Hoy concretamente nos hemos encontrado con la salida de una aplicación por parte de Movistar,  que frente a la proliferación de servicios gratis de mensajes y llamadas desde el móvil que utilizan la voz sobre IP,  ha sacado una nueva aplicación, propia y gratuita, para arañar parte del pastel. Con el nombre ‘TU me’, el operador anuncia su disponibilidad “a nivel mundial”, aunque de momento sólo en inglés.

La aplicación ‘TU me’ permite hacer llamadas gratis entre usuarios de la aplicación (como Viber o Skype) y enviar mensajes de voz, así como el envío de mensajes de texto, (como Whatsapp), fotos y localizaciones (como Foursquare). La compañía destaca que estas cinco funcionalidades se pueden utilizar “desde un único control y una única pantalla, sin necesidad de abrir otras aplicaciones o pestañas”.

Otra de las diferencias que remarca Telefónica es que la actividad de la aplicación queda registrada y guardada en un ‘timeline’ en el que se pueden realizar búsquedas para ‘repescar’ un mensaje antiguo. Asimismo, la plataforma almacena el contenido en un servidor remoto para mantenerlo disponible “incluso si se extravía el dispositivo móvil”.

Jamie Finn, director de Producción de Comunicaciones de Telefónica Digital, confirmó a través de Twitter que las comunicaciones a través del sistema van encriptados, y apuntó que “en este momento en ‘TU Me’ guarda mensajes de audio, fotos y mensajes de texto”. “Aún no se guarda la llamada de voz completa, pero ya mismo”, afirmó Finnn en un tweet como respuesta a este periodista. Estos contenidos estarán almacenados en ‘data centers’ de Telefónica en Europa, pero más adelante se utilizarán servidores en otras regiones, comentaron fuentes del operador.

Vocación global

Hasta aquí bien… pero si buceamos un poco mas por la red a través de diversos foros de seguridad, en el mismo día de lanzamiento de la aplicación, también nos encontramos con que ya se conocen problemas de seguridad derivados de descuidos que se han tenido en cuenta a la hora de desarrollar la aplicación, o pruebas que no se realizaron en la parte de diseño de la propia aplicación antes de su lanzamiento y puesta en producción.

Concretamente aquí dejamos un enlace (de un conocido sitio especializado en temas de seguridad de la información) en el que se nos muestra como podríamos registrar cualquier número en esta aplicación y empezar a mandar mensajes “en nombre” de ese número de móvil, con las implicaciones que esto podría tener. El sistema además, como puede comprobarse, no requiere grandes conocimientos técnicos ni nada por el estilo.

http://www.securitybydefault.com/2012/05/registra-cualquier-numero-en-tu-me.html

Tampoco es novedoso que aplicaciones de este tipo tengan vulnerabilidades de seguridad diversas y no se salva precisamente su “hermano mayor”, Whats up, mucho mas maduro en el mercado, pero es significativo que el mismo día que aparece la noticia del lanzamiento, ya se puedan encontrar enlaces en los que se nos cuentan problemas de seguridad de estas aplicaciones.

Áudea Seguridad de la Información

Rubén Fernández

Departamento Compliance

www.audea.com

Todo el revuelo ha comenzado porque los coches de Street View han comenzado a recorrer de nuevo las calles españolas (pueblos y ciudades), con el objeto de actualizar las imágenes del programa (vista a pie de calle).

Google ya fue denunciado en el pasado por la localización de redes wifi, llegando a obtener correos electrónicos, historiales de navegación, conversaciones de chat, y contraseñas mientras recorría las calles realizando fotografías, aunque asegura que en esta ocasión, se abstendrá de realizar estas prácticas.

Con respecto a la denuncia de la AGPD, asegura que aplicará las técnicas de difuminado permanente e irreversible en los rostros y las matrículas.

No obstante, según lo establecido en el artículo 6 del reglamento, la obtención de datos de carácter personal requiere el consentimiento “inequívoco” del afectado, por lo que la normativa se sigue incumpliendo.

El acuerdo alcanzado con la AGPD exige a google que “antes, durante y después” de la captación de datos, realice el difuminado de las caras y las matrículas y hasta la eliminación de los originales. Además han indicado que se encargarán de comprobar este hecho.

Esta no es la primera ni será la última vez en la que google se salta las normas para obtener datos personales.

No hay que olvidar que la prioridad de la empresa es la de obtener datos con el mayor detalle posible de las personas, para posteriormente enviarles publicidad personalizada, que actualmente es su mayor fuente de ingresos.

Áudea Seguridad de la Información

Departamento Seguridad TIC

Fuente: El País

“Vamos a vivir probablemente en un mundo sin SOPA (el proyecto de ley antipiratería de Estados Unidos) y sin ACTA”, ha dicho Kroes durante un discurso en Berlín.

Bruselas sostiene que ACTA  fija un marco a escala internacional para hacer valer fuera de las fronteras comunitarias las leyes que rigen dentro.

A pesar de ello, organizaciones de internautas han mostrado preocupación por las consecuencias de un tratado que, a su juicio, podría impulsar medidas concretas contra la piratería de películas y música y facilitar el control estatal sobre la comunicación en Internet.

Para su entrada en vigor, el acuerdo ACTA necesita ser ratificado por al menos seis de las partes que lo han negociado, entre ellos Estados Unidos, Australia, México, Marruecos y Japón. En el caso de la Unión Europea, deben firmarlo y ratificarlo cada uno de los Estados miembros y la UE por tratarse de un acuerdo que abarca competencias nacionales y comunitarias, y el proceso está en marcha sin una fecha de conclusión fijada.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: EuropaPress

El FBI británico, cerró su sitio web el miércoles por la tarde después de que fuera atacado por una fuente desconocida. Han aclarado que no se perdió información confidencial durante el incidente.

“Elegimos cerrar nuestro sitio web desde las 22.00 para limitar el impacto del ataque de otros clientes alojados en nuestro servidor”, ha explicado el portavoz. “La página web sólo tiene información disponible al público y no proporciona acceso a cualquier material operativo”, ha dicho.

La agencia, que investiga delitos graves como el tráfico de personas, el tráfico de drogas y los tiroteos, cerró el mes pasado 36 dominios de internet que se utilizaban para vender los datos robados de tarjetas de crédito.

Esta página ya había sido víctima de los ataques anteriores por  los miembros de Anonymous .

El secretario del Gabinete británico, advirtió esta semana que es probable que los Juegos Olímpicos de este verano también sufran un ataque cibernético.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: EuropaPress

El malware utilizado pertenece a la familia de troyanos bancarios Bebloh, que es capaz de robar los datos de acceso a las cuentas corrientes de sus víctimas y no ofrece síntomas aparentes de infección, por lo que no es fácil de detectar por el usuario.

Es posible que en las próximas semanas, y hasta el periodo vacacional, se repitan correos similares enmascarados bajo remitentes conocidos y vinculados a esta industria, portales de reservas de vuelos, hoteles o paquetes vacacionales.

En caso de estar esperando algún tipo de confirmación o haber realizado alguna reserva online es conveniente asegurarse de que el remitente del correo recibido es el mismo que aquel donde se hizo la reserva. De igual forma, es necesario tener especial cuidado con los documentos adjuntos y utilizar una solución de seguridad que chequee estos emails potencialmente peligrosos.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: EuropaPress

Según el análisis, aunque todo los correos spam son peligrosos hay que prestar más atención a aquellos que lleven archivos adjuntos (el 1,14 % del spam lleva archivos adjuntos).

Han detectado que el 10% de los spam con adjuntos incluyen “malware” o formularios fraudulentos, lo que supone 300 millones de correos al día con archivos maliciosos.

El desglose por tipo de archivo adjunto reveló que un considerable 29,74 por ciento está compuesto de páginas HTML (ya sean ofertas de phishing o comerciales), seguido por los archivos (9,6 por ciento) y los archivos DOC con el 6,26 por ciento. Otros archivos comunes están hechos de imágenes, archivos ejecutables, hojas de cálculo XLS, PDFs y archivos de audio.

La mayoría de los archivos adjuntos ejecutables que se han encontrado llevan a gusanos de correo electrónico (Worm.Generic.24461 y Worm.Generic.23834), así como a virus genéricos (Win32.Generic.497472 y Win32.Generic.494775).

Según los datos de BitDefender, el 78 por ciento de los incidentes de pérdidas de datos en las empresas se debe a comportamientos inseguros por parte de los trabajadores. En este sentido, la presencia de ‘spam’ en las bandejas de entrada de los trabajadores, sólo aumenta el riesgo de que estos cometan un fallo y pongan en peligro la seguridad de la empresa.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: EuropaPress

Por eso muchas entidades públicas y privadas o incluso personas particulares requieren servicios de marketing reputacional.  En este sentido es de destacar la sentencia  del Tribunal Supremo (TS), emitida hace unos días, por la que se condenó a una vecina de Barcelona por expresar unas opiniones  ofensivas y vejatorias respecto de unos médicos de la clínica barcelonesa.

El asunto se remonta al año 1993 cuando murió el hijo de la afectada Isabel F.  tras ser intervenido en la Clínica Dexeus. La mujer, ahora condenada por TS, creó una página Web en la que criticaba con suma exageración las actuaciones de los médicos. En una de las expresiones utilizadas comparó la actuación médica con los experimentos llevados a cabo por los médicos de la Alemania nazi.

A pesar de que los dos médicos denunciados han sido absueltos de su presunta negligencia por los juzgados de primera instancia y la Audiencia Provincial de Barcelona, la mujer seguía vertiendo críticas en su website.

En la sentencia del TS se resalta la extraordinaria dureza de estas opiniones que resultan desproporcionadas con el mensaje de la denuncia y la critica pública y no pueden quedar amparadas en ningún caso en la libertad de expresión ya que exceden de una lícita crítica a la pericia profesional. En consecuencia el alto tribunal  ha condenado a Isabel F. a pagar 9.000 euros en concepto de indemnización a uno de los médicos injuriados.

La información en internet se propaga con extrema rapidez, traspasa las fronteras y en la práctica, el control sobre su difusión está  muy limitado. Por consiguiente, se hace cada vez más necesario protegernos ante este tipo de ataques ya sean a nuestra persona o empresa  y que pueden gravemente perjudicar nuestro prestigio.

Entre las empresas del mundo de las nuevas tecnologías y seguridad de la información  Áudea como una de las empresas pioneras ha incluido servicios de marketing reputacional y  sigue haciéndose cada vez más hueco en este campo, con el fin de proteger el buen nombre de sus clientes tanto en internet como en cualquier otro medio de comunicación.

Áudea, Seguridad de la Información, S.L.

Karol Sedkowski

Consultor Legal

www.audea.com

Desde Áudea comenzaremos a comercializar las cuatro modalidades del producto WipeDrive .

Está aprobada de acuerdo con los CC (Common Criteria) para ser usado por las Agencias gubernamentales, Nivel de Seguridad: EAL4+.

El propósito todos es  el de borrar permanentemente los datos del disco duro para que no se puedan recuperar. Se diferencian en:

• WipeDrive PRO: borrado de hasta 20 discos, 12 simultáneos, manteniendo intacto el sistema operativo y sus programas.
• WipeDrive Site Licence: borrado de más de 20 discos, manteniendo intacto el sistema operativo y sus programas y personalizado para sus necesidades.
• Secure Clean (próximo lanzamiento) borra  ficheros indeseados  y busca y borra ficheros de internet que Windows no  ve.
• Media Wiper (próximo lanzamiento) limpia y borra los datos de ficheros externos.

Podrá obtener más información pueden ver la Hoja de Producto WipeDrive

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Sigue resultando impactante que más de un tercio de los ordenadores existentes en todo el mundo estén infectados por algún tipo de virus, llegando, en China por ejemplo, a ser superior al 50% este porcentaje. Y esto teniendo en cuenta, que tal y como refleja el informe de Pandasecurity, estas cifras han bajado más de un 3% con respecto a los datos del último informe.

La media de PCs infectados nivel mundial se sitúa en el 35,51%, bajando más de 3 puntos respecto a los datos de 2011, según los datos de Inteligencia Colectiva de Panda Security.  China, es nuevamente el país con mayor porcentaje de PCs infectados con  un 54,10%, seguido de Taiwán, y de Turquía.  En cuanto a los países con menor índice de ordenadores infectados, 9 de 10 son europeos. Únicamente Japón está en la lista de los países por debajo del 30% de PCs infectados.  Suecia, Suiza y Noruega son los países que ocupan las primeras plazas.

Países con mayor índice de Infección:

En 2011, el volumen total de troyanos suponía un 73% del total del software malintencionado.

La compañía de seguridad ha indicado que los datos del informe corroboran cómo “la época de las grandes epidemias masivas de gusanos ha dejado lugar a una masiva epidemia silenciosa de troyanos, arma preferida para el robo de información de los usuarios”.

Panda Security ha alertado del aumento de las técnicas de “ramsonware”, un tipo de amenaza que “secuestra” el ordenador del usuario y le exige una recompensa económica para volver a controlar el dispositivo, como el últimamente famoso “Virus de la Policía”, el cual utiliza el logo y las banderas de las fuerzas de seguridad de distintos países para hacer creer al usuario que su ordenador ha sido bloqueado por visitar contenidos inapropiados o realizar descargas. Para desbloquearlo solicita el pago de una multa por valor de 100 euros. La realidad es que estos mensajes son mostrados por el troyano y en ningún caso proceden de las fuerzas de seguridad, como debería ser evidente.

Áudea Seguridad de la Información

Departamento de Gestión

www.audea.com

Fuente: www.pandasecurity.com

Su popularización general ha ido creciendo de forma paralela a la confianza acentuada de los usuarios en su utilización. Sin embargo, utilizar estos servicios implica una serie de amenazas relacionadas con la seguridad, tanto de los datos personales como de nuestro dinero; caracterizado por el fraude y los diferentes tipos de abuso que existen. Por este motivo, debemos ser cautos a la hora de realizar nuestras gestiones online, y tener en consideración una serie de buenas prácticas que garanticen de alguna forma que las transacciones se realizan de forma correcta.

Los sistemas de autenticación permiten verificar la identidad durante todo el proceso de compra, y aunque existen diferentes medios que lo permiten, siempre dependerán en gran medida de la infraestructura del comercio online. La forma más tradicional y “rudimentaria” en cuanto a sistema de autenticación sería el uso del nombre de usuario y clave asociada, aunque en ocasiones viene reforzada con utilidades como teclados virtuales. No obstante, actualmente existen múltiples mecanismos que han ido mejorando considerablemente con el tiempo, entre los que se encuentran las tarjetas inteligentes, los tokens, los dispositivos biométricos, y los certificados y firmas electrónicas.

Durante las transacciones, además deberemos fijarnos en el cifrado de las mismas para asegurar la integridad de los datos y su intercepción durante el proceso. A través del conocido protocolo de autenticación SSL, se desarrolla el HTTPS; que se identifica en el navegador de forma https:// en lugar del habitual http://. Deberemos observar siempre su existencia para asegurarnos la seguridad en el trascurso de las operaciones.

Siguiendo en esta línea, también deberemos verificar si la URL que se indica durante todo el proceso corresponde con la del comercio o entidad en sí; ya que es posible la simulación de empresa a través de la modificación de uno de los dígitos de la URL, y que con un “look and feel” similar se pueda estar proporcionando datos a una empresa diferente.

En muchas ocasiones también podremos encontrarnos con situaciones que nos hagan sospechar a primera vista, por lo que deberemos ser más cautos. Por ejemplo si nos solicitan datos que creamos excesivos para la transacción que estamos realizando, que el certificado de seguridad proporcionado se encuentre caducado o no sea válido, o simplemente que no haya ninguna información sobre la razón social de la empresa, dirección, medio de contacto o CIF. En todos estos casos, a parte de parar temporalmente la transacción comercial, se podrá acudir a la búsqueda de opiniones de demás usuarios acerca de la reputación de dicho comercio.

Nunca debemos olvidar también que en Internet existe la letra pequeña y se puede jugar con ello. Es importante leer atentamente los términos y condiciones de contratación que se aceptan de forma previa, que no pueda sorprendernos ninguna situación posterior desconocida. Además, una vez finalizado un proceso de compra, la empresa deberá notificar mediante correo electrónico al usuario la confirmación de la compra y su valor. Y no queda ahí, además nuestra tarea posterior será la comprobación en el banco para verificar que el importe cargado es el correcto.

Actualmente existen muchas certificaciones válidas expedidas por diferentes agentes que puedan disponer el comercio online, como puedan ser Trust-e, Confianza Online o Verisign; que garantizan en un primer momento la confianza del sitio web. No obstante, debemos siempre ser cautos y prestar la mayor diligencia posible en el proceso, ya que el desarrollo de la tecnología no permite siempre que pueda ser utilizada de forma segura; y menos cuando hay dinero de por medio.

Áudea Seguridad de la Información

Iván Ontañón Ramos

Departamento derecho TIC

www.audea.com