Todos sabemos que nuestras actividades digitales son monitoreadas continuamente. Pero no tomamos en cuenta la cantidad de información que brindamos cada vez que navegamos un sitio. Ahora, a través de Clickclickclick.click podemos verlo en tiempo real.
El sitio Clickclickclick.click revela los eventos del navegador utilizados para monitorizar nuestro comportamiento online. A través de big data las empresas pueden elaborar perfiles en línea que les sirven para guardar, y predecir el comportamiento de usuarios o grupos de usuarios.
Mark Zuckerberg, creador y presidente de Facebook reconoció hoy que su red social fue hackeada y que la seguridad de más de 50 millones de usuarios fue vulnerada.
“Se trata de un tema de seguridad muy grave. La compañía se lo está tomando muy en serio”, remarcó Zuckerberg en una entrevista en la televisión norteamericana. “Nos enfrentamos a ataques constantemente de gente que quiere hacerse con el control de cuentas ajenas alrededor del mundo”, escribió el CEO de la red social en un post.
Además dijo que habían descubierto la falla de seguridad la semana pasada pero la habían mantenido en secreto hasta hoy.
Según Facebook, el ataque se efectuó a través de una vulnerabilidad de Día Cero (un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto) en la función de “Ver como” en los perfiles. Los atacantes robaron “tokens” secretas de acceso, una pieza de software que autentica a los usuarios, y así lograron tener acceso. Según fuentes especializadas, la vulnerabilidad ya fue corregida. La empresa dijo que primero “reparó la vulnerabilidad”, y luego reportó el caso “a las autoridades”.
Generalmente los videos que las aerolíneas aéreas suelen ser aburridos y los pasajeros no prestan atención a los consejos.
Sin embargo, esta aerolínea de Nueva Zelanda, creó uno que no solo llamó la atención a los viajeros sino que se viralizó en Internet.
Generalmente los videos que las aerolíneas aéreas suelen ser aburridos y los pasajeros no prestan atención a los consejos.
Sin embargo, esta aerolínea de Nueva Zelanda, creó uno que no solo llamó la atención a los viajeros sino que se viralizó en Internet.
El Gobierno Argentino, mediante la gestión del Secretario de Seguridad Sergio Berni, ha retomado algunas de las prácticas más deleznable de gobiernos antidemocráticos. Buscando desarmar la protesta social de los trabajadores de Lear, estas fuerzas de seguridad infiltraron a los manifestantes y armaron una causa por lesiones a uno de ellos. Sin embargo, un video que gracias a las redes sociales recorrió las computadoras y teléfonos de los argentinos, desenmascaró estás prácticas y puso en aprietos a los responsables.
Reflejando lo que pasa en nuestro país, Shitty Games, creó un juego llamado “Gendarmer: Prevención y Represión”. “Los procedimientos que realizará a continuación son estrategias legales, utilizadas por la Gendarmería Nacional Argentina de acuerdo a la ley y en cumplimiento de los procedimientos estipulados para los cortes de ruta y acceso a los centros urbanos“
La dinámica es simple. Con un click lanzamos a nuestro gendarme, el Coronel Juan Alberto López Torales contra los parabrisas de un auto, que una vez detenido será abordado por el resto de los gendarmes. Al finalizar la partida el Secretario de Seguridad Sergio Berni nos felicitará informando cuántos manifestantes hemos detenido.
Según la revista Alemana Der Spiegella agencia de seguridad norteamericana NSA sería capaz desde el 2008 de hackear el Iphone mediante el uso de varias herramientas desarrolladas para tareas de espionaje.
Una de esas “herramientas” particularmente interesante, cuyo nombre en código es “DROPOUTJEEP,” es un troyano que se utilizó primero para comprometer el iPhone de primera generación y fue capaz de enviar varios datos almacenados en el teléfono a la agencia, incluyendo mensajes de texto, contactos de la libreta de direcciones, geolocalización y correo de voz . Además, el software puede activar el micrófono del iPhone, encender la cámara y tomar fotos y recuperar la ubicación del teléfono mediante la información de la antena del operador de telefonía móvil.
Todas las comunicaciones entre los Iphone y la NSA serían “encubiertas y encriptadas” lo que significa que el objetivo a investigar probablemente no tendría idea de lo que está pasando. De acuerdo con el documento obtenido por Der Spiegel ” el control y la extracción de datos ocurrirían sobre la mensajería SMS o una conexión de datos GPRS.” Los documentos presentados por la publicación no especifican si siguientes modelos de iPhone fueron hackeados de manera similar por la agencia.
Sin embargo, los materiales filtrados muestran que la NSA tenía varios otros “productos” de espionaje relacionados que atacan a otros dispositivos inteligentes:
GOPHERSET – un implante para tarjetas GSM SIM para obtener los datos de la agenda, los SMS y los archivos de las llamadas entrantes y salientes de registro.
MONKEYCALENDAR – software de ataque que fuerza una tarjeta SIM para transmitir los datos de geolocalización a través de mensajes SMS encubiertos
TOTECHASER – un implante escondido en un teléfono vía satélite con Windows CE que transmite datos a través de mensajes SMS ocultos
TOTEGHOSTLY – un implante que permite el control remoto total en los teléfonos Windows Mobile ofreciendo capacidades de descarga de datos y de carga
PICASSO- Teléfonos GSM modificados que recogen datos de usuario, datos de audio, y también hace un seguimiento de la ubicación del teléfono –
Una imagen del documento secreto que explica como funciona:
En una declaración de Apple a TechCrunchla empresa dice no tener conocimiento del programa de la NSA para hackear iPhones y niega que proporcionó a la agencia una puerta trasera en iOS. La empresa también se asegura comprometerse a tomar medidas adicionales para proteger la privacidad de sus usuarios.
Invitamos al experto en Seguridad Mariano del Río a explicarnos de que se trata la ley de Grooming. Aquí el artículo que escribió para Listao.
Con el crecimiento del uso de las nuevas tecnologías, los servicios de internet y los dispositivos móviles, cada día más cantidad de personas comienzan a vivir la experiencia del mundo 2.0.
Chicos que antes de saber leer y escribir saben utilizar algún dispositivo móvil, miran videos en youtube, juegan online y comienzan su primer experiencia individual en el “mundo virtual”.
Así como en la vida real existen peligros, en la vida virtual sucede lo mismo, por lo tanto así como protegemos a los chicos de los “peligros de la vida real”, debemos protegerlos de los “peligros de la vida virtual”.
Hoy es muy común ver pequeños chateando con sus amigos, o comunicados en forma virtual tanto con personas que conocen como con aquellas que “creen conocer”.
La masificación del acceso a internet, la posibilidad de contar con dispositivos móviles cada vez más económicos y el anonimato que en algunos casos puede generar la comunicación vía internet, hicieron del mundo 2.0 un lugar donde los ciberdelincuentes y/o pedófilos se sienten seguros. Esto pone en peligro a los más débiles que son los chicos.
Entonces, así como estamos atentos cuando los chicos están fuera de casa, debemos estarlo cuando mantienen una experiencia en el mundo 2.0, pues los peligros son muy similares. Desde nuestra propia casa el niño puede estar siendo manipulado, agredido, hostigado, persuadido hasta llegar a límites muy dolorosos. Un buen ejemplo es el que se ve en la película “Trust”, cuyo trailer pueden observar a continuación:
Existen distintos peligros en el mundo 2.0, lamentablemente a diario se conocen casos tanto de hostigamiento como de abusos, los primeros se encuadran en lo que se conoce como “Cyberbullying”, mientras que al segundo se lo conoce como “Grooming”.
El Cyberbullying consiste en una forma de hostigamiento, para lo cual las nuevas tecnologías son un potenciador del impacto negativo de la problemática, algo que si no se lo trata a tiempo puede tener un final trágico. A diferencia del Grooming donde siempre debe estar involucrado un adulto y cuyo objetivo principal es el acoso sexual, el Cyberbullying se puede dar también entre menores, aspecto que complica muchas veces el tratamiento adecuado o la aplicación de la ley. Conoce el caso de Amanda Todd.
Hoy en día en la Argentina ninguna de las prácticas mencionadas son consideradas un delito, aunque para el caso del Grooming existe un proyecto de ley que en Octubre de este año 2013, podría perder estado parlamentario.
Para evitarlo, se está llevando a cabo una campaña de apoyo y pedido de tratamiento a los legisladores para que sancionen la ley y se pueda atacar el problema con el acompañamiento del Estado. Para conocer la campaña, pueden acceder al sitio de “Argentina Cibersegura”, una ONG cuya función principal es concientizar en el buen uso de las tecnologías y el mundo 2.0, pueden conocer la propuesta y dejar tu firma aquí: https://www.argentinacibersegura.org/leygroomingya/
Cuando me preguntaron acerca de preparar un post sobre Seguridad para Organizaciones Sociales, se me vinieron a la mente muchas cosas, pero principalmente aquellas que harían a una Organización Social algo distinto de cualquier otra Organización. Quizás las diferencias más fuertes en relación a una Organización “comercial” es que en principio podría no tener los mismos recursos para proteger la información, además de que seguramente los riesgos serían muy distintos, a pesar de que todas las Organizaciones tienen riesgos distintos.
Cuando me preguntaron acerca de preparar un post sobre Seguridad para Organizaciones Sociales, se me vinieron a la mente muchas cosas, pero principalmente aquellas que harían a una Organización Social algo distinto de cualquier otra Organización. Quizás las diferencias más fuertes en relación a una Organización “comercial” es que en principio podría no tener los mismos recursos para proteger la información, además de que seguramente los riesgos serían muy distintos, a pesar de que todas las Organizaciones tienen riesgos distintos.
A su vez, algunas cosas podrían no ser tan distintas, por ejemplo:
● Todas las Organizaciones tienen un objetivo.
● Todas las Organizaciones tienen activos que deben proteger.
● Todas las Organizaciones están compuestas por personas.
● Todas las Organizaciones deben cumplir leyes y quizás regulaciones.
Teniendo en cuenta esto último entonces podríamos concluir que quizás las medidas de seguridad o controles que se implementan en las Organizaciones “comerciales” también podrían aplicar en las Organizaciones Sociales, con algunas salvedades o particularidades obviamente.
A continuación se enumeran algunas recomendaciones que podrían facilitar la tarea a aquellas Organizaciones que se hayan planteado como una necesidad proteger sus activos, siendo la información uno de ellos. La numeración no indica la importancia de los distintos puntos.
Catalogar los Activos (saber que tenemos)
Si bien puede verse como una tarea muy difícil se podrían en cierta forma catalogar los activos con los que cuenta la Organización y así poder identificarlos unívocamente, para luego relacionarlos con el tipo de información que interactúan. Esto podría facilitar la “valoración” de dicho activo.
Clasificar la Información (conocer su valor)
Una vez que tenemos los activos catalogados, es importante definir ciertos niveles para clasificar la información, dado que en las etapas siguientes se identificarán los riesgos y para ello será muy importante conocer qué información es más importante y así poder priorizar y cuantificar el esfuerzo (incluso económico) para su protección. Existen varias metodologías, pero más allá de imaginar algo complejo, se podría comenzar con una clasificación del tipo Público, Uso Interno, Confidencial o Sensible como para una primera clasificación.
Análisis de Riesgos
Una vez que “sabemos lo que tenemos” y “sabemos su valor” podemos proceder con el análisis de riesgos que permita identificar “qué cosas nos pueden pasar” y “que impacto nos generaría”. Con esta información se pueden tomar decisiones costo/beneficiosas y el uso de los recursos será más eficiente. Existen muchas metodologías de Análisis de Riesgos que pueden servir de guía, en este caso, como en el proceso de clasificación de información, no habría que generarse fantasmas que impidan avanzar con la tarea. Definir un alcance acotado e ir ampliándolo podría ser un punto interesante para que el equipo de trabajo se mantenga motivado y la Organización perciba cambios en forma rápida.
Todas estas actividades requieren del compromiso de todos los colaboradores en la Organización y el impulso de los líderes. También es importante tener en cuenta que no son procesos de única vez, sino que deberían ejecutarse en forma periódica en un todo de acuerdo con un proceso de mejora continua.
Para aquellos que prefieren obviar las cuestiones metodológicas y prefieren “ir al grano”, a continuación se describen una serie de medidas de seguridad que podrían considerarse la base que toda Organización debería tener:
Proteger la información de los Donantes (datos personales, medios de pago)
Para una Organización que se sustenta con las donaciones de las personas que aportan a la causa, toda la información relacionada con dichas personas es crucial para el cumplimiento de los objetivos. Más allá de esto, hoy en día existen una serie de requisitos legales y regulatorios que hacen que no sea una opción su protección. Incluso muchas de las recomendaciones dispuestas en este artículo también forman parte de lo establecido por el marco legal y/o regulatorio. Teniendo presente todo esto, es muy importante tener claro qué debemos cumplir como Organización para estar en compliance y no tener sorpresas desagradables, a su vez dicho conocimiento debe trasladarse a todos los colaboradores.
Protección contra código malicioso
Hoy en día todos los equipos informáticos deberían contar con una protección antivirus/spyware y demás variantes de código malicioso. Es importante mencionar que se debería controlar que dicha protección se encuentra activa y actualizada en todos los equipos. Evaluar la posibilidad de incluir dispositivos móviles.
Firewalls personales
Todos los equipos deberían contar con un firewall personal, de ser posible con una serie de reglas establecidas en forma centralizada, más allá de las cosas que el propio usuario pueda definir.
Listado de Software Aprobado
El software instalado en los equipos debería ser el que la Organización considera necesario para llevar a cabo las actividades y que por otro lado está dentro del proceso de gestión de vulnerabilidades. Este tipo de controles, en conjunto con aquellos que permitan identificar la instalación de software no autorizada, facilitan el cumplimiento de leyes relacionadas con la propiedad intelectual.
Actualizaciones de Seguridad
En relación con el “Listado de Software Aprobado” se encuentran las actividades que se deberían llevar a cabo para mantener todo el software actualizado, preferentemente en cuestiones relacionadas con parches de seguridad.
Compromiso de todos los colaboradores
No hay una estrategia de seguridad que sea exitosa si no se cuenta con el compromiso de todos los miembros del equipo. Para ello, desde lo más alto de la Organización se deben impulsar las iniciativas de seguridad y comprometer a todos los miembros para que cumplan los requisitos establecidos y a su vez colaboren en la protección. Los Programas de Concientización son un elemento importante para que los colabores tomen conciencia de los riesgos a los cuales se encuentra expuesta la información y como algunos hábitos que se modifiquen pueden mejorar notablemente el grado de exposición de los activos.
Documentar el conocimiento
Es muy importante que se documente el conocimiento de la Organización, y dicho conocimiento generalmente lo tienen las personas. Para ello sería muy bueno llevar a papel aquellas actividades críticas que podrían generar un impacto negativo en la Organización ante la ausencia de quiénes las ejecutan. Si bien esto muchas veces genera resistencia en las personas, sería bueno que en la Organización los colaboradores sean valiosos por lo que comparten y no por lo que ocultan.
Gestión Centralizada
Ir hacia un modelo de gestión centralizada sería la forma más eficiente de establecer los controles y/o medidas que se establezcan. Si bien en un principio podría verse como algo costoso, a mediano y largo plazo suele ser algo beneficioso el hecho de contar con herramientas de gestión centralizada.
Aprender de lo que nos sucede
Es fundamental que se mejoren las medidas y/o controles en base a las distintas situaciones que se presenten y que puedan considerarse incidentes de seguridad u oportunidades de mejora. El aprendizaje es lo que garantizará la mejora continua y a su vez permitirá mantener el riesgo en el nivel esperado por la Organización.
Los distintos puntos descriptos son sólo algunas recomendaciones de todas las cuestiones que podrían relizarse en materia de seguridad y que conforman las “mejores prácticas” o “prácticas habituales” en aquellas Organizaciones que gestionan la seguridad de la información. Sea cual sea la decisión que se tome, es importante tener en cuenta que no existen recetas mágias, que lo que a una Organización le sirve, puede no servirle a otra dado que como bien dijimos, todas las Organizaciones son distintas. Lo que sí debemos tener claro es que hoy en día no es una opción proteger la información, tanto porque el mercado lo requiere como también porque debemos cumplir leyes o regulaciones para poder existir. Es un buen momento para analizar como está nuestra Organización en este punto y comenzar a mejorar 🙂
The Hövding es una airbag para la cabeza. Hövding significa “jefe” en sueco.
The Hövding es una airbag para la cabeza. Hövding significa “jefe” en sueco.
Este casco de aire fue diseñado por los suecos Anna Haupt y Alstin Teresa como un proyecto de tesis universitaria. El collar Hövding contiene giroscopios y acelerómetros que supervisan constantemente sus movimientos, y sueltan el airbag escondido en tan sólo cuando su usuario en peligro.
Con este nuevo dispositivos, los ciclistas que no quieren arruinar su peinado o usar esos feos cascos pueden andar tranquilos por las tranquilas calles de ciudades como Buenos Aires. 🙂
Hace unas semanas, en la ciudad de Santiago de Chile, la empresa de seguridad ADT buscó concientizar a los propietarios de departamentos sobre el peligro que corrían sus hogares de alguna instrusión.
Hace unas semanas, en la ciudad de Santiago de Chile, la empresa de seguridad ADT buscó concientizar a los propietarios de departamentos sobre el peligro que corrían sus hogares de alguna instrusión.
Para ello, llevaron a cabo una campaña muy particular de marketing que consistía en pasar una especie de caja desplegable por debajo de la puerta, la cual una vez dentro del hogar se transformaba en un cubo. Miren ustedes mismos lo ingenioso de esta movida:
Scr.im es un página web que te permite proteger tu dirección de correo electrónico convirtiendola en un enlace corto y seguro que puede compartirse tranquilamente en la web, en Twitter, foros, Taringa, o en cualquier lugar sin temor que sea agregada a listas de Spam o sin revelar datos personales mejorando tu privacidad en Internet.