Archive

Posts Tagged ‘seguridad’

Ojo con el WiFi Público

diciembre 14, 2010 Deja un comentario

Epoca navideña, epoca de viajes….

La tentación de conectarte a puntos publicos WiFi en aeropuertos y cafeterias esta en el aire.  Es ahora cuando debes hacer una pausa y verificar que, si usas Windows XP, tener el 100% de las actualizaciones de seguridad instaladas.

http://blogs.msdn.com/b/securitytipstalk/archive/2010/12/10/going-online-at-the-airport-avoid-free-public-wifi-rogue.aspx

Buen viaje!

ACS

Como reducir los asaltos express y vivir más seguro.

octubre 12, 2010 Deja un comentario

Los asaltos mediante secuestros express al igual que cualquier delito dependen exclusivamente del factor costo – beneficio para el perpetrador , es decir, la percepción de costo (en este caso riesgo) que tiene el asaltante respecto al beneficio que obtiene al cometer el delito.

En Bolivia, por diferentes factores ajenos a nuestro objetivo en la columna, el riesgo de ser apresado y sentenciado es menor comparativamente al “beneficio” (Cantidad de dinero) que se obtiene en un asalto de este tipo.

Si bien la recomendación de la policía de no portar tarjetas de débito reduce la cantidad de dinero que se puede obtener con un asalto, no es de ninguna manera una solución práctica para los clientes pues el uso de cajeros automáticos y puntos de venta se hace cada vez más necesario.

La solución real está en los límites que todo usuario puede poner al retiro máximo por día de un cajero automático. Tú puedes hacerlo, y todos los bancos en Bolivia te brindan la posibilidad de reducir este límite de retiro máximo diario a uno que se adecue a tus necesidades mínimas. De esta manera habrá reducido el factor “beneficio” (el tamaño del botín) de la ecuación y los asaltos de este tipo se verán mermados, y por consiguiente tu propia seguridad mejorará drásticamente.

ACS

(Articulo publicado en el Periodico ZonaSur, 1 Octubre, 2010)

Te espian a traves de tu celular

septiembre 30, 2010 Deja un comentario

Así es, tú puedes estar entre las ya muchas personas que tienen instalado un software espía en celulares tipo Smartphone (BlackBerry, Android, IPhone, WM, Symbian), pues se encuentran disponibles, piezas de software que al ser instalados en estos dispositivos pueden:
Registrar cada mensaje, incluido contenido, tipo SMS enviado o recibido, el 100% de las llamadas salientes y entrantes, los sitios web que visitaste desde tu teléfono. Y si lo tienes habilitado también puede informar de tu posición geográfica en todo momento.
Luego de que el software está instalado en el celular a espiar este grabará todas las actividades arriba citadas y luego enviará esta información de forma totalmente silenciosa a un sitio de Internet donde la persona que configuró el software podrá ver todos los detalles luego de colocar su usuario y password.
Si bien este software ha sido creado con la finalidad de controlar y evitar la fuga de información de empresas, está siendo utilizado ampliamente para fines menos “de negocio” pues tiene bastante éxito entre quienes espían a su conyugue o quienes quieren asegurarse que sus hijos solo usan el teléfono en horarios y para fines permitidos.
Como puedes evitar ser espiado con este software? y, tal vez aún más importante, como darte cuenta si ya lo eres? . Lo veremos en nuestra siguiente columna

Alvaro Cuadros

Vishing y Smishing

septiembre 7, 2010 Deja un comentario

Conceptos:

Vishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utiliza la voz (por ello la V de Voice en la palabra)

Smishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utilizan los mensajes cortos de texto vía celular SMS.

El modus operandi es el siguiente, el cliente de la entidad financiera (banco, mutual, cooperativa, etc), recibe una llamada (en el caso de vishing) o un mensaje de texto en su celular (en el caso de smishing), pidiendo se contacte a u numero especifico para regularizar los datos que se tienen registrados.

Si el cliente llama o mensajea al numero entregado con intenciones fraudulentas, una maquina contestadora, luego de identificarse como un servicio de voz o SMS,  le pedirá ingrese sus datos de acceso ya sea a banca por internet o banca móvil.

Listo, el delincuente tiene los datos con los que puede realizar transferencias entre cuentas y vaciar la cuenta del cliente.

Tendencias y enfoques de contención de ataques:

Lo complicado en este caso, es que algunos bancos, realmente utilizan contestadores que llaman para promociones, o envían SMS’s instándote a llamar para algún tema (en un intento precisamente de evitar el pishing).

En todo caso, las recomendaciones son las habituales para este tipo de cosas:

  • Desconfía en todo caso si en el correo te piden alguna información, o si el mensaje no es claro.
  • Colgemos y llamemos nosotros. Utilizar siempre números de teléfono de nuestra confianza, los habituales en nuestra relación con la compañía. Si el banco dispone de un teléfono de atención, llamemos nosotros siempre a ese número y confirmemos la llamada recibida. En la web del banco o de la compañía (por supuesto, la web que conocemos, no la que ponga el correo) suele aparecer un número de teléfono de atención al cliente.

En estos casos la educación del cliente sigue siendo el mejor remedio. Sin embargo nuestra responsabilidad como profesionales de seguridad esta en la adecuada protección de las bases de datos de clientes, pues estos ataques son mucho menos efectivos si son genéricos.

Alvaro Cuadros

Certified Information Systems  Security Professional

5 consejos para evitar la clonación de tarjetas (Skimming)

septiembre 3, 2010 Deja un comentario

1. Definir estándares para toda terminal

Incluya siempre estándares visuales en los ATMs y terminales de punto de venta (POS), y mantenga los mismos en todas las sucursales. Tome fotografias del equipo, por dentro y fuera. Muestre a todos los empleados como deben verse los equipos que no han sido violados, de tal manera que cuando se examine un ATM o POS sea para el empleado una tarea muy fácil y rápida el detectar problemas.

2. Use un enfoque de seguridad por capas.

Los bancos deben instalar una serie de capas de seguridad para proteger la información de las tarjetas, si esta debe ser almacenada esta debe estar encriptada, tanto en su almacenamiento como en transito. Una segmentación adecuada de la red también ayuda de manera importante en la reducción del riesgo.

3. Responda RÁPIDAMENTE a incidentes de skimming

El skimming en ATMs es cada vez mas comun en Bolivia, por lo que los bancos deben estar listos para enfrentar este delito. En primer lugar los bancos deben diseñar esquemas de respuesta ante incidentes para reaccionar rapidamente. Estos esquemas deben incluir desde los contactos que deben tomar acciones al respecto, hasta las tareas especificas que deben realizarse. Si se encuentra un dispositivo de skimming TODOS los emplados deben saber que hacer y como reaccionar, Educar a lso empleados de agencias y sucursales es fundamental.

Asegurese que lso empleados monitoreen los ATMs en busca de dispositivos o residuos de estos. Usualmente encontraran al menos la goma que fue utilizada en la boca del tarjetero.

4. Use CCTV

En Bolivia el uso de camaras es un requerimiento de la Autoridad de Supervision (ASFI), sin embargo, la tarea para el personal de seguridad no termina en la instalacion de estos equipos. Debe asegurarse en todo momento la calidad de las imagenes asi como el resguardo adecuado de los respaldos de las imagenes que estas camaras entregan.

5. Asegurese de cumplir con el estandar PCI.

Lea el estandar en detalle, y asegurese que su institución cumpla con el mismo en su totalidad. Ahorrara mas dinero y tiempo del que invierte en lograrlo.

Saludos,

Alvaro Cuadros
Certified Information Security Professional