Mediante una foto de varias personas ataviadas con la máscara de la película ‘V de Vendetta’, que se ha convertido una enseña de este grupo de hackers, y en la que podía leerse “Felices filtraciones. Somos Anonymous, somos legión”, se han atribuido la autoría de la intervención al sitio de web del exvicepresidente del Gobierno.

“Rubalcaba, la sombra del 11-M te persigue muy cerca: ‘La forense del 11-M declara ante la juez que en los cadáveres no había metralla’. En breve se desvelara asignación de chalets de Viviendas con Protección Pública (VPP) concedidos a la mano derecha de Cayo Lara (Izquierda Unida)” es el mensaje que los hackers han colgado, en el que también advierte al Partido Popular de que son los siguientes.

Además, Anonymous ha ilustrado la web con una foto de Rubalcaba manipulada en la que aparece con un parche de pirata y colmillos de vampiro.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: Europa Press

Aquí podemos entrar en discusiones del tipo: “un Plan de Contingencia no es exactamente lo mismo que un Plan de Continuidad de Negocio” o “en realidad es un Plan de Continuidad de Negocio pero sólo para Sistemas”.

La forma más acertada de abordar el asunto, y en nuestra opinión la única que garantiza una comprensión definitiva del mismo, es considerar al Plan de Continuidad de Negocio como un Plan de Planes. Efectivamente, un buen Plan de Continuidad contendrá a su vez un cierto número de planes diferentes, como puede ser el Plan Evacuación, el Plan de Emergencia, el Plan de Gestión de Incidentes y, cómo no, un buen Plan de Contingencia de Sistemas.

En aras de una mayor claridad, podemos decir que un Plan de Contingencia de las TIC (Tecnologías de la Información y las Comunicaciones) consiste en una estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos en el PCN de la compañía.

Por su parte, el Plan de Continuidad de Negocio puede ser definido como un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía.

A grandes rasgos, tres son los elementos característicos de un Plan de Continuidad de Negocio:

• ·        Garantiza la continuidad de los procesos ante desastres y eventualidades.
• ·        Es un elemento estratégico global, que se sustancia de n planes de contingencia de áreas de negocio y n planes de contingencia de las infraestructuras en las que se soporta el negocio, entre ellas los sistemas de información y las comunicaciones.
• ·        Tiene como objetivo dar respuesta a las situaciones que no han podido ser evitadas por las medidas de seguridad implantadas por la organización.

Por tanto, no debemos tener dudas al afirmar que el Plan de Contingencia es uno de los elementos más relevantes de un Plan de Continuidad de Negocio, y que si tenemos en cuenta la dependencia casi absoluta que las organizaciones y empresas de cualquier tipo tienen de los Sistemas de Información y de las Comunicaciones, nos daremos cuenta rápidamente de que a día de hoy es difícil dar Continuidad sin tener Contingencia de las TIC. Y decimos “difícil” y no “imposible”, pues en ocasiones podremos buscar alternativas “manuales” para aquellas actividades que en condiciones normales realizamos apoyándonos en las tecnologías de la información y las comunicaciones (TIC).

En el ámbito de las normativas internacionales existentes en la actualidad, vemos también esta diferenciación entre Continuidad y Contingencia. Así, ahora mismo contamos con un estándar británico como es BS 25999, cuya parte 2 nos permite certificar todo un Sistema de Gestión de Continuidad de Negocio, y estamos a punto de que la futura norma ISO basada en el estándar británico vea la luz. Será la esperada ISO 22301 cuyo título en español todavía es difícil de traducir, pero que en inglés es Societal security – Preparedness and continuity management systems – Requirements.

En el campo de la contingencia de las TIC, el pasado mes de Abril se publicó el estándar internacional ISO 27031 con el título Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity, es decir, una guía de buenas prácticas sobre la disponibilidad de las TIC para la Continuidad de Negocio.

Como vemos, Contingencia TIC y Continuidad de Negocio son elementos muy vinculados y que casi siempre irán de la mano, pero resulta conveniente no perder de vista el dicho popular de “juntos, pero no revueltos…”.

Áudea, Seguridad de la Información

Manuel Díaz Sampedro

Departamento de Gestión de la Seguridad

www.audea.com

Luego están los certificados falsos para engañar al prójimo y hacerle creer que está visitando lo que no es. Ese era el objetivo de los hackers que accedieron al sistema de la certificadora holandesa DigiNotar. Se señala a Irán.

En tal caso el asalto digital y el uso de los certificados falsos habrían puesto en peligro la vida de disidentes iraníes. Hoy el gobierno holandés elevó las cifras a 531 certificados e incluye los sitios de la CIA, el MI6, Facebook, Microsoft, Skype, Twitter o el Mossad de Israel. El gobierno ha tomado el control de Diginotar a la vez que se teme por la seguridad de al menos 300.000 usuarios iraníes.

El problema, tal y como informan desde la empresa de seguridad que está llevando el caso, es que Diginotar sólo reconoció en un primer momento la intrusión de los certificados a Google y Mozilla. Este informe “menor”, hablando de un número que no hacía referencia a la verdad, podría comprometer y poner en serios aprietos a los disidentes en el país.

Áudea Seguridad de la Información

Departamento Seguridad TIC

www.audea.com

Una gestión de incidencias eficaz implica aplicar controles detectivos y correctivos dirigidos a minimizar los impactos adversos, reunir pruebas forenses (si aplica) y “aprender las lecciones” en términos de la mejora de la gestión de la seguridad o de un SGSI.

ISO/IEC 27035 establece un enfoque estructurado y planificado para:

- detectar, informar y evaluar los incidentes de seguridad de información;
- responder a incidentes y gestionar incidentes de seguridad de la información;
- detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
- mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.

Un aspecto importante es que la norma incluye la gestión de vulnerabilidad, así como la gestión de incidentes

Departamento Gestión de la Seguridad
Áudea, Seguridad de la Información, S.L.

El origen de la denuncia fue la celebración del Campus educativo-deportivo puesto en marcha por el Consistorio, en el cual el Ayuntamiento empleó documentos personales y oficiales para que, en su parte trasera, los niños pudieran hacer dibujos.

En la denuncia se relata que se “facilitó papel reciclado para hacer dichos dibujos, apareciendo en el reverso solicitudes, reclamaciones y denuncias presentadas por los algabeños en el Registro General, con sus datos personales”.

La noticia pone de manifiesto el desconocimiento que aún existe en esta materia, el cual también alcanza a los poderes públicos, los cuales debieran velar precisamente por la protección de los derechos de sus administrados.

A buen seguro no es el primer caso (ni será el último) en que este tipo de actuaciones se producen, pero gracias a ese desconocimiento generalizado no se producen más denuncias en este sentido, a pesar del carácter tan flagrante de la infracción.

Áudea Seguridad de la Información

Departamento Legal

www.audea.com

Fuente: giraldainformación

El buscador, ésta semana, a través de su Blog oficial, ha informado a sus internautas que dicha función; desde el pasado mes de Junio hace posible compartir contenidos en la red y por si esto fuera poco también ha anunciado su función “+snippets” (fragmentos), que permite al usuario, una vez presionado el botón +1, enlazar directamente al contenido seleccionado una imagen o foto que lo ilustra además de un pequeño resumen orientativo. Para que los internautas puedan conocer y probar las demás funciones nuevas solo tendrán que acceder al portal Google+Platform Preview.

Aunque las cifras de alcance  anteriormente expuestas no están nada mal para el primer trimestre desde su activación, hay que reconocer que ésta herramienta social de Google ha hecho que la compañía de un paso más y sus usuarios disfrutarán de compartir información con ciertos círculos (grupos de amigos, familiares, compañeros del trabajo, etc.).

La Galería de fotos de Twitter…

Twitter ha puesto en marcha un nuevo servicio para organizar la galería de imágenes recientes de sus usuarios, ha informado la compañía a través de su fuente oficial. Las fotos que hayan sido subidas a la red después del día 01 de Enero de 2010, son las que podrán aparecer en twitter, mostrando un total de 100 instantáneas por miembro, ordenadas cronológicamente en el perfil individual y éstos, a su vez, podrán compartirlas con otros miembro o mediante terceros (como yFrog, Instagram o Twitpic). Dichas imágenes se podrán visualizar de dos formas diferentes:

1. Formato tabla: que aparecen todas las visualizaciones
2. Vistas de detalles: que muestra la imagen más reciente ampliada con su twit correspondiente, dejando el resto en un tamaño más pequeño.

Éste anuncio revela que las galerías de las imágenes se podrán poner en marcha dentro de unas semanas.

Audea Seguridad de la Información

Departamento de Comunicación y Marketing

www.audea.com

Fuente: www.20minutos.es

Resulta difícil concretar cuando efectivamente se está vulnerando el derecho de un tercero. A los prestadores de servicios de intermediación se les exige una diligencia o cuidado con respecto a las informaciones publicadas en las Web de las que son responsables. La LSSI regula este aspecto en su art. 16 definiendo el principio de conocimiento efectivo, por lo tanto los citados prestadores de servicios de intermediación deberían conocer el alcance y límites del mismo. Este precepto indica que sólo se puede hacer responsable al prestador de servicios de intermediación, de los contenidos o expresiones ilícitos vertidos por otras personas en su página Web, sin participación directa del prestador de estos servicios, cuando tenga conocimiento efectivo de la ilicitud de la actividad o información. Más adelante se encarga de delimitar qué se entiende por conocimiento efectivo indicando que será “Cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución”. Por lo tanto una interpretación restrictiva del artículo conllevaría que primero debe existir un juicio previo por la autoridad competente en el que se debe declarar la ilicitud de la acción o expresión, posteriormente una comunicación al titular de la Web, en la que se le indique la existencia de la resolución condenatoria, y se le invite a retirar el contenido por vulneración de los derechos. Sólo si tras esta comunicación e invitación el Webmaster no retirase el contenido se le podría hacer responsable.

Sin embargo este mismo artículo deja una puerta abierta para que el prestador de servicios de intermediación pueda aportar sus propios procedimientos de control, que en cualquier caso califica de voluntarios. Además se articula lo que considero un “cajón de sastre” en el que se pueden incluir cualquier otro tipo de conocimiento cuando indica  “otros medios de conocimiento efectivo que pudieran establecerse”.

Los Tribunales están dictando Sentencias donde se interpreta tal principio. El Tribunal Supremo, recurriendo para su interpretación a la Directiva de Comercio Electrónico, en Sentencias STS 773/2009, Sala de lo Civil, de 9 de diciembre de 2009, STS 316/2010, Sala de lo Civil, de 18 de Mayo de 2010, y STS 72/2011, Sala de lo Civil, de 10 de febrero de 2011 (caso Ramoncín), indica que “el artículo 16 permite esa interpretación favorable a la Directiva –al dejar a salvo la posibilidad de “otros medios de conocimiento efectivo que pudieran establecerse”–, no cabe prescindir de que la misma atribuye igual valor que al “conocimiento efectivo” a aquel que se obtiene por el prestador del servicio a partir de hechos o circunstancias aptos para posibilitar, aunque mediatamente o por inferencias lógicas al alcance de cualquiera, una efectiva aprehensión de la realidad de que se trate.”

En la Sentencia dictada en el supuesto de Ramoncín se condena a los prestadores de servicios de intermediación por las expresiones vertidas por terceros en su página Web, con fundamento en el art. 16 de la LSSICE, en relación con el artículo 10 de la misma Ley, y ello porque el Webmaster incumplió con la obligación legal de publicar, de forma permanente, fácil, directa y gratuita las informaciones que el mencionado artículo indica, informaciones que permitirían que el tercero afectado pudiera comunicar al responsable de la Web sobre cualquier información que pudiera resultarle perjudicial.

Se indica que el Webmaster tiene una obligación in vigilando sobre los contenidos publicados en su página web, convirtiendo a éste en Juez ante las expresiones que cualquier persona pudiera incluir. Si el administrador tuviese al menos la mera sospecha de que un contenido pudiera vulnerar cualquier derecho de un tercero debería por sí mismo retirar tal contenido en previsión de que el mismo pudiera efectivamente contravenir el derecho. Se pretende que el Webmaster actúe como un inquisidor o censor de las expresiones que se incluyen en las páginas de los que son titulares. Si leemos detenidamente el art. 16 de la mencionada Ley parece desprenderse que el espíritu del mismo no es el que los Juzgados y Tribunales parecen interpretar.

Pero no olvidemos que el administrador de una Web no es un Juez, no tiene porqué conocer pormenorizadamente el derecho, y en cualquier caso para eso están los Juzgados y Tribunales, para velar por el cumplimiento de estos derechos. Imaginemos que se nos condenase a cualquier particular porque en el muro de nuestra vivienda alguien escribiese un “Te quiero Ana” y la tal Ana o su novio se sintiesen ofendidos.

En conclusión, a través de Juzgados y Tribunales se está delimitando el concepto de conocimiento efectivo, y restringiendo la libertad de expresión de los internautas, convirtiendo a los titulares de los servicios de intermediación en censores de las expresiones que se vierten en sus Webs, y convirtiéndolos en responsables de las mismas. Esto obliga a llevar un control exhaustivo de las páginas Web, que puede convertirse en una tarea muy difícil, por no decir imposible, en el caso de medios de gran afluencia de público. Es cierto que no es de recibo que cualquier persona pueda “campar a sus anchas” e infringir los derechos de un tercero. Se debería articular un medio rápido y efectivo para que la labor de vigilancia no se convierta en una labor de reprobación por parte del Webmaster. Esto es en definitiva lo que se pretende hacer con la Ley Sinde en el caso de los Derechos de Autor.

Áudea Seguridad de la Información

Aurelio J. Martínez Ferre

Departamento legal

www.audea.com

Los agentes de la Policía Nacional investigaron las cuentas beneficiarias  e identificaron a la titular, que ahora se haya detenida, una madrileña de 45 años con residencia en Navarra. También se han identificado otras víctimas de la misma estafadora.

Este delito es conceptuado como phishing, y consiste en el envío de  correos spam, donde captan a  personas que quieren ganar dinero desde su casa utilizando sus cuentas bancarias. Estos spam ofrecen un tanto por ciento o sueldo mensual, explicando el novedoso  método para abaratar las transferencias internacionales procedentes de envíos a ONG, transportes…

En el correo se encuentra un formulario donde piden datos personales y número de cuenta, y por otro lado encontramos direcciones de correo donde remitir nuestros datos y para realizar consultas.

Esas direcciones de correo cuelgan de dominios a nombre de las supuestas empresas mercantiles, y para dar credibilidad crean webs sencillas pero de apariencia legal.

Una vez tienen los contactos realizan lo que propiamente conocemos como phishing: se envían correos masivos en nombre de entidades bancarias, consiguiendo a través del engaño a que el supuesto estafado abra una ventana con apariencia de la entidad financiera y le reclaman sus datos de acceso.

Ésta ha sido la manera de actuar de la que ha sido detenida por estafa y blanqueo de capital. 

Áudea Seguridad de la Información

Departamento de Marketing y comunicación

www.audea.com

fuente: PortalTic

Esto sucede tras haber sido desmentida por ambos grupos la supuesta guerra entre los dos, y qué mejor forma de demostrarlo que unir sus competencias en la mencionada operación.

Por parte de LULZSEC se ha emitido un comunicado en términos navales en el que se dice que la “flotilla” de LULZSEC ha unido sus “naves” a las de ANONYMOUS, con el fin de maximizar la capacidad de la operación Anti-Sec.

El objetivo principal de la operación es la “desclasificación” de documentación clasificada por los gobiernos, entendiendo “desclasificación” como el robo o filtración de dicha información.

Los organizadores de la operación animan a los participantes a incluir la palabra Anti-Sec en los sitios web gubernamentales y de los bancos, e incluso a que realicen pintadas en los edificios de tales instituciones.

Parece que se avecina una nueva oleada de ataques que pondrán a prueba una vez más la Seguridad de la Información de varias instituciones y organismos a nivel mundial.

Áudea Seguridad de la Información

Departamento de Gestión

Manuel Díaz

www.audea.com

Ahora ha conseguido avanzar en este campo, y necesita conseguir acabar con este problema para seguir siendo uno de los líderes mundiales del correo gratuito.

En estos últimos meses Microsoft ha creado varias herramientas para mejorar el servicio y que ayuden a proteger nuestras bandejas de entrada de correos basura.

La primera no es más que un “botón” para avisar a Hotmail de que tu cuenta está recibiendo spam, incluso puedes avisar si un contacto tuyo está infectado y está mandándolos desde su cuenta.

La segunda corresponde al programa de detección de comportamientos extraños, que aun ya existente y muy funcional, le han añadido “otro botón” que tiene como finalidad averiguar si efectivamente la cuenta ha sido tomada por algún hacker.

Y la que consideramos más importante, Microsoft ha generado un sistema para detectar contraseñas sencillas, con la finalidad de que los usuarios eviten su uso y conseguir que Hotmail sea un sistema de correos más seguro.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: siliconnews.es