Kaspersky publica informe sobre ataques DDoS

Karspersky ha hecho público su Informe de ataques DDoS relativo al segundo semestre de 2011, en el que asegura que la potencia de los ataques DDoS neutralizados por sus soluciones de seguridad aumentaron su potencia en un  57 %  respecto al primer semestre del año. Según la compañía, los que más utilizan este tipo de ataques son los falsificadores de tarjetas de crédito.

Los ‘hacktivistas’ y los ciberdelincuentes han adoptado este sistema de ataque como una herramienta para sus ataques y han hecho que se convierta en una de las preocupaciones fundamentales de las empresas y compañías de seguridad.

Este tipo de ataques puede dejar fuera de servicio páginas o sistemas que sean su objetivo, por lo que su duración es un dato especialmente importante.

En el segundo semestre de 2011, la gran mayoría de los ataques DDoS se lanzaron contra una página web que vendía documentos falsificados dando muestra de la dura competencia existente entre los ciberdelincuentes.

Los investigadores de Kaspersky han explicado que las ‘botnets’ atacan foros en los que se discuten temas de venta de tarjetas de crédito y sitios en los que se venden datos de dueños de tarjetas. Las siguientes víctimas de los ataques DDoS son los sitios que ofrecen alojamiento blindado y servicios VPN para ciberdelincuentes.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

fuente: PortalTic

Anonymous ataca la web del vaticano

La página web del vaticano ha sido atacada de forma deliberada. Los atacantes ha realizado una denegación de servicio contra el site web, hasta dejarla sin funcionar.

Ha sido el grupo de activista “Anonymous” el que se ha atribuido este mérito, asegurando que su ataque es una respuesta a: “ las doctrinas y liturgias y a los preceptos absurdos y anacrónicos que lustra organización con ánimo de lucro propaga y difunde en el mundo entero”.

En el comunicado de Anonymous, se justifica el ataque, nombrando numerosos pecados que atribuye a la Iglesia, nombrando negaciones de leyes universalmente válidas, o los casos de pederastia.

La Santa Sede a emitido un comunicado en el que ha reconocido que su web ha sido atacada, pero asegura que el problema está cercano a solucionarse.

Áudea Seguridad de la Información

Departamento de Seguridad TIC

www.audea.com

Fuente: El mundo

Google cambia su Política de Privacidad

Como muchos os habréis dado cuenta, desde hace unos días al iniciar el buscador, u otras aplicaciones de Google, aparece una nota informativa que indica que han cambiado su política de privacidad.

La política de privacidad de un sitio Web nos indica qué va a hacer la empresa responsable del mismo con los datos personales de los usuarios que pudieran ser recabados durante la visita a éste, o por la utilización de ciertos programas.

Si dedicáis un tiempo a su lectura os daréis cuenta de hasta dónde nuestras visitas son fiscalizadas por Google.

Esta nueva política de privacidad entrará en vigor a partir del día 1 de marzo de 2.012, y sustituirá las versiones anteriores que hasta la fecha vinculaban a la empresa. Como novedad indicar que las distintas políticas de privacidad que con anterioridad se ofrecían de forma personalizada a las distintas funciones, programas, aplicaciones  y territorios,  ahora se han sustituido por una única que se aplicará en su conjunto a todas, con independencia de la aplicación, país donde se recaben los datos, y legislación aplicable al mismo. Como sabréis Google es una empresa global, y nuestros datos personales pueden viajar por todo el mundo sin que nos demos cuenta.

La tipología de datos que trata Google es muy heterogénea, y va desde los que voluntariamente proporcionamos al registrarnos en alguna de sus aplicaciones, hasta aquellos que se recaban sin que el usuario sea consciente de ello. Entre estos últimos preferencias de consumo, lugares o páginas visitadas frecuentemente, búsquedas realizadas, datos telefónicos, datos del dispositivo y programas utilizados en la consulta y en el dispositivo u ordenador, dirección IP, incluso datos de geolocalización mediante el uso de móviles con GPS, y triangulación.

Google utilizará estos datos para prestar, mantener, proteger y mejorar sus servicios, así como el ofrecimiento de contenidos personalizados, y podrá ceder estos datos a otros usuarios si así lo hemos indicado.

Para modificar las preferencias en cuanto a permisos y utilización de éstos datos ofrece un panel de control donde poder cambiar las mismas, cosa que casi nadie hace.

Como conclusión, la interacción entre los distintos programas y aplicaciones de Google, así como el recabo de nuestros datos hace que la compañía pueda crear un perfil exhaustivo de nuestra personalidad, usos, y costumbres, pudiendo localizar en todo momento a un usuario a lo largo y ancho del planeta.

Las autoridades europeas conscientes del gran número de afectados, y de las distintas legislaciones que entran en juego en esta cuestión, han decidido realizar un estudio pormenorizado sobre la aplicación de esta nueva política de privacidad, a través del grupo de trabajo del artículo 29, organismo europeo encargado del estudio. De momento no conocemos las conclusiones a las que se han llegado al respecto.

Aurelio J. Martínez Ferre.

Áudea Seguridad de la Información.

www.audea.es

El virus DNSChanger podría dejar sin Internet a millones de usuarios

Ya se había hablado anteriormente del próximo ataque del grupo Anonymous, en esta ocasión vamos a hablar exactamente de que se trata este ataque y como funcionaría y como prepararnos para evitar ser víctimas de ello.

El FBI está realizando una operación de limpieza y erradicación del virus Troyano DNSChanger. Esta clase de malware infecta equipos, cambiando sus parámetros de DNS, y redirigiendo al usuario a páginas maliciosas o fraudulentas.

Los servidores de DNS se utilizan para traducir la URL introducida por el usuario en la IP pública correspondiente. Si Se hace la consulta a un DNS malicioso, la URL se traducirá con la IP pública de un site malicioso especialmente diseñado por el atacante.

El próximo 8 de Marzo, el FBI procederá al cierre del servidor DNS malicioso que configura el virus en los ordenadores infectados, por lo que todos aquellos usuarios con el virus en ejecución se quedarán sin acceso a la red (no tendrán traducción  de URLs a IPs públicas).

Para subsanar el problema, hay que desinfectar la máquina, de tal forma que nos aseguremos que las peticiones irán a un servidor DNS de confianza. Para ello, se puede realizar un análisis bajo demanda, utilizando una protección Antimalware con el fichero de firmas actualizado.

Una vez se desinfecte el equipo, se podrá configurar un DNS público en los parámetros de red, u obtener uno mediante DHCP.

Es necesario re-aplicar la configuración de red, ya sea reiniciando el controlador de red, o realizando algún cambio en la configuración que implique la re-aplicación del mismo.  Al no ejecutarse el virus, las peticiones serán resueltas ahora de forma veraz, y se habrá solventado el problema.

No es necesario esperar al día 8 de Marzo para verificar si el equipo está infectado (se quedará sin navegación).

Todo usuario puede comprobar si su equipo está infectado desde la página: www.dnschanger.eu.

Áudea Seguridad de la Información .

José Francisco Lendínez

Departamento de Seguridad TIC.

www.audea.com

Cinetube no comete ningún delito

La actividad de Cinetube no constituye un delito contra la propiedad intelectual. Los jueces citan a sentencias previas y aseguran que al tratarse de una web de enlaces no comente ningún delito, por lo que en la Audiencia Provincial de Álava  se ha desestimado la demanda interpuesta por varias productoras de Hollywood.

La web Cinetube se encontraba en el punto de mira de las productoras de cine, sobre todo en EE.UU. Tras el cierre de Megaupload, Cinetube era una de las páginas que se encontraban en el punto de mira del FBI debido a que aseguraban que ofrecían contenido audiovisual que violaba las leyes de propiedad intelectual. Sin embargo, la Audiencia Provincial de Álava no está de acuerdo con esta interpretación.

La justicia declara a Cinetube como una página web legal que no constituye ningún delito contra la propiedad intelectual, asegurando que «no existen indicios en las presentes actuaciones de la concurrencia de los elementos objetivos del tipo penal objeto de imputación y dando lugar al sobreseimiento interesado por la defensa», según se recoge la sentencia publicada por el bufete de abogados Almeida en su página web.

Sentencia (http://www.bufetalmeida.com/635/archivo-cinetube.html).

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: Portaltic.es 

Precaución con las Comunicaciones Comerciales

Rápido, barato, cómodo y sencillo. Las comunicaciones por vía electrónica han revolucionado claramente nuestra forma de entender las cosas. No obstante, la Ley de Servicios de la Sociedad de la Información prohíbe el envío de dichas comunicaciones comerciales sin un consentimiento previo; tratándose de una de las cuestiones más planteadas por las empresas a la hora de analizar dicha normativa, sobre la definición y alcance exacto del concepto.

A pesar de la ambigüedad que crea en muchas ocasiones, la LSSI prohíbe expresamente “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”; a no ser que la empresa “haya obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación”. Únicamente de esta forma se podría enviar comunicaciones comerciales a vuestros clientes sin su consentimiento, siempre que exista una relación previa y que el contenido de las mismas esté enfocado a los servicios inicialmente contratados.

La Ley dispone que comunicación comercial sería “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional”.

De esta forma, podríamos decir que toda acción que tenga como objeto promocionar, persuadir o comunicar tendría la consideración de comunicación comercial, aunque no es un concepto claro en todas las ocasiones; como pueda ser con el envío de dichas comunicaciones por parte de entidades sin ánimo de lucro, para invitaciones a actos o simplemente felicitaciones en fechas señaladas (en todos los casos, existen sanciones por parte de la Agencia Española de Protección de Datos por el mismo motivo, no contar con su consentimiento previo).

Además, otro problema de interpretación puede venir con lo que puede entenderse como “promoción indirecta”, un concepto amplio que podemos afirmar que hace consideración a la legalidad en el intercambio de enlaces o banners que puede resultar de la colaboración publicitaria entre empresas, pudiendo incluir contenidos ajenos en las comunicaciones autorizadas con clientes o terceros.

En este sentido, la Agencia Española de Protección de Datos ha venido sancionando aquellos supuestos en los que la empresa ha ideado algún sistema de enviar correos comerciales omitiendo las exigencias de la LSSI (disponer de un consentimiento previo e informado, o la existencia previa de una relación contractual). De esta forma, se han podido conocer sanciones por métodos como “envía a un amigo”, por lo que una persona reenvía un correo comercial que desea enviar la empresa.

Para agravar el asunto sobre la materia, esta conducta es particularmente grave cuando se realiza de forma masiva, siendo conocida con el anglicismo SPAM. El bajo coste, el anonimato, la velocidad y las posibilidades que ofrece ha permito el crecimiento de esta forma abusiva. Por tanto, para poder enviar de forma segura mensajes publicitarios o promocionales, deberá haberse solicitado o autorizado expresamente por los destinatarios de los mismos, salvo que exista una relación contractual previa. Incumplir este precepto podría constituir una infracción leve o grave de la LSSI, con multas de hasta 150.000 euros.

Iván Ontañón Ramos

Departamento Derecho TIC

Áudea Seguridad de la Información

www.audea.com

 

Seguridad – Ataques Informáticos en Cliente

Desde hace años la seguridad informática viene tomando cada vez más protagonismo en todos los ámbitos: empresarial, personal o doméstico y, por supuesto, gubernamental. Esta creciente importancia ha proporcionado grandes avances en la seguridad perimetral fundamentalmente a través de sofisticados firewalls, sistemas de detección y de prevención de intrusiones, monitorización constante de la red, servidores mejor asegurados, etc.

En los últimos tiempos, y debido a las mencionadas mejoras en el ámbito de la seguridad perimetral, la ciberdelincuencia se ha orientado hacia la parte más débil: el usuario del sistema. ¿Y cómo llegan estos atacantes hasta el usuario? Las vías más comunes, entre otras, son las siguientes:

  • Correo electrónico: muchos de nosotros hemos recibido algún correo, digamos, “sospechoso”, en el que nos adjuntaban un archivo todavía más sospechoso y nos “invitaban” amablemente a abrirlo. O en otros casos, nos incluían un link que en el que debíamos hacer click para obtener fabulosos descuentos o acceder a áreas premium de los servicios más variopintos.
  • Páginas web (phishing): igualmente conocidos son los websites que imitan a otro real (por ejemplo, una imitación de la página de nuestro banco). En muchos casos, salvo que nos fijemos en ciertos detalles de la página que nos pueden dar pistas de que se trata de una “mala copia”, podremos caer en la trampa y pensar que se trata de la página auténtica, por lo que el atacante se habrá hecho con nuestras credenciales de usuario.
  • Vulnerabilidades o exploits del navegador web: ningún navegador parece estar libre de debilidades de seguridad que se van descubriendo cada mes por todo el planeta. El problema en este caso es que la solución es casi siempre reactiva, es decir, el fabricante del navegador nos ofrece un patch o actualización del mismo cuando la vulnerabilidad ya es conocida por un número notable de personas. En el tiempo que transcurra entre que la vulnerabilidad se ha hecho pública y el usuario instala el parche que la corrige, el sistema estará en serio peligro de ser comprometido por un atacante.
  • Controles ActiveX: en ciertas ocasiones, cuando navegamos por Internet, nos aparece un mensaje que solicita nuestra autorización para ejecutar pequeños programas en nuestro propio equipo, como requisito imprescindible para poder continuar con nuestra actividad en la página web en la que nos encontramos. Estos programas provienen del servidor web al que hemos accedido, pero se ejecutan directamente en el ordenador del usuario, por lo que el peligro está claro.
  • Descarga y ejecución de archivos .exe: puede conseguirse a través de técnicas de ingeniería social, es decir, a través del engaño del usuario o del abuso de su confianza, simpatía, etc.
  • Mensajería instantánea: actualmente los programas tipo Messenger están muy extendidos entre los usuarios, que incluso pueden llegar a aceptar como contactos a personas que no conocen, o que no conocen lo suficiente. En estos casos el atacante intentará que la víctima acepte un archivo y lo ejecute en su equipo.
  • Explotación de vulnerabilidades de terceros a través del navegador: no podemos dejar sin comentar otra de las vías por las que un atacante puede llegar a controlar el equipo de un usuario, y esa vía es la de aprovechar a través del navegador de Internet las vulnerabilidades o exploits que se dan en aplicaciones de terceros (distintos al fabricante del navegador en la mayoría de los casos). Especial atención se debe prestar a los numerosos exploits que afectan a conocidos reproductores de vídeo que la mayoría de nosotros utilizamos con notable frecuencia.

Y hasta aquí la primera aproximación a los ataques más comunes que pueden lanzarse para hacerse con el control de un equipo de usuario, que podrá servir al atacante como plataforma de ataque a una red entera o a servidores de la organización a la que pertenezca el usuario.

Queda, pues, patente la necesidad de educar y concienciar a los usuarios, pues es la forma más eficaz de proteger en última instancia toda nuestra red.

Áudea Seguridad de la Información

Manuel Díaz Sampedro

Departamento Gestión de la Seguridad

www.audea.com

Hackerspace Global Grid

Podría ser el título de una nueva película, o incluso de una serie de televisión, pero no se trata de ninguna de las dos cosas. Se trata, por increíble que pueda sonar, de un proyecto que de llegar a hacerse realidad podría cambiar el panorama de Internet de forma radical.

Desde hace tiempo diferentes grupos de la sociedad civil se vienen quejando de que Internet ya no es lo que era, de que la censura ha conseguido acabar con aquél paraíso del aprendizaje que fue en sus comienzos la World Wide Web. Quizás se ha tratado de un cambio tan gradual y medido a lo largo de los años, que una gran parte de usuarios de la Red lo acepta sin más, porque no le resulta del todo perceptible o, simplemente, no afecta a sus hábitos de navegación ni a sus intereses o hobbies personales.

Pero lo cierto es que para muchos la censura en Internet avanza y avanza, y la Red corre el peligro de convertirse en un mercado más al servicio de los mercados. Evidentemente, eso a mucha gente no le parece un futuro muy prometedor. Entre esa gente, están los miembros del proyecto Hackerspace Global Grid, que tiene como objetivo poner en órbita un satélite inicialmente para poder poco a poco ir desplegando una red que permita, por decirlo en términos fáciles, disponer de una Internet alternativa que no esté cercada por los intereses económicos y políticos de siempre.

La idea ha nacido en el pasado Chaos Communication Congress, celebrado en Berlín, y en principio podría comenzar a tomar forma durante el año 2012. Los usuarios se conectarían a la nueva Red a través de pequeñas estaciones de bajo coste que se venderían sin ánimo de lucro (se ha fijado un precio máximo de 100 euros) o que incluso podrían ser construidas por los propios usuarios. Según uno de los integrantes del proyecto, pretenden tener preparados 3 prototipos en este año 2012 para poder presentarlos en el próximo Chaos Communication Congress.

De nuevo estamos ante un escenario que ya conocíamos, el de la lucha entre quienes pretenden implantar mayores cotas de control social y aquellos individuos que consideran que superar ciertas cotas de control es, simplemente, inaceptable.

Áudea Seguridad de la Información

Manuel Diaz Sampedro

Departamento de Gestión

www.audea.com

Protegetuweb.com – Ajusta tu web o negocio online a la LOPD

Según Wikipedia «La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honorintimidad y privacidad personal y familiar. Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.«

En internet, diariamente se escriben miles de artículos, se suben miles de imágenes y la cantidad de información que circula se supera cada día más. Muchas de las personas que suben y descargan toda esta cantidad de información muchas veces son inconscientes de que pueden estar haciendo las cosas mal, o incluso pueden estar infringiendo normas que podrían llevar problemas graves después. Sobre todo los propietarios de sitios web o negocios online que muchas veces por querer hacer crecer sus ideas y/o proyectos más rápidamente publican datos los cuales no pueden ser públicos o atentan contra la privacidad de otros, conllevando esto como se dijo anteriormente a problemas legales más tarde.

Una ley que controla este tipo de situaciones, la cual se explicó más arriba es la LOPD. Ajustar tu sitio web, negocio online o cualquier otra idea que tengas ya realizada o en mente como un futuro proyecto, es una gran ventaja a la hora de empezar con el pie derecho a legalizar toda tu información y a hacer las cosas bien hechas desde ahora.

Gracias al equipo de protegetuweb.com, podemos contar con una excelente ayuda en línea para hacer que nuestros sitios web o negocios online cumplan a cabalidad con la LOPD y se eviten posibles problemas en el futuro. Protegetuweb.com ofrece 3 packs de documentos, dependiendo del tipo de sitio web que tengas:

Pack Primera Web:

Estos son los documentos que necesitas si tienes una web sencilla presencial y sin venta online:

    • Condiciones de uso 
    • Política de privacidad 
    • Textos legales para Newsletter

Lo esencial para no complicarte la vida y estar protegido.

Pack Community Manager:

Ser Community Manager exige relacionarse con mucha gente y tratar con muchos datos que pueden ser sensibles, como los derechos de imagen.

Te ayudamos en este tema, además también tienes unas bases legales de concurso para Facebook y un modelo de contrato por si eres freelance:

    • Autorización derechos de imagen de menores
    • Autorización derechos de imagen
    • Bases legales de un concurso en Facebook
    • Modelo de contrato de servicios de Community Management
    • Aviso legal de microsite
¡Los Community Managers también tienen que cumplir la Ley de Protección de Datos!

Pack Negocio Online:

Si lo que buscas es hacer negocio online o e-commerce los textos legales que necesitas son estos:
    • Condiciones de uso 
    • Política de privacidad 
    • Textos legales para Newsletter
    • Aviso Legal e-commerce
    • Condiciones generales de contratación

Para webs con transacciones de dinero y venta de productos.

¡Asegurar que cumples la LOPD es vital!

Como puede verse en cada uno de los Packs, se incluyen documentos de mucha importancia para cada tipo de sitio web. Basta con escoger el que más se ajuste y realizar la inversión que sin duda vale la pena. Los precios y toda la información referente al tema la puedes encontrar visitando el sitio oficial o contactándote directamente con la empresa desde este enlace.

Características del Copyleft – Programas De Software Libre

El término de copyleft es un juego de palabras que se puede traducir como «izquierda de copia» o “permitida la copia”, al contrario del significado de copyright que literalmente quiere decir “derecho de copia”. Se considera que una licencia libre es copyleft cuando además de otorgar permisos de uso, copia, modificación y redistribución de la obra protegida, contiene una cláusula que impone una licencia similar o compatible a las copias y a las obras derivadas.

El desarrollo de las nuevas tecnologías y la necesidad de cooperación entre los creadores de programas informáticos a nivel mundial a supuesto la necesidad de establecer un nuevo tipo de pacto social. Si copyright pretendía restringir el acceso a lo privado, y protegía la exclusiva explotación de las obras a favor del titular de este derecho, copyleft es un método inverso y tiene por objetivo mantener estas creaciones libres exigiendo a su vez que todas las versiones posteriores modificadas y derivadas de las mismas sean también distribuidas como libres. De esta manera se pretende garantizar la libertad de los que participan de forma comunitaria en la producción de programas libres u otros recursos intelectuales bajo la licencia de copyleft.

No obstante, la diferencia entre los programas informáticos libres y privativos no es tan grande, en el sentido de que ambos necesitan una licencia. La diferencia estriba en lo que permite cada una de las licencias.

De acuerdo con la normativa española (Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual) y tratados internacionales no se puede explotar un programa sin el consentimiento expreso de su titular que habitualmente lo hace mediante una licencia. Pero la licencia no supone siempre una transferencia de propiedad sino el otorgamiento de ciertos derechos específicos de los que goza el autor. En derecho privativo éstos son normalmente derechos de uso y en caso de software libre también de distribución y modificación así como de defender algunos derechos de productor o la obligación de mantener el software libre en cada una de sus correlativas versiones.

Existe gran cantidad de licencias de software libre y su condicionamiento puede ser muy diverso.

No obstante de manera general podemos dividir las licencias en dos grandes bloques según sus características más importantes.

Las primeras serían las que no imponen ninguna condición en su segunda redistribución (licencias permisivas) y las segundas serían las que sí lo hacen (licencias robustas o copyleft).

Copyleft inicialmente fue desarrollado para la distribución de los programas informáticos. Los software, hoy en día tan conocidos, como Linux, Open Office o FireFox fueron creados como programas libres bajo copyleft.

Con el tiempo, el copyleft se ha extendido a ámbitos muy diversos, además del informático, también a la música, la edición, el derecho, el arte o el periodismo. Uno de los primeros y más conocidos proyectos que instauró las bases de las condiciones para las licencias de copyleft fue el proyecto de software libre ideado por la empresa GNU.

Fue en 1983 cuando Richard Stallman creó un proceso productivo de cooperación para la elaboración de un programa operativo libre de cualquier restricción derivada de copyright. El proyecto principalmente consistía en la elaboración de un conjunto de licencias que garantizasen que el software creado por el equipo de Stallman se mantuviera completamente libre en todas sus versiones posteriores. Los participantes en este proceso podían usar, compartir, modificar o mejorar cualquiera de las versiones libres de este software siendo obligados a ponerlo a disposición del resto de la sociedad sin ninguna restricción relativa a su explotación.

De esta forma se quería impedir que una vez puesto al servicio de toda la comunidad de usuarios sin ninguna restricción alguien pudiera cambiar estas condiciones. A diferencia de un programa bajo el dominio público en que también se pueden realizar cambios, copyleft impide que alguien lo convierta en un programa privativo. En un software bajo el dominio público cualquier persona que introdujera unas modificaciones en el mismo, lo podría distribuir como producto propio, es decir, el intermediario podría romper la cadena de uso libre iniciada por el autor originario y empezar a distribuir las versiones modificadas bajo su propio copyright.

En caso de copyleft, cualquiera que utilice el programa libre y lo pretenda redistribuir, con o sin cambios, deberá otorgar al siguiente receptor la libertad de copiarlo o modificarlo, garantizando en todo momento el mantenimiento de estas condiciones iniciales.

Áudea, Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com

Mi escritorio en la nube – propuesta de Microsoft

«Almacenamiento en la nube». Google, Apple y ahora Microsoft. Ya hace tiempo que el concepto de almacenamiento en la nube nos es familiar, es algo con lo que llevamos conviviendo mucho tiempo con el correo electrónico pero en los últimos tiempos está cobrando una importancia cada vez más grande y es que ahora no hablamos de almacenar en un servidor nuestro email sino toda la información que podamos tener en nuestro equipo.

Llevamos un tiempo escuchando las bondades y peligros de estas tecnologías, lo bueno que es poder acceder a nuestra información desde cualquier lugar del mundo y al mismo tiempo los peligros en materia de privacidad que esto conlleva. Pero el avance de esta idea parece imparable, y el público en general parece aceptarla de buena forma. Ejemplo claro es Facebook, no hay nada que más preocupante que la confidencialidad de nuestra vida privada, sin embargo los usuarios de la red social no paran de crecer y a pesar de los problemas sonados de falta de seguridad que ha tenido la compañía su trafico no ha cesado en ningún momento.

Pues bien, ahora es Microsoft la que recurre a la nube como propuesta de servicio a sus clientes. El nuevo sistema operativo de la compañía que tiene previsto ver la luz en 2012, Windows 8, ofrecerá la posibilidad de guardar nuestro escritorio en la nube, pudiendo acceder a el desde cualquier ordenador o tableta con conexión a Internet. En principio parece algo interesante y que ofrece beneficios a sus usuarios en cuanto a que se podrá acceder a la información cuando y donde se desee… pero la pregunta que nos suscita es el cómo y que garantías de confidencialidad nos ofrece, y es que aspectos como la foto de fondo de escritorio no puede parecer de importancia pero cuando hablamos del historial de navegación, carpetas personales o contraseñas grabadas en el sistema la cosa cambia.

Microsoft ha publicado un documento donde resalta las ventajas del servicio e incide en que se trata de algo opcional, explicando las medidas de seguridad con las que contará el servicio, cifrado de datos, contraseñas y transmisiones, envío de código de verificación al móvil del usuario la primera vez que utilice el servicio y el compromiso de no compartir los datos con terceras partes. Pero parece no haber sido suficiente ya que ya se han alzado las primeras voces alertando de posibles fallos de seguridad en el sistema, y es que para algunos expertos de seguridad califican las garantías que ofrece Microsoft de estándar, unas garantías mínimas que no ofrecen la seguridad necesaria para la importancia de los datos en juego.

Una cosa esta clara, estos servicios de acceso a nuestra información y de sincronización automática entre diferentes dispositivos ya no es algo que se nos ofrece como un añadido de valor a un producto, sino que es algo que el usuario requiere y reclama. Es una necesidad. No es por lo tanto cuestión de hacer o no hacer, sino de cómo hacerlo. Es en este punto en el que estamos y como para cualquier nueva tecnología en la que nos encontramos existen dudas razonables sobre la seguridad de nuestra información, el mejor consejo es la prudencia y aplicar las buenas prácticas que ya todos conocemos, como por ejemplo evitar conectarse a través de wifi abiertas, tener contraseñas robustas, conocer las condiciones de seguridad y privacidad del servicio y sobre todo no hacer nada de lo que luego nos podamos arrepentir.

 Áudea, Seguridad de la Información.

Álvaro Aritio

Departamento de Gestión

www.audea.com

Nuevas recomendaciones de INTECO sobre navegación Web

INTECO en continuación de sus labores de concienciación de los usuarios respecto a la seguridad en la Red ha lanzado un microsite a través de la OSI (Oficina de Seguridad del Internauta) con la intención de concienciar y formar a los usuarios de Internet de los peligros existentes en la Red, de las medidas de seguridad que se deben adoptar y de cómo deben actuar en caso de ser victimas de alguno de los peligros que acechan como estafas, spam, malware, etc.

La página creada por la OSI (www.tusentidocomun.com) apela al uso del sentido común del usuario como la mejor medida de seguridad, tomando especial atención a los más jóvenes como uno de los públicos más expuestos a los actuales problemas.

Esta página recoge entre otros puntos, un decálogo de buenas practicas sobre navegación en Web, una herramienta mediante un pequeño test por el cual se mide el sentido común con el que navega el usuario llamado ‘sentidometro’, o un cómic donde se recrean situaciones en las que aplicar el sentido común para evitar problemas en materia de seguridad.

Sobre esta misma idea, la OSI ha lanzado otro microsite, www.piensoluegoclico.com, especialmente destinado a los más jóvenes y al uso masivo de estos de las redes sociales. Este es uno de los temas de mayor preocupación para las organizaciones ya que es sobre las redes sociales donde se producen mayor tipo de problemas y abusos como ciberacoso, grooming y sexting.

Áudea Seguridad de la Información, S.L.

Departamento de Gestión

www.audea.com

Fuente: www.elmundo.es

Áudea participa el taller de “Marco legal de las Infraestructuras Críticas”, 5ENISE

El jueves 27 tuvimos el placer de poder asistir al evento organizado por INTECO, 5ENISE.

Fue en el taller “Marco legal de las Infraestructuras Críticas”, en el Parador de San Marcos, en la sala Antiguo Auditorio, donde nuestra empresa, (como especialista en materia de seguridad de la información, tuvo la oportunidad de hacer su aportación a los temas tratados en el Quinto Encuentro Internacional de Seguridad de la Información (ENISE).

Manuel Díaz Sampedro, consultor senior de seguridad de la información de Áudea, hizo una gran contribución con su ponencia dedicada a cómo se ha llegado a la Ley 8-2011 desde sus primeras iniciativas europeas.

Queremos hacer llegar nuestro agradecimiento a los organizadores del evento, así como a todos los espectadores presenciales y a los que nos siguieron vía web a través de Inteco. Esperamos que el año que viene nos volvamos a encontrar en el que, sin duda, es uno de los mayores eventos nacionales en materia de seguridad.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com