Archive for the ‘Seguridad’ Category

Las 20 contraseñas más estúpidas que puedes elegir

11/11/2013

Contraseñas-tontas

Del robo de las cuentas de usuario que sufrió el desarrollador Adobe, en el que se estima que se pudo acceder a más de 150 millones de nombres de usuario y contraseñas, ha servido, entre otras cosas, para revelar datos curiosos sobre las contraseñas más comunes (y estúpidas) que a veces elegimos los usuarios.

Del robo de estas contraseñas, se ha podido compilar una lista de las más utilizadas y el número de usuarios que las empleaban. La lista de contraseñas más habituales y número de personas de Adobe es la siguiente:

  • 1.- 123456 – 1.911.938 usuarios
  • 2.- 123456789 – 446.162 usuarios
  • 3.- password – 345.834 usuarios
  • 4.- adobe123 – 211.659 usuarios
  • 5.- 12345678 – 201.580 usuarios
  • 6.- qwerty – 130.832 usuarios
  • 7.- 1234567 – 124.253 usuarios
  • 8.- 111111 – 113.884 usuarios
  • 9.- photoshop – 83.411 usuarios
  • 10.- 123123 – 82.694 usuarios
  • 11.- 1234567890 – 76.910 usuarios
  • 12.- 000000 – 76.186 usuarios
  • 13.- abc123 – 70.791 usuarios
  • 14.- 1234 – 61.453 usuarios
  • 15.- adobe1 – 56.744 usuarios
  • 16.- macromedia – 54.651 usuarios
  • 17.- azerty – 48.850 usuarios
  • 18.- iloveyou – 47.142 usuarios
  • 19.- aaaaaa – 44.281 usuarios
  • 20.- 654321 – 43.670 usuarios

login pass

Por otro lado, empresas como SplashData, que crea aplicaciones para gestión de contraseñas, publican anualmente una lista de las peores contraseñas que puedes usar. Así, si tu contraseña está en alguna de estas listas o es parecida (ya que en ella hay muchas palabras en inglés que generalmente no utilizará alguien que hable castellano), deberías ir pensando en cambiarla cuanto antes.

La lista de las peores contraseñas en 2012 según SplashData es la siguiente:

  • 1.- password
  • 2.- 123456
  • 3.- 12345678
  • 4.- abc123
  • 5.- qwerty
  • 6.- monkey
  • 7.- letmein
  • 8.- dragon
  • 9.- 111111
  • 10.- baseball
  • 11.- iloveyou
  • 12. trustno1
  • 13.- 1234567
  • 14.- sunshine
  • 15.- master
  • 16.- 123123
  • 17.- welcome
  • 18.- shadow
  • 19.- ashley
  • 20.- football
  • 21.- jesus
  • 22.- michael
  • 23.- ninja
  • 24.- mustang
  • 25.- password1

Fuente: Tecnopasion.com

Los virus informáticos cumplen 25 años

06/11/2013

Fue en 1988 cuando un joven estudiante, hijo de un experto de la NSA, propagó por primera vez un programa que dañó miles de ordenadores conectados.

La noticia sobre el primer virus informático tal como se explicó en televisión en 1988

Los virus informáticos cumplen 25 años este mes. Fue en noviembre de 1988 cuando Ropert T. Morris, un estudiante norteamericano de la Universidad de Cornell, en Ithaca (Nueva York), infectó uno de cada diez ordenadores que por entonces estaban conectados a la primitiva internet (por entonces, Arpanet), fundamentalmente en centros académicos y de investigación, como el Instituto de Tecnología de Massachusetts (MIT), y en organismos oficiales, como el Departamento de Defensa.

El programa que desarrolló este joven “saboteador”, como se le llamó en aquella época, era capaz de “autoreplicarse”. El virus fue bautizado en Estados Unidos como “gusano de Morris”, por el apellido de su principal creador. A pesar de que supuestamente no fue diseñado para producir daños, según adujo su propio causante, lo cierto es que sí originó múltiples fallos en miles de computadoras. En realidad, Morris, que tenía 23 años, dijo haberlo propagado “por error”.

Computer Virus TV News Report

Cuando el código fue aislado y sometido a un análisis concienzudo, los expertos se dieron cuenta de que era obra de dos programadores distintos. Todo indicaba que el joven Robert T. había utilizado parte de los programas ideados por su padre, sobre todo un juego que ocupaba y borraba la memoria de sus contrincantes. El progenitor del estudiante, por cierto, trabajaba para la Agencia de Seguridad Nacional, la popular y controvertida NSA.

El sospechoso, que al percatarse del caos que había generado pidió a un amigo que enviase un correo electrónico de disculpa, fue juzgado en 1990 y se convirtió en el primer condenado de acuerdo con la ley de fraudes informáticos. Sin embargo, no ingresó en prisión y, a cambio, tuvo que pagar una multa, cumplir 400 horas de trabajo comunitario y permanecer tres años en libertad condicional.

LA VANGUARDIA

Predicciones de seguridad TI para 2013 – CSO

05/12/2012

See on Scoop.itaTICser

Afegeix un mèdiaSocial-Media-Security-Infographic

Symantec presenta sus predicciones sobre lo que esperamos que ocurra en el mundo de la seguridad tecnológica próximo año 2013.

See on www.csospain.es

La predicciones seguridad para 2013 de Symantec se pueden clasificar en tres grupos (entorno de las amenazas, redes sociales y plataformas móviles y la nube).

Entorno de las amenazas:

El ciberconflicto se convierte en la norma

En 2013 (e incluso más adelante), los conflictos entre naciones, organizaciones e individuos tendrán un papel clave en el cibermundo. Potencialmente, allí donde existe un conflicto – ya sea político o económico – hay riesgo de ciberataques o actos de espionaje. En este sentido, las amenazas creadas para apoderarse de información – como las utilizadas en los ataques de Shamoon o Flamer – van a seguir produciéndose con bastante probabilidad durante 2013.

Ransomware es el nuevo scareware

Ramsomware va más allá de los intentos para engañar a las víctimas, ya que pueden llegar a intimidar y abusar de los individuos atacados. Aunque este “modelo de negocio” ha sido probado con anterioridad, tiene las mismas limitaciones que un secuestro en la vida real: nunca se ha logrado establecer un buen mecanismo para recaudar el dinero solicitado. Pero los ciberdelincuentes han descubierto ahora una solución a este problema: los métodos de pago online. Con esta forma de pago, pueden usar la fuerza en vez de unos meros engaños para robar a los usuarios que son objetivo de sus ataques.

Ataques contra la integridad de la información

De forma paralela a las amenazas de los “ladrones de información”, va a desarrollarse con bastante probabilidad otro tipo de amenazas dirigidas a la integridad de la información que tienen como objetivo la modificación de los datos y con unas acciones derivadas de ello que van a tener efecto en el mundo físico. Stuxnet fue la primera amenaza de este tipo y estamos seguros que no va a ser la última. Muy recientemente, Symantec dio a conocer Narilam, una amenaza muy sofisticada que tenía como objetivo modificar las bases de datos corporativas. Estas amenazas pueden afectar a las infraestructuras críticas de un país, además de a los procesos de fabricación y al sector financiero.

Riesgos contra las identidades

Aunque las identidades falsas se conocen bien y se utilizan a menudo con individuos, son menos habituales cuando hablamos de dispositivos conectados. Con el gran crecimiento de los objetos conectados a la Red, existe el riesgo de la elaboración de certificados para utilizarlos con fines maliciosos y que pueden crear problemas a la hora de utilizar dichos dispositivos. Las corporaciones que desarrollan y comercializan estos dispositivos, además de todos los consumidores que los utilizan, deberían tomar todas las medidas de seguridad necesarias.

Redes sociales

La monetización de las redes sociales presenta nuevos peligros

(more…)

Consejos para minimizar los riesgos de seguridad informática cuando se es teletrabajador

06/07/2012

See on Scoop.itaTICser

Según Kaspersky Lab, compañía especialista en soluciones de seguridad informática para usuarios finales, el teletrabajo es una fórmula laboral no exenta de riesgos para las empresas, ya que muchos de los que trabajan bajo esta modalidad utilizan sus equipos personales para ello.

Se trata del fenómeno llamado consumerización, en el que los trabajadores manejan datos de su empresa desde sus propios dispositivos, que necesariamente no tienen por qué estar preparados en términos de seguridad para ello, por lo que pueden poner en peligro la seguridad de la compañía. Esta tendencia, cada vez mayor, es una de las mayores preocupaciones para los responsables de seguridad TI de las empresas.

See on rrhhpress.com – Recursos Humanos RRHH Press

El riesgo aumenta enormemente si los teletrabajadores se conectan a una red WiFi pública, ya que estas redes públicas son consideradas un agujero de seguridad del que se aprovechan los ciberdelincuentes.

En el caso de los entornos virtuales en la empresa, el usuario se conecta remotamente al equipo de su centro de trabajo desde cualquier ubicación y dispositivo, manteniendo así las medidas de seguridad establecidas por la compañía. Es decir, si el entorno virtual está correctamente protegido, el usuario no correrá riesgos en cuanto a la seguridad.

En España, esta tecnología se está asentando poco a poco, y, pese al desconocimiento existente, un 23% de las empresas ya cuenta con una política de seguridad diseñada para el entorno virtual.

(more…)

¿Por qué no somos tan exigentes con el fax en lo que respecta a seguridad?

22/05/2012

See on Scoop.itaTICser

A colación de esta reflexión de Neil Versel sobre los faxes en la práctica clínica.

¿Por qué nos ponemos más papistas que el Papa con la seguridad de nuestros actuales sistemas de información? Porque es necesario, porque debe hacerse así… estoy totalmente de acuerdo… pero, ¿por qué no nos comportamos igual con otros sistemas de información? Pongamos algunos ejemplos:

  • Carritos con historias clínicas abandonados en los pasillos.
  • Listados de pacientes ingresados descuidados en los mostradores de algún servicio.
  • Faxes rebosando información confidencial sin que nadie se digne a recogerla. Incluso, en muchos casos, esa información ni iba destinada a ese fax…

See on www.sanchezlaguna.es

La cuestión es, ¿por qué no somos tan estrictos con esos “otros” sistemas de información? Que, por cierto, hasta hace muy poco eran nuestros únicos sistemas de información.

(more…)

Human Hacking: ataques tecnológicos que explotan vulnerabilidades no tecnológicas.

16/04/2012

Via Scoop.itaTICser

Eduardo J Orenes Nicolás
(CISSP/Security+/eCPPT/ACE)

Siendo estrictos, es preciso diferenciar cuándo un ataque de ingeniería social (en adelante IS) es puramente digital o clásico, para poder percibir la gravedad de la presente situación. Con clásico nos referimos a aquel ataque de IS que emplea los medios de comunicación para alcanzar su fin (sin usar la tecnología), y por tanto, necesita una interacción voluntaria por parte de la víctima (debe al menos leerlo). En cambio, en los casos de IS digital, la interacción suele producirse de forma que la víctima no es consciente (la información que recibe no va destinada a interpretación o lectura), y precisamente por ello escribimos este artículo, pues cabe la posibilidad de ser manipulado sin siquiera percibirlo, lo cual constituye una amenaza muy seria. Ambos son engaños que emplean el descuido como vía de explotación, aunque con sutiles diferencias.

Via CSO – www.csospain.es

(more…)

Los cibercriminales se fijan en el sector sanitario – CSO

19/03/2012

Via Scoop.itaTICser

Los ciberdelincuentes suelen acudir a donde hay datos más sensibles y en mayor número. En un momento en el que se tiende a la informatización de los sistemas sanitarios para mejorar toda la estructura, los ciberdelincuentes parecen haber encontrado un objetivo atractivo en este tipo de redes.

Las compañías de seguridad ya han alertado en varias ocasiones sobre la necesidad de realizar esfuerzos extra en el sector sanitario para proteger toda la información que se maneja.

Via www.csospain.es

(more…)

La muerte de Steve Jobs, aprovechada como timo en Facebook

07/10/2011

Via Scoop.itaTICser

Más de 20.000 usuarios se han visto ya afectados, según PandaLabs, por una estafa en Facebook que intenta aprovecharse de la noticia de la muerte de Steve Jobs.  

Según la información facilitada por PandaLabs, la dirección web maliciosa redirige a una página web que hace creer al usuario que ha resultado ganador de algún gadget, aunque para obtener el premio, debe suscribirse a un servicio de SMS en su teléfono móvil, con un gasto de 1,42 euros por mensaje.

Esta estafa, del tipo scam, hará que el usuario estafado nunca reciba el regalo seleccionado y, en cambio, recibirá un buen número de SMS spam que le supondrá un gasto económico. Además, para favorecer el engaño, el sitio web malicioso cuenta con geolocalización, por lo que mostrará al usuario diferentes mensajes en su idioma dependiendo de dónde se sitúe.

Según PandaLabs, más de 20.000 usuarios han accedido a este sitio web malicioso en sólo 8 horas, y el ritmo crece exponencialmente.

“En cuanto tuvimos noticia de la muerte de Steve Jobs comenzamos a buscar malware relacionado”, comenta Luis Corrons, Director Técnico de PandaLabs. “Es muy común que los ciberdelincuentes utilicen este tipo de noticias de calado mundial como gancho para propagar sus creaciones, de tal forma que se aseguren un buen número de usuarios a los que poder estafar”.

Show original

06/10/2011 PCWORLD PROFESIONAL

.

Las redes sociales y los ‘smartphones’ amenazan la privacidad empresarial

05/10/2011

Tres cuartas partes de las fugas de información en una empresa proceden aún de sus propios empleados, ya sea de modo deliberado o inconsciente. No obstante, otros muchos riesgos acechan desde Internet.

Por un lado, herramie [… Show original]

Las redes sociales y los ‘smartphones’ amenazan la privacidad empresarial (pdf)

😉

El 57% de las compañías carece aún de una estrategia de seguridad para el uso que los empleados hacen de sus dispositivos personales. En España, este porcentaje asciende al 62,5%.

La problemàtica

●  Las empresas incorporan nuevos dispositivos de acceso a datos corporativos.

● Al mismo tiempo, los equipos de la empresa se emplean para acceder a sitios de entretenimiento online.

● Los empleados no conocen bien los riesgos, ni qué les está permitido hacer con esos equipos.

● Es difícil supervisar que los proveedores multinacionales de cloud computing cumplen los protocolos de seguridad, más aún, cuando las leyes que rigen la Red son distintas en cada país.

‘Cloud computing’: ¿un riesgo en sí mismo?

Por el propio concepto de acceso en remoto, el cloud computing (o informática en la nube) se ha identificado siempre como un entorno de riesgo. Bajo esta modalidad, no siempre es fácil situar geográficamente dónde se encuentra cierta información.

Tampoco resulta sencillo gestionar los privilegios de accesos a los datos, las auditorías o supervisar el cumplimiento de los protocolos de seguridad del proveedor contratado.

Muchos de estos proveedores tecnológicos son firmas multinacionales, que almacenan la información corporativa de miles de compañías de diversas procedencias, si bien cada país dispone de una normativa sobre privacidad diferente.

Con todo, el 54% (el 45,8% en España) de los ejecutivos entrevistados por PwC coincide en que la seguridad de esta tecnología está mejorando.“Los contratos incluyen cada vez más cláusulas y garantías”, explica Elena Maestre, socia de la consultora.

Por ello, y pese a estas nuevas amenazas, la encuesta señala que el 72% de los entrevistados (67,9% en España) confía en que los sistemas de seguridad de la información de sus compañías sean efectivos.

Nueva herramienta gratuita para detectar el malware bancario – CSO

06/09/2011

Via Scoop.itaTICser

 La compañía finlandesa Fitsec ha lanzado Debank, una herramienta gratuita capaz de detectar, según la empresa, todas las variantes de las cinco principales familias de software malicioso desarrolladas para robar credenciales de banca online.
Debank, utilizada por la propia Fitsec para analizar las máquinas de sus clientes, trabaja escaneando la memoria de proceso de los ordenadores, según ha explicado Toni Koivunen, fundador de la compañía.

Show original

(more…)


A %d blogueros les gusta esto: