Las cámaras digitales, historía de un difícil paso hacia Internet

Irrumpieron hace una década con fuerza en el mercado de las nuevas tecnologías, pero se han ido desinflando con el paso del tiempo, de forma inexplicable no hicieron nada nuevo por evitar la caida de ventas de éstas, pero al fin se han decidido a dar el paso y reinventarse, hablamos de las cámaras digitales y su nueva característica social.

la fotografia en internet

El triunfo del mundo digital en la fotografía

 

Se las prometian muy felices los fabricantes de cámaras digitales cuando desbancaron de un plumazo a las tradicionales cámaras analógicas gracias a las novedades que incorporaban con respecto a estas: almacenamiento en memoria, pantalla para visualizar las fotos en tiempo real, zoom digital, etc..

Una vez consiguieron el liderazgo en el campo de la fotografía y una gran cuota en el mundo de las tecnologías, decidieron alimentar este nivel de ventas con la “lucha de los Megapixeles”, como ya sucediera con los Mhz en los ordenadores, todo el mundo quería tener cuantos más Megapixeles mejor, pero ese deseo pasó a mejor vida cuando la gente se dió cuenta de que no era realmente importante.

 

La era de las cámaras de los smartphones y sus telecomunicaciones

De repente aparecieron los smartphones, teléfonos móviles inteligentes con conexión a Internet, y por supuesto, con cámara integrada, la cual fue mejorando sus prestaciones, toda una revolución en el mundo de las telecomunicaciones. Para el usuario no experto, era más que suficiente para hacer sus fotos cotidianas la calidad de las cámaras de sus smartphones, además, gracias a su conexión a Internet, podían enviar sus fotos y vídeos fácilmente a sus seres queridos en cuestión de instantes. Además los sistemas operativos de los smartphones, conscientes de esto, añadieron opciones de compartir de forma inmediata las fotos realizadas con nuestros smartphones.

Con este panorama, parece que los fabricantes de cámaras digitales, se vieron resignados, y se enfocaron a fabricar cámaras para los usuarios profesionales, siendo conscientes de que su cuota de mercado se vió reducida drásticamente.

La resurrección de las cámaras digitales

Hasta que hace poco, a alguién se le encendió la bombilla y pensó, ¿por qué no llevar a nuestras cámaras toda la funcionalidad social de los smartphones en el campo de la fotografía? Y así ha sido, las cámaras digitales empiezan a integrar sistemas operativos capaces de permitir funcionalidades de compartición via Internet, de forma que, tenemos las mismas funcionalidades, con una calidad de imagen superior, ahora si, muchos usuarios no profesionales, empiezan a verle sentido al hecho de adquirir una cámara digital.

 la fotografia en internet 2

La pionera en este sentido fue Samsung, llevando las funcionalidades de sus smartphones a su nueva Samsung Galaxy Camera. Ahora el resto de grandes marcas han empezado a impulsar este tipo de cámaras. A continuación vemos algunas de ellas:

Samsung Galaxy Camera: Posee una gran pantalla, lente de 21 aumentos y 16 megapíxeles. La memoria de ocho gigas se puede amplia con tarjetas microSD. Gracias a que tiene tanto wifi como 3G podemos estar conectados a Internet en cada momento. Podemos editar las fotos y compartir en Instagram, Facebook o Twitter sin demora.

Nikon Coolpix AW110 : Realemente dura y resistente, ideal para aventureros.Una cámara todoterreno, con la calidad de la casa: 16 megapíxeles y cinco aumentos ópticos. La conexión wifi permite hacer copia de seguridad en cuanto capta una red abierta. El GPS convierte la pantalla en un mapa donde localiza las fotos.

Sony WX300 : Ligera y delgada, con sensor de 18 megapíxeles y 20 aumentos. Graba vídeo en alta definición y el modo inteligente da mejores resultados de lo estimado al disparar.  Incluye conexión wifi para transferir los archivos a la Nube, el ordenador o redes sociales.

Canon IXUS 240 : Mínima y elegante, con pantalla táctil, conexión wifi y detector de caras. Destaca por una óptica perfecta para excursiones y eventos en interiores gracias al gran angular.

Enrique Jiménez

Telecomunicaciones Granada

 

 

 

Mejores Certificaciones de Seguridad Informática en 2012

Actualmente no se puede ocultar la importancia que tiene el conocimiento y las certificaciones de dicho conocimiento para los profesionales que quieren involucrarse en el mundo de la Seguridad Informática. Por experiencia en este campo puedo dar fe de que el estudio y la experiencia que se necesitan para avanzar y escalar posiciones dentro de este mercado, son de un alto nivel.

Imagen tomada de http://www.premier-ks.com/ec-council-certifications.html

Las certificaciones, son de hecho un método muy eficiente que hace visible para el mundo de que somos expertos en algo, o que estamos en camino de serlo. Una persona que tiene certificaciones en sus manos de diferentes productos de Seguridad, o de técnicas o de procedimientos avaluados por las grandes multinacionales expertas en estos temas es un valor agregado de alta importancia para cualquier empresa, institución educativa o Entes Independientes que deseen tener de su lado a estos individuos.

Obviamente, son igualmente importantes para alguien que esté pensando en comenzar su vida profesional por este camino. A la hora de una oportunidad laboral, contar con certificaciones de Seguridad son una ayuda fundamental a la hora de llegar a conseguir el empleo soñado.

Por lo anterior quiero compartir una lista que tiene un compilado de las mejores certificaciones actuales dividas en Certificaciones empresariales, certificaciones de Auditoría, y certificaciones genéricas.

Core Information Security Certifications:

  • Certified Ethical Hacker (EC council approved CEH certifications)
  • CISSP ( Information security certification with higher difficulty level)
  • CWSP (Wireless Security certification)
  • GCWN (GIAC Certified windows security admin)
  • CCSA (Checkpoint firewall certified security admin)
  • Cyber Security Forensic Analyst
  • Certified Hacking Forensic Investigator
  • Security +
  • GIAC GSEC

Information Security Audit Certifications

  • CISA (Certified information security auditor from ISACA)
  • CISM (Certified information security manager from ISACA)
  • ISO 27001 (ISO certification from BSI)

Generic certifications to add value to your InfoSec Career

  • ITIL V3 Foundation for org strategy learning
  • CCNA Security for networking / routing / switching and security
  • MCSE / RHCE to understand the OS environments

Espero este listado sea de su total utilidad. No olviden comentar y si es posible sugerir más certificaciones para complementar estos estudios.

Fuente

Videos de Seguridad Informática por (ISC)2

Con la importancia que tiene la Seguridad Informática en nuestros días, se hace totalmente necesario para las personas que a diario estamos involucrados con este mundo, conocer los términos con los cuales debemos tener total relación con el objetivo de saber de que debemos protegernos y sobre todo, como hacerlo.

Con el objetivo de afianzar estos términos comparto con ustedes una serie de Videos/Presentaciones publicadas por (ISC)2 referentes a temas de Seguridad Informática. Los topics tratados son los siguientes:

  • SQL Injection
  • XSS
  • Broken Authentication and Session management
  • Insecure Direct Object References
  • XSRF
  • Security Misconfiguration
  • Insecure Cryptographic Storage
  • Failure to Restrict URL Acess
  • Insufficient Transport Layer Protection
  • Unvalidated Redirect and Forwards

Hay que tener en cuenta que los video están en idioma Inglés pero se puede contar con una ayuda visual en la que las Diapositivas del video son resumidas en Texto que puede ser fácilmente leído y traducido:

A continuación listo los enlaces para cada uno de ellos:

Recomiendo darle una revisada a estos interesantes temas. Espero este material sea de su total utilidad.

Seguridad en la Nube – Virtualizando el centro de Datos

Cuando hablamos de centros de datos, la ubicación donde se encuentran los recursos necesarios para procesar la información de muchas organizaciones, nos asaltan algunas dudas. Un de ellas es si nuestros datos estarán seguros en la red, de si nos pueden robar algo o de si simplemente perderemos información muy valiosa para nosotros. En muchas ocasiones creemos que la información del centro de datos solo nos basta con un buen antivirus que nos librará de todo peligro, pero a la par que este software avanza, también lo hacen los virus y demás problemas de seguridad que rondan en la red, por lo que actualmente se esta convirtiendo en misión casi imposible lograr actualizarse a su nivel.

La irrupción del cloud computing ha hecho que la virtualización también llegue a los tradicionales centros de datos físicos, lo que permite almacenar la información en un enclave de la red, que existe pero que en realidad no es fijo. Estas infraestructuras facilitan el acceso desde varios dispositivos a nuestros datos y siempre con nuestros archivos disponibles y seguros.

Lógicamente, aunque este tipo de servicio sea una de las mejores opciones en la actualidad, la nube sigue suscitando dudas acerca de la seguridad de la información. Su propio nombre transmite valores de volatilidad. Poco a poco, se ha estrechado la colaboración entre los proveedores servicios y los expertos en seguridad para detectar posibles amenazas. Lo cierto es que la virtualización de escritorios implica que todos los datos, aplicaciones y estados permanecen centralizados: todo está protegido con claves que nunca salen del centro de datos, por lo que es más complicado que la información se extravíe.

En definitiva, con el cloud computing las empresas ganan en espacio, multitud de dispositivos para trabajar, y seguridad. El uso de máquinas virtuales se ha convertido en la actualidad en un sistema muy demandado por las grandes empresas, pues ahorra los gastos generados por los equipos físicos y permiten centralizar la información.

Protegetuweb.com – Ajusta tu web o negocio online a la LOPD

Según Wikipedia “La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honorintimidad y privacidad personal y familiar. Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.

En internet, diariamente se escriben miles de artículos, se suben miles de imágenes y la cantidad de información que circula se supera cada día más. Muchas de las personas que suben y descargan toda esta cantidad de información muchas veces son inconscientes de que pueden estar haciendo las cosas mal, o incluso pueden estar infringiendo normas que podrían llevar problemas graves después. Sobre todo los propietarios de sitios web o negocios online que muchas veces por querer hacer crecer sus ideas y/o proyectos más rápidamente publican datos los cuales no pueden ser públicos o atentan contra la privacidad de otros, conllevando esto como se dijo anteriormente a problemas legales más tarde.

Una ley que controla este tipo de situaciones, la cual se explicó más arriba es la LOPD. Ajustar tu sitio web, negocio online o cualquier otra idea que tengas ya realizada o en mente como un futuro proyecto, es una gran ventaja a la hora de empezar con el pie derecho a legalizar toda tu información y a hacer las cosas bien hechas desde ahora.

Gracias al equipo de protegetuweb.com, podemos contar con una excelente ayuda en línea para hacer que nuestros sitios web o negocios online cumplan a cabalidad con la LOPD y se eviten posibles problemas en el futuro. Protegetuweb.com ofrece 3 packs de documentos, dependiendo del tipo de sitio web que tengas:

Pack Primera Web:

Estos son los documentos que necesitas si tienes una web sencilla presencial y sin venta online:

    • Condiciones de uso 
    • Política de privacidad 
    • Textos legales para Newsletter

Lo esencial para no complicarte la vida y estar protegido.

Pack Community Manager:

Ser Community Manager exige relacionarse con mucha gente y tratar con muchos datos que pueden ser sensibles, como los derechos de imagen.

Te ayudamos en este tema, además también tienes unas bases legales de concurso para Facebook y un modelo de contrato por si eres freelance:

    • Autorización derechos de imagen de menores
    • Autorización derechos de imagen
    • Bases legales de un concurso en Facebook
    • Modelo de contrato de servicios de Community Management
    • Aviso legal de microsite
¡Los Community Managers también tienen que cumplir la Ley de Protección de Datos!

Pack Negocio Online:

Si lo que buscas es hacer negocio online o e-commerce los textos legales que necesitas son estos:
    • Condiciones de uso 
    • Política de privacidad 
    • Textos legales para Newsletter
    • Aviso Legal e-commerce
    • Condiciones generales de contratación

Para webs con transacciones de dinero y venta de productos.

¡Asegurar que cumples la LOPD es vital!

Como puede verse en cada uno de los Packs, se incluyen documentos de mucha importancia para cada tipo de sitio web. Basta con escoger el que más se ajuste y realizar la inversión que sin duda vale la pena. Los precios y toda la información referente al tema la puedes encontrar visitando el sitio oficial o contactándote directamente con la empresa desde este enlace.

El tratamiento de Datos por parte de las comunidades de Propietarios

Este es el primero de una serie de artículos sobre el tratamiento de datos personales en las comunidades de propietarios. Las obligaciones que impone la LOPD y sus normas de desarrollo plantean la necesidad de que las comunidades de propietarios se adapten y cumplan escrupulosamente con la normativa de protección de datos. La organización y gestión de la comunidad de propietarios supone la existencia de al menos un fichero o tratamiento de datos personales: la de los propios integrantes de la comunidad. Existen hechos habituales de la vida de una comunidad de propietarios que conllevan la existencia y obligatoriedad de adaptar estas comunidades a lo dispuesto por la LOPD, así podríamos hablar de contratación con terceros de servicios prestados a la comunidad como el contrato con administradores externos a los propietarios de las viviendas de la comunidad, seguridad, reparaciones, limpieza…; cobro de cuotas de comunidad y como consecuencia gestión de impagados.

Según el art. 3 de la LOPD es Responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Poniendo en relación esta definición con las de la Ley de Propiedad Horizontal el responsable del Fichero sería la propia Comunidad de Propietarios como persona jurídica y compuesta por tanto por la Junta de Propietarios. Esta distinción es importante puesto que nos indica que cualquier tratamiento de datos debe ser consensuado por la totalidad de los propietarios conforme a las reglas de la formación de la voluntad de los órganos de la Comunidad. En consecuencia el responsable del fichero, será el que sufra de las consecuencias de un incumplimiento de lo dispuesto en la legislación de protección de datos. Esta afirmación se corrobora por la AEPD en su informe 2000 de fecha 23-04-2.010.

Por tanto y en aplicación del art. 25 y 26 de la LOPD toda comunidad de propietarios que tenga almacenados datos de los comuneros, es decir, todas ellas, tienen obligación de crear un fichero y comunicar este a la AEPD. Esta notificación la podrá hacer el órgano de representación de la misma o bien un administrador externo a la comunidad que ejerza las funciones de administración en nombre de ésta, pero en este supuesto el responsable del fichero seguirá siendo la propia comunidad de propietarios.

La denominación del fichero dependerá de los distintos usos que se le vaya a dar al mismo. Por lo general se le denominará “Comunidad de propietarios”, para identificarlo claramente de cualquier otro fichero.

En cuanto a la finalidad del mismo sería las obligaciones propias de la llevanza de la propia comunidad así por ejemplo gestión de los datos de la comunidad de propietarios, o envío de información y documentación, asistencia a juntas y en general todo lo necesario para asegurar el correcto desenvolvimiento de la comunidad, y tendría datos como D.N.I./N.I.F., nombre y apellidos, teléfono, datos económicos, financieros, seguros, transacciones.

Puede darse la circunstancia que la comunidad tenga contratados a diversos agentes para la llevanza de tareas en la comunidad. Sería el caso de porteros, limpieza, o cualquier otro que se nos pueda ocurrir, en estos casos en mi opinión deberíamos crear un fichero diferente puesto que la finalidad del mismo sería diferente a las propias de la llevanza de la comunidad. Estaríamos en un supuesto en el que el fichero se podría denominar “Personal contratado” o “personal”, cuya finalidad sería la gestión del personal que trabaja en la comunidad o “Gestión de nóminas”.

Áudea Seguridad de la Información

Aurelio J. Martínez

Departamento Derecho NNTT

www.audea.com

Guía práctica – ¿Cómo escribir en Internet?

Millones son las publicaciones que se suben a Internet diariamente, ya sea en Blogs, portales de noticias, redes sociales, comunidades, Wikis, etc, pero gran parte de esta información pasa desapercibida sobre todo por las características con las que esta información es redactada. El mundo de hoy, debido al “aplanamiento” que ha sufrido necesita la información precisa, bien redactada, con excelente ortografía y sobre todo con un alto índice de disponibilidad.

Si una persona entra a un sitio al cual accedió por medio de una búsqueda, lo que que quiere ver es justamente la información que necesita. De nada sirve publicar un contenido con un título que en nada se relaciona con el cuerpo del artículo o viceversa. Los sitios que hacen esto por lo general tienen grandes porcentajes de rebote, es decir, las personas no se interesan por ver más del sitio que visitan, sino que salen de inmediato a seguir buscando su información por otro lado.

Por esto es tan necesario aprender como escribir para la web, como mantener a los usuarios atentos, a gusto y crear una fidelidad que identifique de una u otra forma un estilo propio; Un estilo que se imponga de tal forma que haya un alto grado de recurrencia por parte de los lectores. Por todo lo anterior, quiero compartir hoy un excelente material gratuito, escrito por Guillermo Franco llamado “Cómo escribir para la Web – Bases para la discusión y construcción de manuales de redacción Online”

Este texto es un excelente material que explica muy detalladamente técnicas que sirven para aprender de una manera práctica como escribir contenido útil y llamativo para la Web. Muy seguramente aplicando todo lo que el autor nos dice allí, se tendrán las bases suficientes para hacer artículos muy bien estructurados y que serán muy comentados donde quiera que sean publicados.

Descargar Guía

Bases de datos: Conceptos básicos de SQL

Structured Query Language (SQL) es, según Wikipedia “un lenguaje declarativo de acceso a bases de datos relacionales que permite especificar diversos tipos de operaciones en éstas. Una de sus características es el manejo del álgebra y el cálculo relacional permitiendo efectuar consultas con el fin de recuperar -de una forma sencilla- información de interés de una base de datos, así como también hacer cambios sobre ella.”

SQL es utilizado a diario por millones de personas en todo el mundo, que administran bases de datos en cualquier empresa u organización, haciendo más fácil la búsqueda de información, así como también la adición y modificación de la misma. La sintaxis de SQL no es para nada difícil si se le pone un poco de empeño en aprender. Los comandos básicos pronto son dominados y a partir de allí se puede empezar a crear de a poco estructuras más complicadas para búsquedas mucho más personalizadas.

Apuntes básicos de SQL es una muy buena guía publicada por Unai Estébanez (unai@unainet.net) que se convierte en una gran opción de aprendizaje del SQL práticamente desde cero.  La guía contiene los principales conceptos, sentencias, ejemplos y referencias del SQL, pretendiendo que todos los que estén interesados en este mundo puedan tener muy claro al final de la lectura lo que es SQL y como debe ser usado.

Descargar Guía – Conceptos Básicos del SQL

Para usuarios más avanzados, recomiendo leer este artículo donde se habla de la seguridad en las BD MySQL.

Tratamiento de los datos personales de los trabajadores por el Comité de Empresa o Delegados de Personal

De acuerdo con el Estatuto de los Trabajadores (ET), de 24 de marzo de 1995, los órganos representativos de los trabajadores están autorizados a acceder a cierta documentación de la empresa en el marco de sus funciones de control y vigilancia de las relaciones laborales así como condiciones de seguridad e higiene. Asimismo la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD) define la cesión de datos como “toda revelación de datos realizada a una persona distinta del interesado”. En consecuencia nos encontramos necesariamente ante una comunicación de datos por parte del empresario al Comité de Empresa o a los Delegados de Personal (en función si se tratase de una empresa de 50 o más trabajadores).

En este contexto, la cesión de los datos de los trabajadores, únicamente podría entenderse lícita si se produjera en el ámbito de las funciones que la Ley atribuye a los Delegados de Personal o el Comité de Empresa como órganos representativos del conjunto de trabajadores. A esta información podrían acceder solamente las personas autorizadas con el fin de cumplir con las funciones de vigilancia y control recogidas en el artículo 64.1 del ET que dice concretamente que “El comité de empresa tendrá las siguientes competencias: Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del artículo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar.”, y el apartado 9° atribuye a dicho órgano “Ejercer una labor: a) De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes; b) De vigilancia y control de las condiciones de seguridad e higiene en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley”. En otros casos no previstos en este artículo, sería necesario recabar antes el consentimiento de los interesados para poder comunicar sus datos. En consecuencia no toda la información debería ser accesible a los representantes de los trabajadores y así por ejemplo, el empresario no debería facilitar las nóminas de sus empleados al Comité de Empresa sin su consentimiento, puesto que la información que contienen excede las funciones atribuidas por Ley a dichos representantes, siendo suficiente en esta materia la aportación de los documentos TC1 y TC2.

La situación se complica un poco si tenemos en cuenta que el ET por un lado reconoce al Comité de Empresa la capacidad para ejercer acciones administrativas y judiciales y le atribuye, unas competencias que suponen una posición de independencia respecto del empresario y por el otro lado debemos tener en cuenta que dicho órgano no tiene personalidad jurídica propia, por tanto no puede ser considerado como el responsable del fichero tal y como lo define el artículo 3 de la LOPD como “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. En consecuencia este órgano tampoco podría ser sancionado directamente por la Agencia Española de Protección de Datos (AEPD) aún cuando vulnerase la normativa de protección de datos.

¿Qué ocurre entonces cuando el Comité de Empresa comete infracciones derivadas de esta normativa y qué medidas debería adoptar el empresario para prevenir estas situaciones?

Ante todo hay que recalcar que los representantes de los trabajadores por el mero hecho de recibir la información confidencial, sí que están obligados a cumplir con las disposiciones de la Ley, en este sentido el artículo 11.5 de la LOPD dispone que “Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley”.

Por consiguiente, el Comité debería tratar los datos a los que tiene acceso solamente conforme a las disposiciones del artículo 64 .1 del ET, ya que en el caso de que los utilizase para cualquier otra finalidad distinta del correcto desenvolvimiento y control de la relación laboral vulneraría el artículo 4.2 de la LOPD.

Tampoco sería autorizada la divulgación de la correspondiente información por parte de los órganos de los representantes de los trabajadores por cualquier medio puesto que la publicación de la información podría implicar la cesión de datos amparada por lo dispuesto en el artículo 11 de la citada Ley.

Además, debería responsabilizarse en adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural conforme lo establece el artículo 9 de la LOPD y su normativa de desarrollo.

A su vez, el artículo 10 de la LOPD impone un deber de secreto a cualquiera que intervenga en el tratamiento de los datos personales, por lo que también los miembros del Comité de Empresa o Delegados de Personal quedarían obligados al deber de secreto y confidencialidad respecto de la información a la que tuvieran acceso en el transcurso del desarrollo de su actividad, añadiendo incluso que estas obligaciones subsistirían aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Igualmente, el apartado 2º del ya citado artículo 65 del ET establece que “Los miembros del comité de empresa, y este en su conjunto, observarán sigilo profesional en todo lo referente a los párrafos 1.º, 2.º, 3.º, 4.º y 5.º del apartado 1 del artículo anterior, aun después de dejar de pertenecer al comité de empresa y en especial en todas aquellas materias sobre las que la dirección señale expresamente el carácter reservado. En todo caso, ningún tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del estricto ámbito de aquella y para distintos fines de los que motivaron su entrega”.

En último lugar, para reforzar estas disposiciones legales el empresario podría hacer firmar a todos los miembros del Comité de Empresa o Delegados de Personal un documento de confidencialidad por el que se comprometerían de forma expresa y por escrito a cumplir con todas las disposiciones legales.

Por todo lo anteriormente expuesto, la empresa podría repetir contra aquellos, cualquier tipo de sanciones o multas administrativas que le fueran impuestas por la AEPD.

Áudea, Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com

Ataques de Fuerza Bruta

Lo cierto es que acceder a las contraseñas de los usuarios no es fácil, puesto que se guardan de forma encriptada, y la única forma “manual” es adivinándolo. Una técnica para obtener contraseñas es mediante el uso de “sniffers” es decir programas que interceptan nuestras comunicaciones y registran las contraseñas. Hay maneras de agilizar este proceso, mediante un keylogger.  Sin embargo, cuando estas herramientas del hacker fallan, puede recurrir a la fuerza bruta.

WIKIPEDIA define fuerza bruta como: “La forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.”

A pesar de lo que pudiera parecer, es uno de los métodos más empleados por los hackers, que explota la vulnerabilidad  más recurrente en la seguridad de la información: el factor humano. Los usuarios no disponen de contraseñas lo suficientemente robustas, como distintos tipos de caracteres y de números que  impliquen una cierta complejidad. Por el contrario, para evitar olvidarse de su clave de acceso, prefieren contraseñas fáciles de recordar, pero al mismo tiempo de adivinar.

Con este fin, los hacker, utilizan herramientas que disponen de diccionarios de contraseñas, cuya función es ir probando contraseñas una por una. No obstante, como usuarios, sabemos que únicamente  con la contraseña, no es posible acceder a un puesto, puesto que es necesario contar con un código de usuario.

Para conseguir tanto el código de usuario como la contraseña, a través de este tipo de ataque, existe diferente herramientas como BrutusAET 2 para fuerza bruta a contraseñas de FTP, Essential Net Tools para fuerza bruta a contraseñas de servicio de red (NetBIOS), o John the Ripper – Windows, Linux para fuerza bruta a contraseñas “hasheadas” de Windows.

Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es establecer un número máximo de tentativas. De esta forma se bloquea el sistema automáticamente después de un número de intentos fallidos predeterminados. Sin embargo, aún cuando exista un Directiva de bloqueo de cuenta, o de complejidad de las contraseñas que obligue a cambiarla cada cierto tiempo, también son fácilmente predecibles porque a menudo consisten en agregarle cortas secuencias de números a una misma raíz original. Por tanto, lo más recomendable sería establecer Directivas de contraseñas lo suficientemente robustas, por una empresa especializada.

Desde Áudea queremos recordamos que la mejor forma de prevenir una sanción o un daño a nuestro sistemas de información, es cumplir con todas las exigencias técnicas y legales de la seguridad de la información.

Áudea Seguridad de la Información

Eduardo de Miguel Cuevas.

Departamento Legal

www.audea.com

Cómo revisar la Seguridad en MySQL

MySQL es una de las bases de datos más extendidas entre los sistemas de información de producción en las organizaciones. Es por ello que se ha convertido desde hace tiempo en blanco de hackers y atacantes en busca de información de interés.

Desde el punto de vista técnico existen distintos puntos de revisión de una base de datos MySQL, fundamentalmente:

  • Asignación de privilegios
  • Fichero de configuración
  • Cuentas de usuario
  • Acceso remoto

Una de las primeras acciones de revisión se debe centrar en la revisión de las cuentas por defecto, en este caso root. Para ello se puede comprobar si existe la cuenta y contiene contraseña en blanco:

SELECT User, Host

FROM user

WHERE User=’root’;

El acceso remoto (puerto 3306) a la base de datos debe ser monitorizado y controlado. Es muy común que el servidor de aplicaciones resida en la misma máquina que la base de datos, por lo que se podría limitar las conexiones a la base de datos desde fuera de localhost. Para ello se puede configurar esta opción en el fichero my.cnf añadiendo:

MYSQLD_OPTIONS=”–skip-networking”

Adicionalmente existen algunos parámetros de configuración o arranque de la base de datos interesantes desde el punto de vista de la seguridad:

  • skip-grant-tables: Arrancar el sistema con esta parámetro supone una grave brecha de seguridad, ya que supone que cualquier usuario tiene privilegios para hacer cualquier cosa sobre la base de datos. En algún caso puede ser útil para recuperar la contraseña de root.
  • safe-show-database: Permite mostrar solamente aquellas bases de datos sobre las que un usuario tiene algún tipo de privilegio
  •  safe-user-create: permite determinar si un usuario puede crear nuevos usuarios siempre y cuando no tenga privilegios de INSERT sobre la tabla mysql.user

Finalmente, y partiendo de la base de asignación del mínimo privilegio necesario, uno de los aspectos de seguridad a revisar son los privilegios asignados en la base de datos:

Select * from user where

Select_priv  = 'Y' or Insert_priv  = 'Y'
or Update_priv = 'Y' or Delete_priv  = 'Y'
or Create_priv = 'Y' or Drop_priv    = 'Y'
or Reload_priv = 'Y' or Shutdown_priv = 'Y'
or Process_priv = 'Y' or File_priv    = 'Y'
or Grant_priv   = 'Y' or References_priv = ‘Y'
or Index_priv = 'Y' or Alter_priv = 'Y';

Select * from host
where Select_priv  = 'Y' or Insert_priv  = 'Y'
or Create_priv = 'Y' or Drop_priv    = 'Y'
or Index_priv = 'Y' or Alter_priv = 'Y';
or Grant_priv   = 'Y' or References_priv = ‘Y'
or Update_priv = 'Y' or Delete_priv  = 'Y'

Select * from db
where Select_priv  = 'Y' or Insert_priv  = 'Y'
or Grant_priv   = 'Y' or References_priv = ‘Y'
or Update_priv = 'Y' or Delete_priv  = 'Y'
or Create_priv = 'Y' or Drop_priv    = 'Y'
or Index_priv = 'Y' or Alter_priv = 'Y';

Áudea Seguridad de la Información

Antonio Martínez

Departamento de Gestión

www.audea.com

Infografía: Cambios recientes en Google Analytics

Google Analytics es uno de los sistemas de estadísticas referentes para medir el tráfico en general que circula por un sitio web, blog, página o servicio que se preste vía Online. Cuenta con una gran cantidad de aspectos que lo hacen bastante robusto y que hacen posible saber muchas estadísticas importantes de los visitantes como tiempos medio por visita, páginas vistas, sitios de referencia, entre otros.

Google hace mejoras a Analytics con frecuencia para dar una mejor experiencia a los usuarios y medir cada vez con más precisión las visitas y el tráfico en general que a diario circula por las webs. Algunos de estos cambios no son del agrado de todos, debido a que en ocasiones la exactitud de estos no es la mejor. Aún así, Google Analytics es una muy buena herramienta para saber estadísticamente como se comportan los visitantes de nuestros blogs o Webs.

En la siguiente infografía se muestran los más recientes cambios a los que se sometió el servicio:

Google Analytics: Nuevo concepto de sesión – Infografía
Visita el sitio oficial | Infografía por Attachmedia

Buenas Prácticas para la Migración al Software Libre

El Software Libre es gratuito, seguro, aporta calidad, se basa en estándares abiertos, tiene libertad para utilizarse en cualquier sitio, favorece la cultura de la colaboración, aumenta la capacidad tecnológica, proporciona ahorro de gastos en informática, reduce la dependencia de proveedores y fomenta el desarrollo de la empresa local. — La anterior es una excelente explicación que se acerca de forma muy amplia a los beneficios que trae usar Software Libre en una empresa, negocio, Instituto Educativo o cualquier otro lugar que necesite de una buena infraestructura tecnológica con el fin de lograr la mayor robustez, integridad y seguridad en sus servidores y los servicios que prestan. Sin mencionarlas grandes cantidades de dinero que se pueden llegar a ahorrar, evitando pagar licencias costosas regularmente, la migración al Software Libre a la larga trae más ventajas que desventajas.

Es cierto que son sistemas un poco más complejos de administrar y configurar pero se complementan muy bien con la seguridad y las opciones que se pueden llegar a alcanzar. Además de esto, el Software Libre es una comunidad con miles de personas dispuestas siempre a ayudar y colaborar y que constantemente crean contenidos de calidad y se actualizan cualquier cantidad de servicios informáticos con el fin de mejorar y ofrecer lo mejor para los usuarios.

Por estas razones hoy quiero compartir una excelente guía, que aunque no es nueva si trae consigo un excelente contenido con las mejores prácticas a la hora de migrar al software Libre de una forma segura y estable. Es un proyecto creado por SourcePYME en el Instituto Tecnológico de Informática y escrito por:

  • Autor: Daniel Saez (dsaez@iti.upv.es)
  • Autor: Martn Peris (marpemar@iti.upv.es)
  • Autor: Ricard Roca (ricardroca@iti.upv.es)
  • Autor: David Anes (danes@iti.upv.es)

El nombre del documento es Migración al Software Libre. Guía de Buenas Prácticas – Proyecto SourcePYME. Consta de 126 páginas y 12 capítulos:

  • Índice
  • Prólogo
  • Motivación
  • Requisitos
  • Planificación
  • Implantación
  • Evaluación
  • Casos de Éxito
  • Promotores del Software Libre
  • Software Recomendado por SourcePYME
  • Directorio de Software
  • Bibliografía

Descarga

Migración al Software Libre – Guía de Buenas prácticas