logo icfs superior.png eps-p.png excelencia.png

 

ICFS Instituto de Ciencias Forenses y de la Seguridad

 

Gestión de la información – Robo de contraseñas en LinkedIn

 

LinkedIn, la red social para profesionales confirmó este miércoles 6 de junio de 2012 que ha sido objeto de una violación de seguridad que compromete las contraseñas de algunos de sus usuarios.

De momento, LinkedIn reconoce que se ha liberado una lista de contraseñas, pero aún no es conocido quién lo ha hecho ni si el archivo contiene únicamente las contraseñas o incluye además las direcciones de correo electrónico de los usuarios.

La compañía ha enviado un correo informativo y ha forzado el restablecimiento de las contraseñas de los usuarios afectados, al tiempo que recomienda a todos sus usuarios a cambiar la contraseña actual como medida preventiva.

LinkedIn, como red social de profesionales, tiene información confidencial relativa a datos profesionales de más de 160 millones de usuarios. Esto implica que un usuario afectado de LinkedIn puede tener comprometida información privada como, a qué se dedica, donde trabaja, etc. pudiendo ser por tanto un claro objetivo de posibles ataques, como por ejemplo de suplantación de identidad, lo que implicaría grave

s consecuencias para la reputación de la persona afectada.

Los riesgos de la pérdida de contraseñas crecen exponencialmente, si tenemos en cuenta que la misma contraseña puede ser utilizada para otros servicios como por ejemplo, Gmail,Facebook, Twitter, etc.

Es obvio por tanto, que una buena práctica de seguridad es, además de utilizar contraseñas robustas, utilizar diferentes contraseñas para cada servicio y cambiarlas de forma periódica.

Incidentes como éste y otros muchos más, demuestran que la seguridad es clave en un mundo cada vez más digitalizado y que además, ésta no es responsabilidad de las grandes organizaciones e instituciones privadas y públicas, sino que es responsabilidad de todos, tanto en el ámbito personal como profesional, y debe comenzar por nuestra propia concienciación y compromiso como usuarios de servicios de la red.

Govardhan Ghanshyam

S21sec University

 

Dispositivos móviles - Recomendaciones seguridad smartphones

 

En el siguiente post os presentamos 12 sencillos consejos para mantener seguro vuestro smartphone frente a robos de contactos, contraseñas, fotografías o datos personales y accesos ilegítimos a páginas web o compras online.

 

Los dispositivos móviles han ido evolucionando hasta converger prácticamente con los ordenadores personales en cuanto a funcionalidades se refiere. Sin embargo, como nota negativa se puede destacar un aumento en los riesgos que se asocian a su uso. En la actualidad se conocen más de 40 millones de programas maliciosos para PC y únicamente 600 para smartphones aunque se prevé un pronunciado aumento de estos últimos.

La generalización de la oferta de tarifas planas para smartphones ha supuesto una popularización de estos dispositivos totalmente vertiginosa, pero el problema es que no todos los usuarios no somos conscientes de los peligros que entraña no tener protegido nuestro terminal. Muchas de las precauciones de seguridad para los smartphones son similares a las de los PC.

 

Seguir leyendo...

 

Infraestructuras críticas – La seguridad de las infraestructuras criticas mundiales a examen

 

El pasado día 3 de noviembre se realizó en Bruselas el primer simulacro de ciberataque contra infraestructuras críticas, en el que participaban conjuntamente Europa y Estados Unidos. En este tipo de simulacros colaboran diversos organismos de diferentes países para poner a punto sus centros de respuesta.

Por parte española han participado cuatro organismos con un rol activo en la ciberseguridad, como son; el Departamento de Infraestructura y Seguimiento para Situaciones de Crisis (DISSC) de la Presidencia del Gobierno, el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) del Ministerio del Interior, el Centro de Respuesta a Incidentes de Seguridad para las Administraciones Públicas (CCN-CERT) del Ministerio de Defensa, y el Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT) del Ministerio de Industria, Turismo y Comercio.

A nivel supranacional, el ejercicio contó con el apoyo de la agencia europea para la seguridad de las redes y de la información (ENISA) y del departamento de seguridad nacional (DHS, Department Homeland Security) por parte del gobierno estadounidense. Conviene destacar que ENISA es una agencia encargada, entre otras cosas, de elaborar planes de contingencia a nivel europeo, guías de buenas prácticas para empresas y en general de dar apoyo a los países miembros de la UE en tareas de seguridad.

En este tipo de ejercicios se simulan posibles casos reales de ataques o fallos en sistemas críticos, cuyo fallo podría desencadenar una verdadera crisis para la población. A partir de esta situación los diferentes expertos reunidos estudian, entre otras cosas, las diferentes formas de apoyo y cooperación que podrían darse entre Europa y Estados Unidos para resolver este tipo de conflictos.

Cyber Atlantic 2011, como se han denominado estos ejercicios, ha planteado dos escenarios de ataque. En primer lugar se ha recreado un ataque de tipo APT (Amenaza Persistente Avanzada). Estos tipos de ataque se caracterizan porque son ataques con el propósito de robar información y porque se alargan en el tiempo, soliendo pasar desapercibidos tanto para usuarios como para administradores. En este escenario del ejercicio se descubría que un grupo de hackers había conseguido acceder a información clasificada de un organismo Europeo y los distintos estados miembros debían colaborar conjuntamente para detener el incidente y coordinarse a su vez con Estados Unidos, por si éste pudiera haberse visto también afectado.

El segundo escenario se centró en la simulación de un fallo en centrales de generación de energía eólica en varios países miembros de la Unión Europea, producido por un ataque cibernético a los sistemas de supervisión y control (SCADA). Para este tipo de situaciones, la coordinación entre Estados Unidos y la Unión Europea es fundamental ya que muchos de los sistemas SCADA como los dispositivos físicos utilizados en Europa son los mismos que se utilizan en Estados Unidos.

Para finalizar, destacar que este simulacro de cooperación ha seguido el modelo utilizado el año pasado con los ejercicios que se realizaron para la Cyber Europe 2010, ejercicios coordinados enteramente por la ENISA. Además, CyberAthlantic ha sido uno de los frutos de la colaboración establecida entre Europa y Estados Unidos en materia de ciberseguridad, a través del grupo de trabajo “EU-US Working Group (EU-US WG) on Cyber-security and Cybercrime” creado en noviembre de 2010 y en el cual se abordan todo tipo de cuestiones de seguridad, incluida la compartición de experiencias y buenas prácticas en materia de seguridad de control industrial e infraestructuras criticas en general.

Victor Fidalgo Villar

S21sec labs

 

Agencia de Certificaciones de Ciberseguridad
Universidad Autónoma de Madrid
Campus de Cantoblanco
Calle Francisco Tomás y Valiente 11 - Edificio C
28049 MADRID

Teléfono: (+34) 91 4972620
Fax: (+34) 91 4975215
Correo: contacto.acc@uam.es