¿Avances en comodidad, retrasos en seguridad?

Hace unas semanas, “mi” entidad bancaria me informó de que habían implementado ciertas modificaciones para incrementar la seguridad de las operaciones bancarias (en realidad admito que no sé si decía “incrementar” de manera explícita, pero desde luego estoy seguro de que no mencionaba “reducir”). El cambio consistía en que la archiconocida tarjeta de coordenadas dejaba de funcionar, y en su lugar el código que se debía utilizar para autorizar la operación se recibiría en el móvil.... Leer Más

Recopilatorio 2015: Esto es todo amigos… hasta el año que viene

Se acerca el fin de año y ha llegado la hora de echar un vistazo atrás y ver qué nos hemos dejado en el camino. Seré breve, se lo prometo. Creo. Bueno, a lo mejor. La verdad es que lo dudo. No, no seré breve; es imposible que yo sea breve.

Me gustaría comenzar con un viejo amigo. Y es que el año 2015 ha sido la confirmación de que, a pesar de tener una dura competencia, Flash está firmemente decidido a no ceder su puesto en lo alto del podio como el producto (probablemente) más inseguro de los últimos años; es raro el mes que no sale una actualización que soluciona N+1 problemas de seguridad, condimentada de vez en cuando con un alegre 0-day que hace las delicias de (casi) todo el mundo. El ataque a Hacking Team en julio no ayudó, y algunas voces autorizadas comenzaron a pedir que los chicos de Adobe sacrificasen a la bestia para conseguir al fin algo de paz. Como ya saben, la bestia continúa suelta, así que tengan cuidado.

[Read more…]

La NSA necesita tus actualizaciones

Aunque la noticia tiene poco más de 12 horas (apareció ayer en algunos medios chinos), no ha tardado mucho en propagarse por los medios especializados norteamericanos. Entre otros, ArsTechnica, Bruce Schenier, Wired o Dan Kaminsky tienen breves comentarios sobre las especulaciones realizadas por los investigadores chinos Lian Li y Huan Chen, de la Peking University, a partir de una investigación realizada recientemente.

Al parecer, todo surgió por casualidad a finales de 2013, mientras Li y Chen realizaban el análisis forense de tres equipos que habían sido comprometidos. Al analizar diferentes paquetes de actualización de Adobe almacenados en el equipo (que se sospechaba que podía haber servido como vector de ataque para la infección), se detectó que todos ellos presentaban una estructura similar: la propia actualización y un bloque de datos cifrado C1 que podía variar de 65536 bytes a varios MBs.

[Read more…]

La verdad detrás del (falso) ultimátum de la AEPD

[N.d.E: Pablo Fernández Burgueño nos ha pedido por Twitter que hagamos algunas modificaciones al post, dado que el punto de partida de éste eran en gran parte sus declaraciones al medio digital, que habían sido mal recogidas por el periodista y en realidad éste no dijo. Las modificaciones realizadas aparecen en color rojo -inclusiones- o tachadas -eliminaciones-. En cualquier caso, hemos decidido mantener el resto del contenido del post como mero ejercicio de análisis, siempre dejando claro que tras la corrección, el punto de partida es una hipótesis y no las -mal recogidas- declaraciones de Pablo Fernández].

 

aepd

Hace unos días, un amigo se quejaba de las trabas que desde los tribunales y las entidades gubernamentales se ponen constantemente a actividades como compartir información en Twitter. Esto surgía a partir de una noticia en El Confidencial, en la que se mencionaba que la AEPD había amenazado con un ultimátum a las empresas españolas a propósito de la anulación del acuerdo de Puerto Seguro, de cuya sentencia ya hablamos aquí en su día.

[Read more…]

Vacaciones

Queridos amigos,

Una vez más, como cada año por estas fechas, ha llegado el (tristísimo) momento de despedirse. Todo el mundo necesita un descanso de vez en cuando; también nosotros. Pero como estarán hartos de oír, esto no es un adiós, es un hasta luego; sí, lo sé, vaya con la frasecita de marras. Como les iba diciendo, nos retiramos a nuestros aposentos hasta el próximo 1 de septiembre, aunque si he de serles sincero, tampoco puedo garantizar que en un arranque de emotividad, morriña y entusiasmo aparezcamos algún día a saludarles con alguna entrada.

[Read more…]

Así que quieres dedicarte a la ciberseguridad…

El pasado domingo 7 de diciembre estuve dando una charla en el taller de empleo del Cybercamp, iniciativa que aunque como cualquier evento en su nacimiento tiene margen de mejora, mostró grandes cualidades y promete ser una importante cita anual para acercar el mundo de la ciberseguridad no sólo a los técnicos y personal especializado, sino también a estudiantes e incluso familias.... Leer Más

¿Inmortalidad empresarial?

Hace ya demasiado tiempo pasé cerca de un año en el Georgia Institute of Technology de Atlanta, continuando con mis estudios universitarios. Al poco tiempo de llegar, el que debía ser el responsable de seguridad nos dio una charla en la que se congratulaba por el hecho de que Atlanta ya no fuese la ciudad más peligrosa de EEUU, sino la segunda (hablamos aproximadamente de 1999). Además advertía, haciendo énfasis en los más jóvenes, que tuviesen cuidado con las ilusiones de inmortalidad propias de la adolescencia, evitasen riesgos innecesarios y adoptasen ciertas medidas de seguridad.... Leer Más

pwnConf: 1er evento de SysAdmin/Devops, Networking y Seguridad Informática en Mar del Plata, Argentina

Hoy os presentamos pwnConf, una conferencia de carácter 100% técnico que se realiza el día 23 de Noviembre en la ciudad de Mar del Plata y que reunirá investigaciones de profesionales de distintas partes del país.... Leer Más

Seis más una medidas para la seguridad sin concienciación

Hace unos días, a propósito de la llamada de unos técnicos falsos de Microsoft, nuestro compañero Raúl advertía sobre la necesidad de concienciar a los usuarios, tanto personales como profesionales (cada uno tiene una cosa que perder) en los aspectos más de seguridad. Como este es, en general, un blog del ámbito profesional, me permitirá que abandone a los usuarios domésticos a su suerte o a la de su primo informático, y nosotros nos quedemos en el entorno corporativo, que es el que nos atañe. ... Leer Más

Muros digitales

Hace tiempo que se sabía que la NSA y algunas organizaciones de similar naturaleza tenían desplegados sistemas cuyo objetivo es velar por la seguridad y protegernos del maligno (Chema Alonso no, otro maligno). A pesar de ello, la NSA siempre prefirió mantenerse en secreto para no verse obligada a rechazar el premio Nobel de la Paz. Sin embargo, tras conocer los casos de Snowden, Manning, Assange y otros rebeldes, es evidente que la situación se ha vuelto insostenible y no les ha quedado otra que salir del armario. ... Leer Más