daniel Cuthbert en los laboratorios de Sensepost Research, dice que él es un hacker ético. El propósito de su investigación es crear consciencia sobre la vulnerabilidad de los datos en dispositivos inteligentes.

Instalar la tecnología en drones genera una amenaza poderosa porque los drones son móviles y a menudo están fuera de la vista de los peatones.

Si bien la mayoría de las funciones de este dispositivo causan temor, también pueden ser usadas para efectos de seguridad pública y aplicación de la ley. Durante disturbios, un drone podría sobrevolar para identificar a saqueadores, por ejemplo.

Los usuarios pueden protegerse apagando sus conexiones de wi-fi y activando la función para que los dispositivos pregunten cada vez que intenten conectarse a una red. / Por Erica Fink para CNNMoney. Visto en CNNMéxico.--

Visto en YouTube, vía CNNMoney

Los hackers han instalado tecnología de espionaje en un UAV y lo enviaron volando alrededor de Londres.

Snoopy en acción. Imagen capturada en el vídeo de CNNMoney

Pantalla con parte de un código de programa. Imagen acpturada en el vídeo de CNNMoney.

El cuerpo humano ¿la nueva contraseña?

Nuevos sistemas de contraseñas transforman al cuerpo humano en un "escudo" de defensa contra los hackers.

Una muestra gigantesca de estos productos y servicios es la feria tecnológica CeBIT, que se realizó en la ciudad alemana de Hannover. Una sala entera está dedicada a la protección informática, con no menos de 500 empresas presentes. Las empresas tecnológicas le deben mucho al ex analista de la Agencia Nacional de Seguridad estadounidense (NSA, sigla en inglés), Edward Snowden, por sus revelaciones sobre el espionaje masivo realizado por el Gobierno norteamericano en las comunicaciones y los contenidos a través de Internet. Por Cesar Dergarabedian para iProfesional.com.

Post relacionado:

• Las contraseñas de Internet: ¿un oscuro fracaso?. 08/11/2013.
• ¿Se viene el adiós a las contraseñas?. 23/09/2013.

Multimillonarias pérdidas en 2013 por fraudes online

Las pérdidas por fraude online fueron de casi U$S 6000 millones en 2013
Publicado por Télam.

Los cerca de 450.000 ataques online que se registraron durante 2013 en todo el mundo supusieron pérdidas por fraude por hasta 5.900 millones de dólares, según el análisis realizado por una empresa experta en seguridad.

América Latina "está en el centro de la escena", ya que "Colombia y Brasil registraron fraudes por 181 millones de dólares", difundió RSA, la división de seguridad de la firma tecnológica EMC.

También desde la firma ESET remarcaron que las amenazas de robo de identidad (conocidas como phishing) se expandieron a los móviles y especialmente a los equipos que utilizan sistemas operativos Android -con un incremento de 63 por ciento en cantidad de ataques anuales-, que en la región ronda el 83 por ciento del total de los smartphones.

El estudio por región muestra que los Estados Unidos y Canadá representan 63 por ciento de los ataques de phishing, seguido por Europa y África (28 por ciento), Asia y Oceanía (7 por ciento) y América Latina (4 por ciento). 

El phishing o robo de identidad en América Latina tiene foco en Colombia, dónde se registró el 43 por ciento de los ataques y las pérdidas se estiman en 95 millones de dólares. En tanto, Brasil sufrió el 39 por ciento de los ataques de la región -con pérdidas estimadas de 86 millones de dólares-, y México el 8 por ciento, con 19 millones de dólares de pérdidas.

Desde la empresa sostuvieron que "al igual que con las computadoras, actualizar tanto el sistema operativo como los programas es necesario para obtener mejoras de seguridad y nuevas funcionalidades".

Una recomendación histórica de los usuarios avanzados es evitar la conexión automática de bluetooth cuando se trata de redes públicas que no exigen ninguna contraseña, ya que los equipos quedan "abiertos" a la invasión de cualquier malware (código malicioso). / Publicado por Télam.