Cuidado con el robo de identidad

Cuidado con el robo de identidad

Muchas veces se dice que facebook y las redes sociales conllevan un riesgo para los usuarios y que es de vital importancia el proteger los datos personales para que nadie pueda suplantar nuestra identidad. Desde este blog hacemos especial hincapié en las empresas, ya que el acceso a los correos de empresas o la suplantación de identidad puede tener graves consecuencias para éstas, a niveles que probablemente nunca se han parado a pensar. Sin embargo, ayer me encontré con el primer caso directo de una persona a la que le han suplantado la identidad, robado el correo electrónico y puesto en una situación delicada al utilizar su nombre y sus contactos como si fuera ella.

Hablando con mi peluquera, me comentaba que hacía aproximadamente un mes que le habían robado su cuenta en facebook y en hotmail (y, por tanto, en messenger) con lo que le era totalmente imposible entrar en ellas. Puede parecer que no se trata de un caso tan grave. Después de todo, con abrir una nueva cuenta ya parece que se soluciona el problema. Pero el caso es que en un primer momento ella no se dio cuenta de que personas ajenas estaban accediendo a sus cuentas y podían saber datos íntimos que ella no contaba a nadie más que a los destinatarios de sus mensajes o conversaciones.

De hecho, se dio cuenta cuando el personaje decidió cambiar sus contraseñas y sus preguntas de acceso, de modo que se quedó sin acceso a sus cuentas de correo y de hotmail. Al tener una idea de quién podría ser y ver que podía tener problemas por esa suplantación de identidad, decidió denunciar la situación en comisaría, sorprendiéndose de que allí estuvieran habituados a este tipo de situaciones y se tomaran su situación con toda la seriedad que requieren estos casos.

¿Qué hubiera pasado si no hubiera denunciado ese robo de identidad a la comisaría? Podría haber estar en verdaderos problemas: multas, denuncias varias e incluso se podría llegar a la cárcel.

Aunque no lo parezca, no exagero. A espaldas de ella, el individuo que le había robado la identidad empezó a utilizar el messenger para hablar con los amigos de ella y amenazarlos, haciéndose pasar por mi peluquera, hasta el punto de recibir una llamada de un amigo diciendo que tuviera cuidado, que no creía que fuera ella pero que la iba a denunciar por las cosas que le estaba diciendo desde el messenger, desde amenazas de muerte hasta insultos varios.

Asimismo, al ser la propietaria de la peluquería, en su correo había muchos mensajes referentes a nóminas de trabajadores, contratos o datos confidenciales, que podían haberle supuesto muchos problemas de haberse utilizado de forma fraudulenta (quitar dinero de las nóminas, por ejemplo, podría ser una posibilidad factible que podría llevarla a parecer que estaba cometiendo un fraude).

La situación es mucho más grave de lo que podía suponerse en un principio, especialmente por tratarse de una autónoma que tiene trabajadores a su cargo y cuya documentación y datos confidenciales pueden ser sustraídos por quien le ha robado la identidad de forma fácil y rápida.

Un punto complicado es el de poder demostrar que ese correo es el propio, ya que demostrar que una cuenta es de una persona cuando no puede acceder a ella es de por sí difícil. Asimismo, demostrar que no somos nosotros los que estamos utilizando el correo o el facebook puede resultar también difícil, especialmente si no se ha denunciado la suplantación de identidad.

Ante esta situación la única solución es denunciar la situación y cambiar todos los datos que pueden haberse convertido en públicos para evitar problemas mayores. Este proceso es largo y difícil pero necesario para evitar problemas mayores. Y, no menos importante, hay que asegurar los datos para que en caso que volviera a pasar algo parecido, no hubiera peligro de perderlos o de que se filtraran.

En el caso de los usuarios poco más se puede hacer pero en el de las empresas, en las que la información es tan importante y tiene tanto valor, existen varios sistemas para proteger los datos y las contraseñas que hay que tener en cuenta.

Uno de ellos es sistema basado en un dispositivo llamado token, de pequeño tamaño  almacena claves criptográficas como firmas digitales o datos biométricos como huellas digitales. Para poder entrar en el entorno protegido con este sistema el usuario debe saber las contraseñas y, además, poner el número aleatorio que aparece en el token en el momento en que quiere ingresar en la cuenta. De este modo, aunque le roben las contraseñas, si no tienen el aparatito no podrán acceder a los datos.

Otra manera de proteger el sistema podría ser uno basado en sms, de manera que cuando el usuario quisiera entrar en el entorno protegido el sistema le enviara un sms con un número que debería introducir para poder entrar. Evidentemente, siempre nos pueden robar el móbil o el token y acceder a la cuenta con las contraseñas robadas pero será mucho más difícil con este sistema implantado que sin tener ningún sistema de seguridad adicional.

Si alquien quiere robar las contraseñas probablemente podrá hacerlo si tiene los conocimientos necesarios pero al menos hay que hacérselo lo más difícil posible.

Leer más

Miles de millones robados a pymes estadounidenses mediante un ataque ACH

Miles de millones robados a pymes estadounidenses mediante un ataque ACH

La noticia tiene un titular de impacto, en toda la prensa especializada o no, ha aparecido en las ultimas horas. 

La gravedad del titular hace que adquiera una magnitud proporcional al despliegue que supuestamente han realizado los ciberatacadores. 

Y digo supuestamente por que si os fijais con detalle, en la noticia, no se citan casos concretos, tratan el asunto de forma generalizada. Y esto ya empieza a preocupar. Empieza a preocupar que cuando quieres ver informacion fiable relativa a perdidas de datos unicamente se publican de forma razonable y concreta en la pagina web de la Agencia Española de Proteccion de Datos. No me refiero a la forma empleada por el periodista si no a la noticia propiamente: los ciberdelincuentes estan entrando en las organizaciones de pequeño y mediano tamaño (cuales?, quien son? de que sectores?, de que poblaciones? datos concretos?).

Esta parece una noticia elaborada a partir de un estudio realizado y cuyo objetivo sea una divulgacion, una informacion acerca de un hecho generalizado que a futuro pueda ser que nos afecte. En ningun momento cita nombres de entidades afectadas, ni de colectivos de usuarios afectados. Ni un solo nombre de referencia. No hay posibilidad de analisis de perdida de confianza hacia empresas publicas o privadas. 

Preocupa que cuando se refieren a ataques ciberneticos, en la mayoria de noticias, se refieren a situaciones sufridas en USA por empresas de USA y por usuarios de USA, preocupan por que nunca o casi nunca hacen referencia a ataques sufridos por empresas de aqui a pesar de que existen, aunque quizas no se notifican a su debido tiempo o cuando se notifican no generan impacto. Muchas no se notifican publicamente por verguenza. 

El caso del Hospital Clinic y su perdida de documentos conteniendo datos de usuarios es trascendente, en la medida que el personal no siguio un protocolo en la destruccion de documentos, la cuestion es si este protocolo existe, muchos sabemos que si existe no se cumple habitualmente en forma y fondo, basicamente por que no se ha proporcionado formacion o no se ha proporcionado toda la informacion correcta a los usuarios / empleados en el tratamiento de los datos, en el objeto del tratamiento y en la forma de actuar. Y principalmente por que la Direccion no ha realizado correctamente la tarea y no ha asumido la responsabilidad que debe asumir y que, legalmente, sobre ella recae, a menudo tambien por desconcimiento en el manejo de los datos. 

El caso del Clinic seria una muestra de como no deben hacerse las cosas si la organizacion hubiese recibido una sancion por la negligencia en la accion realizada, por desconocimiento de la normativa y por no aplicacion de la Ley Organica de Proteccion de Datos Personales, que afecta a datos de nivel alto. Contra todo pronostico, aparece la Agencia Catalana de Proteccio de Dades diciendo que no seran sancionados economicamente y aqui se da por cerrada la noticia. 

Si trasladamos la misma negligencia que ha cometido el Clinic en sus procedimientos, a la empresa privada, a un laboratorio de analisis, por poner un ejemplo del mismo tipo de datos: nivel alto, hubiese sido sancionada añadiendo que la responsabilidad recaeria sobre el responsable del fichero, en la mayoria de empresas la Direccion, la cual a su vez deberia responder legalmente ante cualquier reclamacion realizada por los usuarios afectados en la perdida de documentos. La gravedad de la magnitud del problema, cada cual que la evalue y analice si el impacto de la falta de responsabilidad cometida por el Clinic, debe o no ser objeto de sancion, aunque se ampare en una legalidad que hace que no tenga consecuencias mas graves.

Los ciberdelincuentes están entrando en las organizaciones de pequeño y mediano tamaño cada semana para robar millones de dólares en una continua estafa que ya ha conseguido recaudar alrededor de 100 millones de dólares de cuentas bancarias estadounidenses, según ha advertido el FBI.

Se trata de uno de los principales problemas que ocupan en la actualidad a la organización National Cyber Forensics and Training Alliance (NCFTA) de Estados Unidos, que trabaja con el FBI y la industria para compartir información sobre ciberataques, de acuerdo con las declaraciones del director ejecutivo de la alianza, Ron Plesco. “Cada año parece producirse una tendencia diferente, y esta ha sido la de 2009”, asegura.

De hecho, según el FBI se ha detectado un “aumento significativo” en lo que se conoce como fraude ACH (Automated ClearingHouse) durante los últimos meses, la mayor parte de él dirigido contra pequeños negocios, gobiernos municipales y escuelas.

Los delincuentes pueden llegar a retirar en ocasiones miles e incluso millones de dólares rápidamente de las cuentas de sus víctimas mediante estos ataques, utilizando para ello online banking y añadiendo nuevos beneficiarios a las cuentas bancarias con el fin de sacar luego fondos de la noche a la mañana.

Generalmente el primer paso es el envío de un correo electrónico al director financiero o responsable de cuentas de la compañía que incluye archivos adjuntos maliciosos diseñados para simular parches de software de Microsoft, o, simplemente, enlaces a sitios web maliciosos. El objetivo es descargar software de keylogging sobre el ordenador del usuario con acceso a la banca online y después robar sus credenciales de acceso a los sistemas.

Una vez los atacantes disponen de acceso a la cuenta bancaria, generan transferencias ACH a las conocidas como “money mules” (mulas de dinero), generalmente víctimas inocentes que creen estar procesando nóminas para compañías internacionales y que después transfieren el dinero a otros países mediante servicios como Western Union o Moneygram.

En un caso, los atacantes han llegado a lanzar un ataque DoS contra un procesador ACH para impedir que el banco pudiera recuperar las transferencias antes de que las “money mules” las reenviaran fuera del país. Una vez el dinero se encuentra en el extranjero, el objetivo se considera conseguido.

Leer más

La polémica en la descarga de archivos P2P

La polémica en la descarga de archivos P2P

Esta mañana ha aparecido en La Vanguardia un artículo conforme en Gran Bretaña cortará internet a los usuarios que abusen de las descargas. Me gustaría analizar toda esta problemática.

Las redes de descarga de archivos permiten que una gran cantidad de usuarios puedan descargarse tanto películas como series de televisión, música e incluso libros. Los artistas y los que viven de este tipo de productos hace tiempo que se quejan de esta libre distribución de sus obras, sin que tengan una retribución económica derivada de la descarga de estos archivos. Esta queja puede ser entendida e incluso aceptada por la mayoría de los usuarios pero el abuso que algunas instituciones (dicese la polémica sociedad de autores, por ejemplo) han hecho de toda esta problemática haya generado precisamente el efecto contrario del que se buscaba. Los usuarios no tienen ningún tipo de reparo a la hora de descargar archivos y, de hecho, se sienten todavía más legitimados a ello gracias a medidas como el canon (si pagan por adelantado por el delito, quién les puede decir que no lo cometan?) y otros abusos. Precisamente ése es el punto clave en toda esta problemática: si quieren que el usuario no se descargue archivos deberían dar argumentos y opciones realistas para que éste decida, libremente, no realizar la descarga. En vez de imponer, se debería intentar educar pero encontrando soluciones realistas que no favorezcan de un modo extremo a unos u otros, sino que ayuden a que tanto los que quieren la información como los que consideran que se debe pagar por ella consigan un trato justo.

Y es que hay mucho que decir respecto a este tema.

En primer lugar, no debería ser ilegal descargar todos los archivos que pueden bajarse desde la red. Por ejemplo, ¿qué hay de las series de televisión, ya emitidas en su momento? ¿Acaso un usuario no puede haber grabado la serie en video y pasarla a quien él quiera? Este archivo debe ser de libre distribución, ya que no existe ningún tipo de transacción económica ni en el que ha grabado la serie ni en el que se la ha descargado. De hecho, muchas de las cadenas permiten a los usuarios ver los capítulos emitidos de sus series y el hecho de que el usuario pueda descargarla puede generar un beneficio al poder decidir ver la serie (si tiene esa posibilidad) directamente en la cadena que la emita.

Lo mismo sucede en el caso de las películas emitidas en televisión. Puedo entender que sea ilegal descargar una película screener grabada directamente en el cine (aunque los precios de este medio de comunicación también son abusivos y han contribuido notablemente a la gran proliferación de las descargas) pero si una película ha sido emitida en televisión se ha dado la posibilidad de grabarla para uso personal, por lo que a mi parecer no debería ser un problema que pueda descargarse.

Asimismo, si mi amigo Juanito tiene el último cd de quien sea, lo ha comprado legalmente y me hace una copia, ya que entre nosotros no existe un vínculo económico, eso debería ser legal. Nadie se beneficia económicamente de la transacción. De hecho, ésa es la base de los programas P2P. Cuanto más tenga yo para intercambiar más rápido y más cantidad de archivos podré conseguir. Es la democracia pura. El problema es que esto choca con la mentalidad capitalista, por la que hay que pagar por todo y hay unos cuantos que no están demasiado contentos con el tema. Me parece lógico que un artista pueda quejarse de no recibir retribución por la distribución libre de su cd, pero la libertad es esencial para el individuo y si se cierran las redes P2P ya aparecerá otra manera de que los usuarios puedan itnercambiar archivos. Cuando Napster desapareció no tardó demasiado en aparecer otro tipo de programas, dícese Emule o Ares, tanto da.

Lo que quieren hacer en Gran Bretaña (y en Francia y, mucho me temo, dentro de poco en España) tiene un sentido pero parte de una idea errónea. No se analiza el coste de venta de los productos, que en muchos casos es abusivo, sino únicamente el perjuicio que tienen estas descargas para las grandes compañías y autores. Si un usuario compra un DVD por 1 € y después tiene que pagar una película por 15€ por mucho que se tenga que contar el precio de la carátula, la fotografía, el diseño o la distribución el coste final es excesivo para el usuario e inevitablemente si puede descargarse el producto posiblemente lo hará.

La clave está en que no se debe luchar contra un sistema tan interesante como el que propone internet y la libre distribución gratuita de archivos entre usuarios sino que hay que adaptarse a las nuevas necesidades sociales. En vez de reprimir y quejarse, se deberían mejorar los productos finales para que la descarga no valiera la pena, bajar precios de éstos igualmente para que el usuario no sintiera la necesidad de descargarlos y, por supuesto, formar, que no reprimir, a los usuarios en la buena utilización de las posibilidades que nos dan las redes de P2P.

Leer más

Inteco en el III Encuentro de Seguridad, sera mañana la sede de la ponencia "El enemigo interno"

Inteco en el III Encuentro de Seguridad, sera mañana la sede de la ponencia "El enemigo interno"

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reúne en León de nuevo a los mejores expertos nacionales en seguridad durante los días 27, 28 y 29 de octubre en el tercer Encuentro Nacional de la Industria de la Seguridad en España (ENISE). León se convierte un año más en centro de referencia nacional del sector de la seguridad gracias a la celebración de un evento que fomenta el debate y el análisis sobre la seguridad en los sectores de referencia.

Esta tercera edición tiene como temática central la Innovación Tecnológica en Seguridad TIC. En cada una de las jornadas se analiza la innovación desde tres puntos de vista diferentes: Innovación en Seguridad en la Sociedad de la Información; Negocio e Innovación en Seguridad e Innovación en Servicios Electrónicos Seguros.

En el acto de inauguración oficial del encuentro, que ha contado con la presencia del alcalde de León, Francisco Fernández; la secretaria general de Instituciones Penitenciarias, Mercedes Gallizo y el director general de INTECO, Víctor Izquierdo; el Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Francisco Ros, ha destacado la consolidación de INTECO como centro nacional de referencia en tecnologías de seguridad, accesibilidad y calidad del software, un logro obtenido gracias al esfuerzo de todas las instituciones participantes. Esperamos prosiguió que esta tercera edición de ENISE sirva para promover el uso de las TIC entre los ciudadanos y para proyectar los desarrollos y productos de las empresas españolas.

Mañana dia 28 a las 4 de la tarde presentare la ponencia que lleva por titulo " El enemigo interno " con el objetivo de recordar que la informacion es victima de ataques externos muy diversos pero no hay que olvidar los ataques a los datos realizados, voluntaria o involuntariamente, por "enemigos internos" residentes en todas las organizaciones. Analizaremos cuales son las medidas a aplicar y veremos las conclusiones finales del enfoque.

Cada jornada del evento está estructurada en sesiones plenarias, de alto nivel y carácter estratégico, que constituyen el preámbulo e introducción a la temática central del día. A continuación, se desarrollan los talleres tecnológicos, en los que se realizan exposiciones de carácter más técnico y eliminando los contenidos de tipo comercial.

A partir de la proxima semana podreis descargar en la pagina web de Inteco, www.inteco.es, la ponencia detallada.

Leer más

El miedo a vender on line (1)

El miedo a vender on line (1)

Hoy se ha publicado un nuevo artículo en el blog Comespam de La Vanguardia en el que analizo porqué las empresas tienen miedo a vender online.

El secretario de Estado para las Comunicaciones afirmó hace unos días que "las empresas tienen que perder el miedo a vender on line". La frase suena bien, en su contexto es razonable, pero la pregunta siguiente es "¿a qué tienen miedo las empresas ante la venta on line? y ¿Por qué tienen miedo?".

Se han escrito ríos de tinta acerca de preservar la seguridad en las tarjetas de crédito de los usuarios  y cientos de páginas acerca del nivel de seguridad de las transacciones comerciales online. El usuario se plantea la gran duda: ¿a quién / dónde  llega mi dinero cuando pago con mi tarjeta de crédito?

Se han creado pasarelas de pago a través de internet que permiten asegurar las transacciones comerciales con las tarjetas de crédito para que el usuario - comprador esté tranquilo y sepa que su dinero llegará donde él ha decidido que debe llegar, se ha elevado al cubo la seguridad del banco emisor para la comprobación de identidades de las tarjetas de crédito, pero muy poca gente (apenas nadie) habla del comercio vendedor. Cuáles son las garantías que tiene el comercio, el vendedor online, de que la operación mediante tarjeta de crédito llegue a buen fin.

Podéis leer el artículo entero en La Vanguardia:

http://www.lavanguardia.es/lv24h/20090915/53785352018.html

Leer más

Nuevo sistema antipiratería

Nuevo sistema antipiratería

El otro día leí una noticia en la que un abogado y un hacker habían unido sus fuerzas para crear un tipo de negocio diferente derivado de toda la polémica de los derechos de autor. El sistema se centra en controlar y eliminar los contenidos no autorizados por el autor en internet, con lo que se persigue el contenido y no el cibernauta. No importa quién se haya descargado el contenido sino eliminarlo de la red para que no se pueda volver a descargar.

Esta idea a priori parece interesante, pero ataca directamente la misma esencia de internet, la libertad de contenidos. Este servicio, evidentemente, apoya totalmente a los autores, dándoles potestad para decidir qué contenidos quieren que aparezcan online y cuáles no, pero no tiene en cuenta al usuario y su derecho a la información. De nuevo internet se convierte en un medio controlado, en el que los contenidos, en vez de circular libres y, por tanto, generar un conocimiento diferente y menos partidista que otros medios, se regulan y restringen.

De hecho, la temática de los derechos de autor en la red es una polémica que trae cola desde hace mucho. La televisión, la prensa escrita o la radio suelen estar controladas, de manera que lo que aparece en estos medios de comunicación suele tener el visto bueno legal (aunque a veces haya algunas problemáticas entre cadenas o emisoras de la competencia).

Internet es un medio diferente, es mucho más difícil de controlar porque el acceso a la creción de contenidos en la red es más económico (en muchos casos gratuito), más sencillo y mucho más rápido que en el resto de medios. Y precisamente ahí estriba el verdadero valor de este medio.

Controlar los contenidos de internet se ha convertido en un verdadero dolor de cabeza para algunos, a veces con razón y otras sin ella. Un personaje público está claro que por el hecho de ser público puede perder fácilmente su intimidad, e internet es un medio que facilita el acceso a esa información restringida, que en muchos casos no se querría compartir. No quiero entrar en el hecho de si el personaje en sí tiene realmente derecho o no a intentar eliminar un contenido que ha sido de uso público al estar colgado en internet, ni tampoco en la polémica de las películas o descargas de música, pero lo que está claro es que ir eliminando los contenidos uno a uno no ayuda a crear esa red de redes en que se basa internet sino que pone cercos a una información que tarde o temprano volverá a surgir si realmente es de interés público.

Internet es el medio de comunicación más cercano a los usuarios, el que posibilita que sean los propios usuarios los que aporten sus experiencias, conocimientos, noticias y opiniones, de hecho en eso se basa precisamente la web 2.0, en que sean los propios usuarios los que vayan creando los contenidos que les son relevantes en esta red de redes.

Controlar lo que aparece en la red no solamente supone ir contra la esencia de esta nueva red global centrada en las redes sociales sino que quita la esencia misma a un medio que, en sí, puede dar cabida tanto contenidos favorables como desfavorables para los usuarios y, con ello, ayuda a fomentar la comunicación e interacción entre estos en tiempo real o no, a diferencia de otros medios, que posibilitan la comunicación de unos pocos y en muchas menos ocasiones.

Fuente: El Periodico

Leer más

Libertad de internet en la empresa

Libertad de internet en la empresa

Hoy ha aparecido en un diario conocido una noticia que me resulta especialmente interesante. Según el rotativo “Más de la mitad de las empresas de EE.UU. veta Facebook y Twitter”. La noticia se refiere a los usuarios de USA pero el caso en España tiene la misma relevancia aunque aquí tengamos menos conciencia de ello.

Bloquear el acceso a internet de determinadas páginas web en el trabajo se ha convertido en una necesidad en el mundo actual, en el que internet facilita el acceso a un sinfín de distracciones y puede suponer unas pérdidas económicas muy importantes derivadas de la falta de productividad de los usuarios.

Las redes sociales en la empresa pueden ser interesantes, evidentemente, pero se tiene que tener muy claro para qué se utilizan y no todos los usuarios las necesitan como herramienta de generacion de negocio. En un entorno de marketing, las redes sociales facilitan el acceso más rápido a la información de ventas, una comunicación más directa y mejor con el cliente y una mayor facilidad feedback para mejorar las comunicaciones y ofertas para el cliente.

Sin embargo, en muchos casos los empleados no las utilizan para fomentar la imagen de la empresa o cualquier otra temática laboral, sino que entran en este tipo de webs 2.0 exclusivamente para temas personales, lo que resta tiempo de trabajo y dificulta su concentración, lo que supone un retroceso en el rendimiento laboral.

Un internet libre en la empresa supone que los empleados sean muy restrictivos consigo mismos y extremadamente responsables, para que su uso sea el óptimo y no se desperdicien los recursos y el tiempo en temas personales. Si los usuarios tienen la capacidad de utilizar internet para mejorar su rendimiento laboral éste no debería tener filtros pero desgraciadamente está demostrado que cuanta menos restricción hay más libertades se toma y más tiempo perdido se acumula.

Una herramienta interesante para las empresas en este caso puede ser un Barracuda Webfilter. Se instala, se determina a qué webs puede o no acceder el personal de la empresa y con ello se asegura que el tiempo laboral se dedica a temas de trabajo, sin invertir cantidades desocntroladas de tiempos en temas personales. El equipo ebfilter permite analizar las conexiones a internet de los usuarios de la empresa, priorizar traficos, tiempos, tareas y gestionar el uso de internet en la organización, sea del tamaño que sea.

Yo sigo creyendo en internet libre, no me gustan las restricciones y considero que se debe dejar libertad al usuario para que desarrolle su trabajo de la mejor forma posible para él pero como he destacado eso supone un control del usuario que en muchas ocasiones el mismo no tiene. En ese caso, es la empresa la que tiene que poner los medios ya que las pérdidas productivas de un mal uso de la red son muy significativas. Trabajar con libertad sí, trabajar poco y abusar, eso sí que no.

Leer más