by Editor | Apr 20, 2012 | Uncategorized
Los ataques en 2011 por parte de hackers y activistas a los sitios web y redes de diversas organizaciones como Sony, Citibank, Apple, FMI y el Pentágono donde fueron vulnerados sus sistemas seguridad informática aun con la inversión de estas organizaciones.
Vadin Corrales, de sistemas ingenierías de Fortinet, detalla que la seguridad es un conjunto de sistemas, procesos, procedimientos, técnicas, actualizaciones y políticas. Si alguno de éstos falla o deja de mantenerse o actualizarse, la red se hará vulnerable. Por lo tanto cualquiera que tenga un tiempo podrá tomar control de alguna vulnerabilidad que pueda encontrar en una red.
Según el experto de Fortinet esto es precisamente lo que sucedió con estas empresas: alguien encontró una falla a nivel de hardware o software. Sacó provecho y ganó acceso a la red, donde pudo tener la oportunidad de perpetrar el ataque, en algunos casos sucedidos en 2011 sacaron información confidencial y en otros solo ingresaron para obtenera la satisfacción de hacer pasar un mal rato ala empresa en cuestión.
Vadin sostiene que la seguridad es un conjunto de muchas cosas, entre ellas los equipos a nivel de perímetro y físico. Por ejemplo el Firewall Perimetral (UTM), Antivirus, IDS/IPS, DLP, Application Control y VPNs, entre otros .
Menciona también que se incluye el software que va en los equipos, así como las actualizaciones de sistema operativos y de servicios (firmas de IPS, AV, vulnerabilidades, etc), así como el factor humano.
“Todos estos componentes deben funcionar a la vez, si uno falla, es probable que alguien esté esperando para tomar control de la red a través de este descuido” enfatiza.
Una empresa puede tener el mejor Firewall (UTM) pero si no tiene las actualizaciones de servicios, es casi como si no tuviera nada incluso alardear de contar con el mejor sistema operativo pero si no hay informes de pruebas de vulnerabilidades que indiquen que parches deben aplicarles o que firmas de IPS/AV deben activarse mientras se hace la actualización, los sistemas seguirán teniendo “fallas”, algo de lo cual pueden aprovecharse los atacantes.
El ingeniero de Fortinet afirma que lo mismo sucede con las personas, si existe toda una infraestructura lógica y física de seguridad, pero no hay una política interna de utilización y acceso a la red, de comportamiento y uso de recursos; se corre el riesgo que las personas harán que todo lo bueno de los equipos y la infraestructura falle al final.
Las aplicaciones , mecanismo más recientes que pueden poner en práctica las organizaciones para el resguardo de la información en particular en Endpoint, Cloud Computing, servidores de archivos compartidos y bases de datos son diversas así como los controles de seguridad se pueden aplicar.
Para todo los tipos de organizaciones es importante tomar en cuenta que las amenazas en algunos casos han cambiado o evolucionado pero que no olviden que las clásicas siguen existiendo por ejemplo SQL Injection o Cross site Scripting.
Es necesario considerar los componentes y las características de seguridad que se adecuen a la necesidad de las empresas. Pero para Vadin los puntos principales serían:
- UTM (Unified Threat Management) que incluyen soluciones como Firewall, IPS, Application control, antivirus, VPN, Web Filter, DLP y Administración de Vulnerabilidades, como mínimo.
- Si la red tiene partes inalámbricas la solución debe incluir un controlador de Wireless para extender la seguridad que se mantiene en la red tradicional de cable a la red inalámbrica, pero sin perder ninguna de las características de la primera. Este dispositivo debe tener una comunicación permanente y dedicada con los controles de Endpoint para que no haya posibilidad de que una amenaza interna o externa en el caso de los que acceden a la red a través de VPN) pueda afectarla. Estos dispositivos pueden incluso asegurar las redes de sistemas virtualizados donde se puede dividir la responsabilidad entre un UTM de perímetro y un UTM Virtual para los servidores basados en esta tecnología.
- En cuanto a las bases de datos es importante saber lo que se está haciendo, cómo lo están haciendo y quién lo está haciendo, ya que muchas veces solo el administrador tiene control de lo que sucede en los sistemas, y a veces solo lo sabe quien le da mantenimiento y no quien la administra. Un componente de administración de vulnerabilidades permite saber cuales son las vulnerabilidades de las bases de datos y qué hacer para solventarlas.
- Si la organización posee aplicaciones Web, es vital tener un componente que sea capaz de actualizar firmas de ataques, entender la estructura de la aplicación (sin necesidad de ser un experto), que pueda revertir automáticamente cualquier cambio al sitio principal de la compañía sin intervención, tenga capacidad de SSL offloading, balanceo e incluya un componente de administración de vulnerabilidades especializado en aplicaciones Web, con lo cual se completaría un esquema de red seguro para cualquier organización .
El experto de Fortinet concluye que estos componentes de seguridad sumados a una política interna de control, comportamiento y utilización de recursos, hará que cualquier red, incluyendo aquellas que están disponible en la nube, puedan mantener alejados, lo más posible, a aquellos que buscan una oportunidad de penetrar y ganar control de la información protegida.
Sígue nuestras actualizaciones.
by Editor | Apr 19, 2012 | Uncategorized
La vulnerabilidad en la mayoría de ataques perpetrados en 2011 a organizaciones privadas y de gobierno a nivel mundial ha radicado en que las empresas consideraron sólo la seguridad perimetral pero descuidaron la seguridad lógica y la seguridad física , según la ingeniera Rosario Ortiz, profesora de la cátedra de Seguridad Informática de la Universidad de El Salvador.
Enero
1. Anonymous ataca sitios web del gobierno tunecino.
2. Anonymous arremete contra sitios web del partido irlandés Fine Gael.
3. Anonymous tumba la web del Senado español.
4. Goatse Security se apropia y publica información de 120.000 usuarios de AT&T en los iPad de Apple.
Febrero
5. Anonymous usa DDoS para atacar a portales gubernamentales egipcios.
6. Anonymous agrede al contratista de seguridad HBGary.
7. Hacker chinos roban información de siete compañías petrolíferas.
8. Violan seguridad de servidores del gobierno canadiense desde China.
9. ‘The Jester’ tumba los sitios de la secta Westboro Baptist.
10. Anonymous ataca Koch Industries.
Marzo
11. Desconocidos infectan malware en terminales de Android.
12. Desconocidos estafan a Microsoft 1,2 millones de dólares generando el algoritmo de los MS Points.
13. Anonymous ataca a Bank of America.
14. Ministerio francés sufre un ciber ataque.
15. La firma de seguridad RSA Security es atacada.
16. Los programas de la NASA recibieron trece ataques de hackers.
Abril
17. Atacan a Epsilon Data Management LLC con lo cual se revelan datos de usuarios de US Bank; TiVo, Inc. (TIVO); JPMorgan Chase & Co. (JPM); Verizon Communications, Inc. (VZ); Capital One Financial Corp. (COF); Marriott International, Inc. (MAR); the Ritz-Carlton Hotel Company LLC; Citigroup, Inc. (C); Brookstone, Inc.; McKinsey & Co., Inc.; the Kroger Comp. (KR); Walgreen Comp. (WAG); India’s Jet Airways (BOM:632617); Kraft Foods Inc. (KFT); Best Buy Co., Inc. (BBY); Robert Half International Inc. (RHI); and Ameriprise Financial, Inc. (AMP).
18. bancos y cooperativas de crédito en la parte noreste de Ohio sufren ataques causados por la interceptación de CVV2 códigos de las tarjetas de seguridad y un esquema de phishing.
19. PlayStation Network de Sony es atacada.
20. Hackers violan la seguridad de Estados Unidos.
21. Irán sufre un segundo ataque cibernético.
22. Petrobras de Brasil experimenta un ciber ataque perpetrado por LulzecBrazil.
23. LulzecBrazil ataca a sitio Web del ejército de Brasil.
24. LulzecBrazil atenta contra sitios en Internet de cuatro ministerios de Brasil.
Mayo
25. La seguridad de las bases de datos de SOE es violada.
26. El sitio de Sony es atacado por medio del buscador de Google Search.
27. El programa Factor X de la cadena FOX es agredido por LulzSec.
28. LulzSec entra al sitio Web de la cadena televisiva FOX.
29. LulzSec entra a las bases de datos de ATM en el Reino Unido.
30. Apple Inc. anuncian que computadoras fueron infectadas con un troyano.
31. Grupos desconocidos roban 1.220 dólares en moneda virtual de 128 cuentas de Sony de propiedad del proveedor de servicios Internet (ISP).
32. El Hacker “k4L0ng666″ desfigura sitio web de Sony Music de Indonesia por medio de inyección SQL.
33. Hacker “b4d_vipera” daña 8.500 registros de la página web de Sony BMG Grecia, a través de inyección SQL.
34. LulzSec divulga contenido de sitios web de la japonesa de Sony a través de un ataque de inyección SQL.
35. Sony Canadá pierde 2000 registros en un ataque de inyección SQL perpetrado por grupo de hackers Idahc libanés.
36. PBS (Public Broadcasting Service) es atacado por LulzSec después de mirar la cobertura mediática de Wikileaks. Los Hackers divulgaron nuevas historias, desfazaron la página y causaron estragos en los servidores.
37. La información robada de RSA es usada para penetrar a los servidores de Lockheed Martin Corp. (LMT) se sospecha de una conexión china.
Junio
38. El sitio web de Sony Pictures es atacado por Lulz Security.
39. Desconocidos atacan a BMG en Holanda y Bélgica con inyección SQL.
40. Infragard y el FBI es atacado por LulzSec.
41. Anonymous ataca servidores en Yemen.
42. El sitio web de Sony Pictures es atacado por Lulz Security.
43. LulzSec consigue entrar a la web de la firma de seguridad Black & Berg Cybersecurity Consulting.
44. Anonymous ataca servidores oficiales en Turquía.
45. Desconocidos atacan al Fondo Monetario Internacional (FMI).
46. Un grupo denominado “Anonymous India” ataca la web del ejército indio.
47. Anonymous tumban la web de la Policía Nacional española.
48. LulzSec entra a equipos del desarrollador de videojuegos Bethesda Softworks .
49. LulzSec entra a algunos servidores del senado estadounidense.
50. LulzSec arremete contra servidores de la revista The Escapist.
51. LulzSec entra a los servidores del contratista de software Finfisher.
52. LulzSec irrumpe a los servidores de EVE Online.
53. LulzSec ataca servidores de Minecraft.
54. LulzSec penetra en los servidores de League of Legends.
55. LulzSec vulnera la seguridad del sitio de la CIA.
56. Hackers de LulzSec atacan a proveedor de TI del Pentágono
57. El sitio Web del diario hondureño El Libertador fue atacado.
58. La página de Internet de la Superintendencia de Administración Tributaria (SAT) de Guatemala.
Julio
60. Antisec en su campaña de pirateo ataca a la página web de Apple.
Agosto
61. Sitios web de Guatemala sufrieron un ataque coordinado por un grupo de hackers.
Septiembre
62. Gran ataque hacker de Anonymous a Facebook.
63. La Registraduría Nacional del Estado Civil de Colombia confirmó el primer ataque de ‘hackers’ al sitio web de la entidad.
64. Atacan sitios en Nicaragua de fundación “Hagamos Democracia”, Hotel Holiday Inn y la empresa de zonas franca de Granada, Kaltexargus.
Octubre
65. Obtienen acceso e información de 90.000 cuentas privadas de correos electrónicos de políticos, celebridades y periodistas, así como de 57 sitios web hackeados donde incursionaron en 200.000 cuentas de usuarios.
Noviembre
66. Atacan a siete sitios oficiales de El Salvador entre los que si incluye Casa Presidencial, los ministerios de Economía y de Seguridad y la Asamblea Legislativa.
67. Ataque hacker de Anonymous a Facebook.
Sígue nuestras actualizaciones.
by Editor | Apr 19, 2012 | IT
Los hackers traspasaron en 2011 las fronteras de seguridad informática de prestigiosas empresas e instituciones de Gobierno que pregonaban con orgullo sus sistemas que en teoría eran impenetrables y difíciles de burlar. Sin embargo, la realidad mostró una rostro diferente, hasta noviembre se habían perpetrado 67 ataques.
Una vez los hacker adentro de los sitios Web y redes han hecho los que les plació. S in embargo, aún con las puertas abiertas los ataques hubieran sido de mayores proporciones y heredado múltiples dolores de cabeza a las organizaciones si los hackers si lo hubieran propuesto.
Los representantes de las empresas han tenido que agachar la cabeza y aceptar las fallas en sus sistemas de seguridad, en el grupo de organizaciones que fueron violados sus sistemas de seguridad han desfilado de todos los tipos y rubros.
Las hay desde las famosas por el entretenimiento como Sony hasta las que en teoría tendrían los estándares de seguridad más altos como el Pentágono, la CIA, el Ministerio de Defensa de Estados Unidos y la firma de seguridad Black & Berg Cybersecurity Consulting, incluso este último había dispuesto un premio de 10 mil dólares a quién lograra atacar su “infranqueable” Web.
Según la ingeniera Rosario Ortiz, profesora de la cátedra de Seguridad Informática de la Universidad de El Salvador, aún con las medidas implementadas para resguardar los datos el error ha estado en violaciones a la seguridad perimetral y en menor medida la seguridad lógica y la seguridad física.
En los ataques se han utilizado técnicas sofisticadas que jamás, por lo visto, pasaron por la cabeza de los encargados de la seguridad de la información de las organizaciones. Por ejemplo, para el ataque a la red de Play Station de Sony alquilaron servicios en la nube desde Amazon. Un servidor estaba comprometido para tomar esta información y enviarla.
Entre los tipos de ataques sufridos por las empresas e instituciones de Gobierno figuran DDoS, inyección SQL, red de bots, spear phising, generación de algoritmo de los MS Points y técnicas de ingeniería social, entre otros.
Sígue nuestras actualizaciones.
by Editor | Feb 22, 2012 | Press releases news
El PS Vita será presentado de forma oficial a tempranas horas del 22 de febrero en El Salvador. País donde Sony ha anunciado que es una edición limitada para Latinoamérica.
La consola móvil que tendrá su exhibición por primera en Sony Center del centro comercial Galerías tiene un precio de 489 dólares estadounidenses. Trae un estuche, un juego y una memoria de 4 gigabyte.
El PS Vita cuenta con una pantalla OLED de cinco pulgadas que es multi táctil con PAD posterior, sensor de movimiento, micrófono, función Wifi, dos cámaras: una frontal y otra trasera.
También permite la interacción con el Sony Play Station 3 y jugar con otros jugadores gracias a la opción de multi jugador. El dispositivo electrónico también se puede navegar por Internet. Más características puede verlas en el sitio Web de Sony Play Station.
Sin embargo, el precio es superior a como se comercializa el aparato en Estados Unidos y Japón. Este valor solo es superado en la Unión Europea.
En el viejo continente los precios para las dos versiones del dispositivo son los siguientes: para el PS Vita Wifi el costo es de 246 euros cuando en Estados Unidos y Japón es de 249 dólares; y en el caso del PS Vita 3G, el valor acordado es de 299 euros mientras que en Japón desde diciembre se comercializa a 299 dólares. Precio que muchos consideran exagerado.
Entre las críticas al aparato hay que sumarle las especulaciones en torno a la duración de la carga de la batería, los comentarios en contra del nuevo aparato relucen en la Fan Page de Sony Play Station en Facebook, donde los seguidores de la empresa han mostrado su descontento incluso publicado con lenguaje soez.
Sony ha salido al paso de los comentarios negativos con respecto a la cantidad de tiempo que durará la batería, la empresa japonesa emitió un comunicado en el cual notificaban que la batería durará entre 4 y 5 horas mientras que para cargarla el usuario tendrá que esperar alrededor de 2 horas con cuarenta minutos.
Pese a las críticas, las expectativas de los desarrolladores de juegos y los mismos creadores del dispositivo se acrecientan, según informes publicados en la página de Sony Play Station.
“Quiero ver cómo la gente va a reaccionar a los nuevas maneras de jugar que trae PS Vita, como la pantalla táctil, las características de Realidad Aumentada y títulos AAA en un dispositivo portátil con una interfaz de juego real. Además, estoy interesado en ver cómo los desarrolladores toman la ventaja del potencial de PS Vita”, afirmó Shuhei Yoshida, presidente de SCE Worldwide Studios.
“Estoy muy entusiasmado con el lanzamiento de PS Vita. Es un gran dispositivo y hay un montón de juegos que no puedo esperar para tener en mis manos”, finaliza Simon Bursey, director de arte en Bigbig Studio.
Sígue nuestras actualizaciones.
by Editor | Feb 4, 2012 | Press releases news
El anuncio hecho en diciembre pasado por el Banco Central de Reserva de El Salvador (BCR) y la Superintendencia del Sistema Financiero de trabajar en los próximos meses en la creación de una legislación que regule los servicios de banca móvil son el reflejo de que el Gobierno tiene en la mira este rubro.
El presidente del BCR, Carlos Acevedo, ha afirmado que el interés, además de crear un marco regulatorio, es acercar el sistema financiero a los lugares remotos de El Salvador para “democratizarlo”.
Según los expertos, la banco móvil tendrá un crecimiento importante en los próximos años, los números así lo revelan, por ejemplo la penetración del 77% que tiene la telefonía móvil en El Salvador echan a volar la imaginación acerca de cómo este servicio podría colocarse en los primeros lugares de consumo para los salvadoreños. Sin importar, que sea un teléfono celular inteligente o no el ciudadano común podrá pagar cualquier cosa en cuestión de minutos, media vez cuente con los fondos.
Se podría decir que los celulares son parte de los objeto de deseo de los salvadoreños, las estadísticas lo reflejan, en los primeros diez meses de 2011, la importación de celulares ascendió a los $94.2 millones, según datos del BCR.
Basta con ir a un centro comercial para ver como los ciudadanos compran en los pequeños quioscos “saldo” para hablar o cómo las personas lo solicitan en las pequeñas tiendas o pulperías, donde se podría pensar que la demanda de este insumo está al mismo nivel que la solicitud de productos de la canasta básica.
Basta con ir a un centro comercial para ver como los ciudadanos compran en los pequeños quioscos “saldo” para hablar o cómo las personas lo solicitan en las pequeñas tiendas o pulperías, donde se podría pensar que la demanda de este insumo está al mismo nivel que la solicitud de productos de la canasta básica.
Con esos números como alicientes, empresa importantes han comenzado a poner sus ojos en El Salvador para aprovechar ese nicho de mercado, la llegada de ProAxis gracias a una alianza con el Grupo Consisa firmada el pasado 31 de enero para brindar servicios de banca móvil a la población delata que el sector se prepara para comenzar una marcha que puede convertirse en una carrera vertiginosa.
El Banco de América Central, la empresa Tigo ya pusieron un pie en la pista y ahora mismo ProAxis junto con Grupo Consisa se suman a la competición, sin embargo, el juez de pista todavía no aparece, habrá que esperar en los próximos meses si se deja ver para que comience a vigilar la carrera.
Sígue nuestras actualizaciones.
