Por su parte, UNAM-CERT publicó una alerta donde advierte del poder que tendrían los atacantes al combinar malware, como es el caso del Frankenmalware.
“Los virus están infectando accidentalmente a gusanos en las computadoras de las víctimas, creando cepas súper potentes de software híbrido“, señaló el organismo de vigilancia y seguridad con sede en la UNAM, “el monstruo de malware se propaga más rápido que antes, afecta a los sistemas peor que nunca y expone datos privados en formas nunca antes vistas por los escritores originales de virus“.

De acuerdo con Pablo Ramos, especialista de Awareness and Research en ESET Latinoamérica, los usuarios que sean infectados por Frankenmalware podrían enfrentar problemas financieros por el robo de información, suplantación de identidad y ser parte de redes botnets que sirven para enviar spam.

Por su parte, John Harrison, director de producto del área Product Management Security Technology deSymantec dijo que el híbrido atacaría a los usuarios con los métodos que utilizan las formas de ataque tradicionales.
“El usuario podría recibir una liga en su correo electrónico con un archivo infectado o en las redes sociales recibir una liga sobre alguna situación impactante como la muerte de alguna celebridad o los resultados de un partido de futbol, o quizá a través de un video donde te digan que debes descargar un reproductor para verlo“, ejemplificó Harrison.
El especialista de Symantec dijo que los usuarios deben ser más cuidadosos sobre el supuesto contenido que se ofrece en internet y saber que si te dicen que debes descargar un software, lo más probable es que se trate de malware que infecte la computadora y comprometa su información.

En estos tiempos en los que el ordenador se ha convertido en una herramienta sumamente importante para llevar a cabo nuestras actividades diarias, el considerar que no contamos con nada relevante o atractivo para sufrir un ataque informático es una idea equivocada y peligrosa respecto a la seguridad.

La confusión tiene su origen en pensar que los atacantes o hackers quieren datos e información nuestros y esto no siempre es cierto. La mayor parte de las veces, lo que necesitan son recursos. Y esta distinción hace que cualquier usuario conectado a Internet, por el simple hecho de estarlo, ya posea cierto valor para un hacker.

¿Qué tipo de recursos podría obtener un hacker?
Los recursos pueden ser de diversas índoles pero los principales son:

• Dinero: El robo de dinero puede presentarse en muchas formas y en muchas de ellas el hacker no necesita forzosamente robar sus cuentas bancarias para obtener dinero de usted o para que su computadora le ayude a generar dinero. Este podría por ejemplo realizar “bitcoin mining” que consiste en el robo de una moneda electrónica que básicamente sólo circula en la red pero que puede convertirse en dinero contante y sonante o por ejemplo si posee una cuenta de Pay-pal, el atacante puede robar sus claves y quitarle el dinero que tenga en ella o el dinero que quiera mover a través de ella, como pagar algo mediante su cuenta. En el caso del robo o generación de bitcoins, el atacante haría uso del procesador o del nivel y velocidad de procesamiento de su computadora, entre mejor sea, más rápido podría efectuar el robo y de esa manera evitar ser detectado.
• Ancho de banda: Esto no es tan literal como usar un cable para colgarse de la energía eléctrica de otro o del servicio de teléfono. El robo del ancho de banda consiste básicamente en que el atacante inserta un virus en su computadora, generalmente un Troyano, el cual sin ser detectado, convierte a su equipo en un zombie o esclavo del computador del atacante y realiza con ayuda de su velocidad de internet, es decir, el ancho de banda de su computadora, cualquier tarea que este desee, como por ejemplo, insertar el mismo virus en otras computadoras y generar una cadena de zombies al servicio de un mismo hacker.
• Contraseñas: Nos referimos a sus contraseñas de cuentas de correo o de las redes sociales. Si leyó nuestro artículo anterior sobre SMiShing, recordará que un hacker envía correos sospechosos a nombre de empresas importantes para quitarle dinero o información valiosa. De igual forma, el hacker usará sus cuentas para enviar correos masivos con virus o con algún tipo de estafa para que sus contactos caigan.

Es importante que tenga presente que un hacker trabaja en cadenas y le gusta tener presencia masiva, entre más larga sea la cadena, es decir, entre más personas pueda infectar y a cuantas más personas pueda robarles datos o dinero, más éxito habrá tenido. Procure no subestimar a un hacker y proteger a su equipo no sólo con un buen antivirus actualizado, sino también con el correcto manejo de sus cuentas y un correcto manejo de su paseo por internet.

Fuente: IndigoSPV

Visto: Segu-info

Anonymous hackeó a SUBE: Portales especializados de informática y tecnología aseguran que el grupo Anonymous difundió los datos de viaje de 1.000 pasajeros del sistema SUBE en Internet luego de un hackeo a la base de datos del mismo. La medida fue tomada en repudio a la necesidad de brindar información personal para acceder a la tarjeta.

El responsable del hackeo, quien asegura pertenecer a Anonymous, afirmó en el sitio Alt140: “En Argentina a diario se observan problemáticas por cuestiones de control por parte del estado. Camaras en la calle cada dos cuadras, edificios y patrulleros, la creación de una base de datos con información biométrica de cada ciudadano desde que nace y el rastreo de sus movimientos.”

El hacker liberó el codigo fuente e hizo público mediante un sitio web el listado de tarjetas. Su principal reclamo es que las tarjetas sean anónimas y que se respete la ley de Protección de Datos Personales de Argentina.

Además, el miembro de Anonymous agregó: “El proyecto de monedero virtual (SUBE) impuesto por el gobierno Argentino exige identificación por DNI cuando no es necesaria y luego rastrea cada uso de esta tarjeta, creando una base de datos del ir y venir de cada ciudadano.”

Se considera que los stickers brindan información importante a los delincuentes que logran saber de la cantidad de integrantes de la familia, si hay animales y hasta qué profesión ejercen.

Una moda puede llegar a ser un perfecto imán para atraer delincuentes. Tanto desde la Policía de Entre Ríos, la Federal y otras fuerzas de seguridad están poniendo en tela de juicio la colocación de los denominados stickers de la familia que al ser expuestas en los vehículos pueden llegar a informar la cantidad de personas, si han animales y hasta a qué se dedican laboralmente.

Desde la Policía de Entre Ríos se aclaró que hasta la fecha no se registraron hechos delictivos en la provincia relacionados con el uso de las calcos, pero se admitió que no es aconsejable poner a la vista de todo el mundo información que para algunos puede llegar a ser menor y para los delincuentes son datos útiles para posibles secuestros virtuales o situaciones muchos más graves.

En las calcos siempre aparecen el padre, la madre, el o los hijos, la mascota -que si es perro hasta la raza se describe-. Lo que parecería ser inofensivo terminaría siendo el perfecto imán de difusión de información para los que están atentos a producir delitos. Los stickers son colocados en todo tipo de vehículos para lo cual las imágenes de las familias son exhibidas sobre los baúles, lunetas traseras y otras partes de los rodados.

Sin embargo, los “family stickers” no tardaron en poner en alerta a quienes se dieron cuenta que éstos no serían simplemente adornos divertidos. Las primeras advertencias surgieron en las redes sociales. “A todas aquellas personas que lo tengan en sus vehículos, o para aquellas que lo están por colocar, tienen que saber que es utilizado por motochorros para saber la composición de la familia y así elegir el modo a operar. En modelos de alta gama, al demostrar la familia, son factibles los secuestros. Esto no es aconsejable en los tiempos que vivimos. ¡Piénsenlo!”, aseguran usuarios en la Web.

El peligro radica en la cantidad de información que se le da a cualquiera que mire el auto sobre la composición familiar. Sobre todo porque los stickers pueden ser elegidos específicamente según los roles, profesiones y hobbies de cada miembro de la familia. Por ejemplo, la madre aparece vestida de enfermera o ama de casa, el padre de traje o bata de médico, el nene con una pelota de fútbol o con el traje de karate y la nena con atuendo de bailarina, escuchando música o con algún instrumento.

Incluso las mascotas se pueden elegir por raza y tamaño. Algunas personas colocan los nombres arriba de cada sticker, lo que implica un riesgo mucho mayor.

Esta es una forma de brindar indirectamente información puede llegar a ser vital para los ladrones, que junto al número de patente, o con el auto estacionado frente a las casas, puede ser usada para armar secuestros virtuales y llevar a cabo otros delitos que sólo requieren del acceso a la información sobre la vida cotidiana de las personas.

En las redes sociales se hizo notar que así como en su momento se había popularizado que las mujeres colgaran de sus cuellos las cadenas con muñequitos que representaban a sus hijos, esta nueva moda duplica la apuesta.

No se trata de una campaña en contra de los “family stickers”, sino de una advertencia, para que los usuarios sean más cuidadosos y elijan sin tantos detalles qué calcomanías quieren pegar en su auto.

Desde las fuerzas nacionales se hizo saber que en Buenos Aires y el conurbano se registraron secuestros virtuales y hasta reales por la información brindada a través de las calcomanías que parecen ser simples pero que dan datos a la delincuencia.

Fuente: El Once

Visto: Segu-Info

 

El jueves pasado Toscano recibió un llamado del banco Santander Río en el que le advertían que no tenía fondos para realizar una transferencia. “Les dije que no era posible, que yo ya había realizado mis operaciones del día, y ahí mismo verifiqué mi cuenta de Interbanking [el servicio que permite realizar transferencias online de distintas cuentas]. De una cuenta del Santander Río se habían transferido $ 47.900 a la de una gomería en Bell Ville, Córdoba, y de otra, del banco Itaú, extrajeron $ 39.000 a través de una cuenta en Vera, Santa Fe”, dijo Toscano a LA NACION.

“Pedí que rechazaran las operaciones pendientes, por 36.000 y 39.900 pesos, que ya tenían la firma del banco y se habían bloqueado porque faltaban 5000 para completar el total. Si los hackers no se pasaban del monto, me sacaban casi 200.000 pesos”, dijo.

“Luego me dirigí a la sucursal del Banco Itaú, que está a 20 metros de mi oficina, para frenar las transacciones pendientes; me encontré con una burocracia terrible. Mientras tanto, los hackers seguían actuando”, dijo el empresario cerealero.

Cuando Toscano llamó a Interbanking apareció una quinta operación por $47.900. Los destinatarios eran los mismos. “Para cancelarla, Interbanking pedía una denuncia policial. Me dirigí a la comisaría 1a., se las envié, pero no la cancelaron. Ahí mismo pedí que den de baja mi usuario del sitio”, explicó el empresario.

Javier Miglino, abogado de Toscano SA., dijo que éste es el quinto caso similar que atiende. “A través de un virus troyano que insertan en la PC de la víctima siguen sus movimientos durante meses. Luego les toma entre 15 y 20 días poder descifrar la clave. Cuando la tienen, actúan de inmediato”, dijo.

Toscano denunció por estafa a los hackers y los titulares de las cuentas destinatarias y pidió que se investigue si hubo asociación ilícita entre ellos. Además denunciaron por estafa a Interbanking, y a los bancos Santander Río e Itaú.

Un vocero del Santander Río confirmó que el cliente “manifestó haber sido víctima de una estafa informática, sin atribuir a la entidad participación alguna en dicho suceso, y habiendo tomado conocimiento de esto, el Banco ha iniciado los procedimientos internos de investigación y análisis del caso”. En tanto, el Banco Itaú informó que están analizando el hecho junto a Interbanking.

El caso es investigado por la fiscal porteña Ana María Yacobucci.

Fuente:  Clarin.com.ar

Overview 
The Microsoft Anti-Cross Site Scripting Library V4.2 (AntiXSS V4.2) is an encoding library designed to help developers protect their ASP.NET web-based applications from XSS attacks. It differs from most encoding libraries in that it uses the white-listing technique — sometimes referred to as the principle of inclusions — to provide protection against XSS attacks. This approach works by first defining a valid or allowable set of characters, and encodes anything outside this set (invalid characters or potential attacks). The white-listing approach provides several advantages over other encoding schemes. 

System requirements 
Supported Operating Systems: Windows 7, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP Microsoft Windows running .NET Framework 2.0 or later

Download

Fuente: Cryptex

En los últimos días de 2011, la Presidente Argentina, Cristina Fernández de Kirchner, emitió un Decreto del Poder Ejecutivo ordenando la creación del Sistema Federal de Identificación Biométrica (SIBIOS), un nuevo servicio de identificación biométrica centralizado, con cobertura nacional, que permitirá a las agencias de seguridad hacer “referencias cruzadas” de información con datos biométricos y otros datos inicialmente recogidos con el fin de mantener la operatoria del Registro Nacional de DNI. Históricamente, las bases de datos de huellas dactilares en poder de la policía estaban limitadas a aquellos sospechosos o convictos de ofensas criminales. Sin embargo, la Policía Federal Argentina (PFA) recibió el manejo de una enorme base de datos con huellas digitales recolecatadas a los ciudadanos argentinos en general durante el proceso de emisión de pasaportes y cédulas de identidad. Desde marzo de 2011, esa base de datos fue integrada al sistema de emisión de documentos del RENAPER. Hasta entonces, la Policía Federal había logrado armar una base de datos con alredecor de 8 millones de huellas digitales, aunque según parece, ese procedimiento fue considerado demasiado lento por el gobierno argentino. Siguiendo el nuevo decreto, la iniciativa SIBIOS le dará a la Policía Federal acceso a la base de datos del RENAPER (y viceversa), duplicando el alcance de la Policia Federal a aproximadamente 14 millones de registros de huellas digitales digitalizadas. Empezando con el primer bebé nacido en 2012, Argentinacomenzó a registrar información biométrica de los recién nacidos con SIBIOS. Se proyecta que, a medida que venzan los viejos pasaportes y se renueven los DNI, (y que nuevos bebés nazcan), la base de datos de SIBIOS crecerá hasta lograr registro de más de 40 millones de argentinos en los próximos dos años.

Pero la iniciativa de SIBIOS hará mucho más que expandir el número de huellas dactilares digitalizadas a las que la policía federal tendrá acceso. De acuerdo al discurso de la Presidente Fernández de Kirchner, el SIBIOS estará completamente integrado con las bases de datos de identificación, que además de los identificadores biométricos, incluyen imagen digital, estado civil, grupo sanguíneo y otras informaciones básicas que se recolectan desde el nacimiento y a través de la vida de las personas. Además, no sólo la Policía Federal tendrá acceso a este sistema integrado. SIBIOS fue diseñado para el uso de otras fuerzas de seguridad y organismos, incluyendo la Dirección de Migraciones, la Policía Aeroportuaria y la Gendarmería Nacional, incluso estará disponible a las fuerzas policiales y entidades provinciales, a través de un Acuerdo con el Estado Nacional. Sin embargo, no ha habido discusión pública sobre las condiciones bajo las cuales los oficiales públicos tendrán acceso a los datos. Los promotores de SIBIOS argumentan que el programa facilitará la aplicación de la ley y el acceso en tiempo real a los datos de los individuos, sin embargo las precauciones mínimas usadas para prevenir la vigilancia masiva por parte del estado siguen siendo una incógnita.

Tal vez la parte más preocupante de la iniciativa de SIBIOS son las tecnologías que se pretenden escalar para explotar estas bases de datos en la aplicación de la ley. La policía Federal, por ejemplo, será capaz de usar sus nuevos sistemas de reconocimiento facial para buscar en el inmenso repositorio de imágenes del RENAPER, para identificar personas en fotografías e incluso mediante cámaras de vigilancia. Las fuerzas de seguridad argentinas se están equipando con dispositivos móviles de lectura de huellas dactilares que les permitirán contrastar las huellas digitales de cualquier argentino contra la base de datos centralizada.

El peligro de una sociedad de vigilancia

Los sistemas nacionales de identificación y otros métodos similares de centralización de datos personales incrementan la capacidad del Estado en materia de vigilancia intrusiva. Junto con la recolección simultánea de identificadores biométricos, tales como rostros digitalizados, se crea una capa adicional de seguimiento que es aún más intrusiva y peligrosa. Como en el caso argentino, las tecnologías biométricas son esencialmente individualizantes y pueden interoperar fácilmente con tecnologías de bases de datos, permitiendo que violaciones extendidas de la privacidad sean sencillas y más dañinas.

Para nuestra alarma, la Presidente Fernández de Kirchner ha ido mucho más allá, al punto de abrazar el potencial de vincular el sistema de registro facial obtenido a través de las cámaras de vigilancia en la vía pública con las imágenes obtenidas a través de sistema SIBIOS. Gracias a que las tecnologías son cada vez más accesibles, las cámaras callejeras de videovigilancia están hoy en todas partes, por lo que esta funcionalidad es particularmente peligrosa, y tiene el potencial de llevar a un sistema de vigilancia política generalizada. (Esta visualización nos muestra por ejemplo, cómo es el sistema de más de mil cámaras instaladas sólo en la Capital Argentina, la Ciudad Autónoma de Buenos Aires).

Dada la prevalencia de cámaras en las calles y lo fácil que se ha tornado identificar un rostro anónimo entre miles, las personas que se preocupan por su privacidad y anonimato tendrán serias dificultades para preservar su identidad de las bases de datos biométricas en el futuro próximo. Hay un pronóstico de extremo riesgo en un mundo donde la foto de cualquier individuo, tomada por una cámara callejera o publicada en una red social, puede ser vinculada a su numero de ID nacional. Las tecnologías de entrecruzamiento de datos sólo van a mejorar en el futuro. (vean aqui y aquí para conocer más sobre sistemas de reconocimiento facial).

EFF viene advirtiendo desde hace tiempo que el seguimiento perfecto es dañino para una sociedad libre y democrática. Los ciudadanos tienen una expectativa razonable de mantener su privacidad y anonimato, en particular en relación a la construcción de perfiles. Una combinación de sistemas de ID biométricos manejados por el gobierno con sistemas generalizados de reconocimiento facial viola principios esenciales de las sociedades libres al facilitar la localización y el seguimiento de personas, centralizando peligrosamente estos datos, con los consiguientes riesgos de abuso por parte del estado.

Tal como dice Beatriz Busaniche, de la Fundación Vía Libre, este tipo de vigilancia masiva puede tener serias consecuencias para aquellos que desean disentir políticamente:

“En nombre de la seguridad pública, Argentina ha impulsado políticas de vigilancia masiva incluyendo un monitoreo generalizado de los espacios públicos. La privacidad es particularmente esencial en un país que a lo largo de su historia ha tenido importantes movimientos sociales y políticos que han ganado las calles para hacer oir su voz. Es de enorme importancia que los activistas puedan permanecer anónimos en las manifestaciones públicas, en particular cuando están en desacuerdo con el gobierno. De esta manera, SIBIOS no sólo amenaza la privacidad de los ciudadanos y el derecho a la protección de sus datos personales, sino que también involucra una seria amenaza a los derechos civiles y políticos”.

En una entrevista a la prensa argentina, Mora Arqueta, Directora del RENAPER, explicó que el real propósito del sistema nacional de Identificación es “tener la mayor cantidad posible de información de las personas, y tomar al ciudadano como un individuo que interactúa con el Estado desde muchos lugares”. Sus comentarios admiten directamente la perversión del sistema que pasará del original, donde simplemente se asignaba un número de documento de identidad a un individuo a otro que viola de plano todos los principios establecidos en materia de minimización de la recolección de datos y pretende una recolección masiva e innecesaria de información personal. El problema de dejar que el gobierno retenga semejante cantidad de datos sensibles es que le otorga demasiado poder concentrado. Cabe preguntarse, por ejemplo, si quienes sancionaron el decreto se detuvieron a considerar qué hubiera ocurrido si la última dictadura militar argentina hubiera contado con una base de datos de estas características. El debate público en Argentina debe ser entonces sobre ese poder, y sobre los límites que se le deben fijar en esta materia. Para sostener una sociedad abierta y democrática es necesario mantener un nivel razonable de desconfianza en este tipo de política.

Los argumentos de Fernández de Kirchner de que SIBIOS ofrece “un salto cualitativo en la seguridad y en la lucha contra el crimen” son alarmantes y representan otra desviación más del propósito original con el cual fue creada la base de datos del RENAPER. Este argumento es engañoso, y falla en analizar seriamente los riesgos de SIBIOS y las limitaciones e impactos que tendrá en las libertades civiles y la protección de datos personales. Una y otra vez, hemos escuchado el dudoso argumento retórico de que la biometría es necesaria para luchar contra el crimen e incrementar la seguridad. De hecho, estas bases de datos biométricas masivas son un foco de atención de información sensible en riesgo de ser explotada también por criminales y estafadores de todo tipo.

Los derechos a la intimidad de las personas y la protección de datos están consagrados en los tratados internacionales y en la Constitución Argentina. Dada la enorme cantidad de preocupaciones que generan las bases de datos biométricas de este tipo y las posibilidades de filtraciones de seguridad en el futuro, es irracional recolectar información biométrica a nivel nacional en este formato. El gobierno argentino debe limitar la recolección, el procesamiento y la retención de datos al mínimo estrictamente necesario para cumplir objetivos específicos, y limitar las posibilidades de compartir información sensible. La EFF y la Fundación Vía Libre de Argentina seguiremos trabajando en forma conjunta contra este tipo de medidas intrusivas dispuestas por el Gobierno Nacional.

Por Katitza Rodriguez. Electronic Frontier Foundation.
Campaña conjunta de Fundación Vía Libre con Electronic Frontier Foundation.

Fuente: vialibre

Según CNN, la administración del presidente Barack Obama anunció que se opondrá a toda iniciativa de ley que reduzca la libertad de expresión en internet, aumente los riesgos cibernéticos y erosione la capacidad de innovación en la red.

¿Leyeron lo mismo que yo? De ser así, SOPA no podría tener la mínima oportunidad y chocaría contra un veto presidencial, si a pesar de todo es aprobada. Lo cierto es que con esta advertencia, la Casa Blanca entró de lleno al debate sobre la propuesta Stop Online Piracy Act, presentada por los republicanos, que busca bloquear sitios de Internet, nacionales o foráneos, que ofrezcan copias ilegales de música, películas o programas de televisión.

Textualmente, tres funcionarios de la Casa Blanca, Victoria Espinel, Aneesfh Chopra y Howard Schmidt, comunicaron:

“Cualquier esfuerzo para combatir la piratería debe proteger contra el riesgo de que se censure en línea la actividad legal”.

La lectura política que hacen la mayoría de los medios es que la presión ejercida por los gigantes Google, Yahoo, Twitter y Facebook, en oposición a SOPA (amenazan con paralizar sus operaciones el 18 de enero, como protesta) empujaron la decisión de la Casa Blanca. Y no hay que olvidar la trascendencia que tuvo SOPA entre miles de ciudadanos que veían en este proyecto de normativa un claro avasallamiento sobre los derechos civiles (se podría llegar a bloquear sitios web sin juicio previo).

Al mismo tiempo -o como respuesta a esto-, tal como informó el diario El País, la Cámara de Representantes de los Estados Unidos ha decidido archivar la ley y no votarla hasta unificar criterios y lograr consensos. Es decir, armonizar la opinión de republicanos y demócratas sobre la misma.

La MPAA, la Asociación Cinematográfica de Estados Unidos, firma una carta sesgada, donde no duda en hablar de “ladrones a nivel mundial en la red” o de “pérdidas millonarias de empleo” instando a su rápida aprobación tras un próximo debate.

Fuente: Alt1040 I y Alt1040 II

Visto: Segu-info

Pero, ¿cuáles son las amenazas para el año 2012?

La previsión de McAfee Labs, el equipo de investigación a nivel mundial de McAfee, muestra que entrarán en juego nuevos escenarios y veremos igualmente una importante evolución incluso en los vectores de amenaza más establecidos:

• Las amenazas industriales se consolidarán y se segmentarán
• Los ataques al hardware incrustado serán más amplios y profundos
• El hacktivismo y Anonymous se reinventarán y evolucionarán
• Los sistemas de monedas virtuales sufrirán ataques a mayor escala y con más frecuencia
• Este será el “el año para (no “de”) la ciberguerra”
• La tecnología DNSSEC, de protección de DNS, dará lugar a nuevos vectores de amenazas a redes
• El spam tradicional se va a “legalizar”, el phishing dirigido o spearphishing evolucionará hacia un tipo de ataque selectivo a través de mensajes
• Las redes de bots y los rootkits para dispositivos móviles evolucionarán y convergerán
• Los certificados falsos y las autoridades de certificados falsas debilitarán la confianza de los usuarios
• Las mejoras en los sistemas operativos y en la seguridad contribuirán a la aparición de redes de bots y rootkits de próxima generación

Fuente: McAfee