Norton Safe web (http://safeweb.norton.com/) es un nuevo servicio para comprobar el riesgo que correremos si entramos a una página web determinada.

Los riesgos son los de siempre: phishing, scripts maliciosos, malware, estafas, redirecciones a otros sitios, descargas automáticas, etc.

La consulta se realiza a través de la web o instalándose el correspondiente plug-in para el navegador.

Como acaba de salir, no tiene demasiados sitios revisados (puedes ayudar revisando sitios...) y por tanto deberían usarse otras utilidades ya existentes como Finjan Security o Safe Browsing de Google.

Posts relacionados:
Pregunta a Google si un sitio web tiene malware
http://passreminder.blogia.com/2008/052601-pregunta-a-google-si-un-sitio-web-tiene-malware.php
Navegación segura con Finjan
http://passreminder.blogia.com/2007/111401-navegacion-segura-con-finjan.php
Protección contra software publicitario, spam, virus y estafas en línea
http://passreminder.blogia.com/2007/041901-proteccion-contra-software-publicitario-spam-virus-y-estafas-en-linea.php

Via: http://www.incubaweb.com/5832/internet/norton-safe-web-verifica-si-un-sitio-es-seguro/

Artículo de interés publicado en el boletín Consumer Eroski sobre cómo funciona el car-phishing: http://www.consumer.es/web/es/tecnologia/2008/08/07/179126.php

Artículo relacionado de la Asociación de Internautas: ¿Qué puedo hacer si un estafador ha puesto a la venta mi coche en Internet?

Por cierto que el número anterior de la revista hicieron un especial sobre "Crear y gestionar contraseñas en Internet" en el que incluyeron a Shibbo, destacando la posibilidad de su instalación en un dispositivo externo (versión PortableApp).

Post anterior relacionado: Phishing: que no te pesquen

El INC, Instituto Nacional del Consumo, estrena su campaña de  prevención del fraude.

El eje de esta iniciativa es declarar agosto de 2008 como “Mes de la prevención del fraude”, medida con la que el INC se alinea con otros países de la UE en una campaña programada por la red ICPEN (International Consumers Protection and Enforcemet Net), una organización europea para la protección de los consumidores en la que el Instituto Nacional del Consumo  representa a España.

Organismos oficiales y asociaciones que luchan contra este tipo de prácticas en Internet estiman que los intentos de fraude a través de la Red se han multiplicado por 8 en los primeros meses de 2008 con respecto a 2007.

Algunos de los casos expuestos tratan de phishing y car-phishing (venta de coches como ganga que esconde una estafa), fraude de los premios de loterías y subastas en Internet.

Artículos relacionados:

Cómo evitar ser víctima de un fraude
http://passreminder.blogia.com/2008/012501-como-evitar-ser-victima-de-un-fraude.php

Phishing: cómo no picar el anzuelo
http://passreminder.blogia.com/2007/082101-phishing-como-no-picar-el-anzuelo.php

Con motivo del diadeinternet 2008 - en el que Base también participó con el lema "Analiza tus contraseñas el Día de Internet" - la Agencia Española de Protección de Datos (AEPD) ha publicado una guía dirigida a menores y a sus padres con recomendaciones y consejos útiles sobre la Red y la publicación de datos personales en ella.

El objetivo de esta Guía Derechos de los niños y niñas. Deberes de los padres y madres  es conseguir una navegación segura para los más pequeños de la casa.

La guía está basada en la Ley de Protección de Datos y entre la información que incluye destaca la necesidad de consentimiento paterno si un menor de 14 años quiere colgar información privada en Internet como perfiles o fotos. Además indica que, aunque a partir de los 14 años el propio menor puede dar su consentimiento para facilitar estos datos personales, quien los trata ha de informar sobre la finalidad de los mismos, comprometerse a mantenerlos en un sitio seguro y garantizar los derechos de acceso, rectificación y cancelación.

El documento recuerda a los niños que “en Internet no todo el mundo es quien dice ser” y señala la necesidad de coordinar la actuación de los menores con sus padres para la divulgación de sus datos: “Cuéntales por donde navegas y qué datos te piden”. Además, recomienda no identificarse nunca con un nombre real, entre otros útiles consejos.

Via: http://www.aui.es/index.php?body=dest_v1article&id_article=3135

Panda Security ha anunciado el lanzamiento de ActiveScan 2.0 (http://www.infectedornot.com), una herramienta online gratuíta capaz de analizar y detectar miles de nuevas amenazas, así como desinfectar el equipo afectado.

Según Panda, el 23% de los ordenadores están infectados con algún tipo de malware, aunque dispongan de antivirus actualizados. La solución lanzada por Panda Security, se basa en un nuevo modelo de seguridad, denominado “Inteligencia Colectiva”, que le permite detectar mucho más malware que cualquier otra solución existente.

ActiveScan 2.0 descubre las amenazas que puedan estar instaladas de forma oculta en el ordenador, incluyendo rootkits y troyanos diseñados para robar datos confidenciales.

Además, en caso de no estar infectado, participas en el sorteo de 1 ipod !!! (Ver Bases del concurso)

Via: http://www.vnunet.es/es/vnunet/news/2008/06/02/panda_security_lanza_activescan_2_0

Google  proporciona datos sobre el malware que pueda estar alojando cualquier página web.

Este servicio se llama Safe Browsing y se puede utilizar añadiendo la URL
que queremos analizar al final de la siguiente dirección:

http://www.google.com/safebrowsing/diagnostic?site=

Algunos ejemplos:

Informe sobre Shibbo:
http://www.google.com/safebrowsing/diagnostic?site=http://www.shibbo.com

Informe sobre este Blog:
http://www.google.com/safebrowsing/diagnostic?site=http://passreminder.blogia.com

En estos informes se menciona:

- la actual situación (marcada o no como sospechosa),

- un historial de las incidencias ocurridas durante los últimos 90 días: qué tipo de malware se ha encontrado (troyanos, backdoors, gusanos, códigos exploit, ...),

- si ha servido de servidor-intermediario para propagar malware en terceros sitios web,

- si ha alojado físicamente el malware en el pasado

Este servicio se añade al que Google presta con el aviso ("Este sitio puede dañar tu equipo") de páginas web con malware en los resultados junto al link.

Posts relacionados:

Navegación segura con Finjan
http://passreminder.blogia.com/2007/111401-navegacion-segura-con-finjan.php
Protección contra software publicitario, spam, virus y estafas en línea
http://passreminder.blogia.com/2007/041901-proteccion-contra-software-publicitario-spam-virus-y-estafas-en-linea.php

Vía: http://google.dirson.com/post/3996-este-sitio-puede-equipo/
Vía: http://www.kriptopolis.org/google-safe-browsing

Windows Live OneCare Safety Scanner (http://onecare.live.com/site/en-us/default.htm) es una herramienta gratuita durante 90 días que actúa de una forma similar a Windows Live OneCare pero sin contar con todas sus funcionalidades, es decir, permite detectar malware en la máquina escaneada así cómo llevar a cabo diversas tareas para su mantenimiento.

Una herramienta similares comentadas anteriormente son:

- Virscan (http://passreminder.blogia.com/2007/111601-virscan-analizador-de-archivos-online.php) 

- Onlinescan (http://passreminder.blogia.com/2007/081001-nueva-herramienta-de-seguridad-online.php)

Hay un nuevo blog sobre Seguridad de la Información, ha sido puesto en marcha por INTECO y en él podrás encontrar opiniones y comentarios sobre diversas cuestiones relacionadas con la seguridad de la información: tecnología, malware, fraude, protección de datos, etc… así como referencias a noticias, artículos de opinión, estudios y legislación en este campo.

http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/ultimos_articulos;jsessionid=4B873D737CD76DF39C16E920F5D2D923?postAction=getBlogHome&blogID=1000077536&p=0

Desde aquí lo seguiremos de cerca y traéremos o enlazararemos los artículos más interesantes.

Vía: Barrapunto

Las conferencias son de libre acceso, y no requieren inscripción previa, por lo que están abiertas a los alumnos de la asignatura y al público en general.

Los objetivos perseguidos son:

• Dar a conocer los últimos avances en materia de seguridad informática y protección de la información desde diversos puntos de vista: redes, datos, gestión, legislación, estándares.
• Dar a conocer los nuevos avances en tecnologías de la información.
• Fomentar el conocimiento crítico de la sociedad de la información con sus aspectos positivos de desarrollo así como sus amenazas.
• Analizar el impacto social, ambiental y ético del uso de las tecnologías de la información, los entornos de libertad y privacidad del ser humano
• Conocer la realidad empresarial, industrial y de organismos del estado relacionada con la seguridad y la sociedad de la información.

Las fechas y temas a tratar son las siguientes:

Las conferencias se celebrarán de 10:00 a 12:00 en la Sala de Grados 3004 de la Escuela Universitaria de Ingeniería Técnica de Telecomunicación (Carretera de Valencia Km. 7 - 28031 MADRID).

 Más info en: http://www.lpsi.eui.upm.es/GANLESI/GANLESI.htm

Artículo de interés sobre Cómo evitar ser víctima de un fraude en http://inza.wordpress.com/2008/01/25/como-evitar-ser-victima-de-un-fraude/ 

Recojo aquí las destinadas a los internautas (la mayoría se han comentado aquí anteriormente pero nunca está de más recordarlas...) aunque el artículo tiene recomendaciones de interés  para evitar y prevenir suplantaciones, fraudes telefónicos y con  tarjetas de crédito.

• Sospeche cuando reciba e-mails de remitentes desconocidos. Ante la duda, bórrelos. No abra ningún enlace o documento adjunto, ya que puede ser la puerta de entrada de un programa maligno, como espías y caballos de Troya.
• No responda nunca a e-mails relativos a supuestos premios ganados en la lotería, ofertas de trabajo sospechosas, propuestas de realización de transferencias bancarias desde otros países a su cuenta, peticiones de auxilio de personas que no pueden disponer de su dinero ?. Son todos ellos trucos para acceder a sus datos personales o estafarle.
• No participe en “cadenas” (e-mails con noticias curiosas o advertencias, como virus inexistentes, que se le solicita que reenvíe a sus amigos o conocidos), el objetivo de muchas de ellas es recopilar direcciones de e-mail para su posterior utilización en campañas de spam (correo basura masivo) o phishing.
• Mantenga actualizados los sistemas de seguridad de su equipo (antivirus, firewall y antispyware) así como la última versión del navegador.
• No proporcione nunca datos o claves bancarias en páginas web a las que se acceda pinchando enlaces desde mensajes de correo electrónico. Incluso aunque no parezcan peticiones de datos. Incluso cuando no sean páginas de entidades financieras sino de servicios que pueda tener lógica que tengan sus datos bancarios como la AEAT y otros organismos públicos. Acceda a su entidad bancaria y a los servicios seguros tecleando usted mismo la dirección web en la linea de direcciones URL del navegador y comprobando el certificado electrónico SSL.
• Evite acceder a servicios de banca electrónica desde ordenadores públicos (universidad, cibercafés, CDTs, ferias, ayuntamientos, …) ya pueden no cumplir los requisitos mínimos de seguridad. Existe además el riesgo añadido de que alguien pueda verle introducir sus claves (y copiarlas o memorizarlas). Y casi siempre tienen troyanos que roban claves.
• Cuando se conecte a servicios de banca electrónica, fíjese en la pantalla de su ordenador: la dirección debe comenzar por https:// y en la parte inferior deberá aparecer el símbolo de un candado cerrado, ambos indicativos de que ha entrado en un entorno seguro. El símbolo del candado le permite acceder al certificado de seguridad de la página, que deberá estar emitido a nombre de la entidad con la que está conectado. Si estas señales no aparecen, o el certificado no es válido, cancele la conexión y no introduzca sus claves: probablemente esté en un site fraudulento.

Este artículo es la segunda entrega del anterior
¿Dónde denunciar en Internet? (http://passreminder.blogia.com/2007/103101--donde-denunciar-en-internet-.php)

Traemos nuevos enlaces relacionados con las denuncias en Internet:
 
- Agencia de Protección de datos
Web: https://www.agpd.es/
Cómo efectuar una denuncia: https://www.agpd.es/index.php?idSeccion=118
Modelo de denuncia: https://www.agpd.es/upload/Canal_Ciudadano/Modelos/mod_e_denuncia.pdf

- Antipiratería BSA
Web: http://www.bsa.org/espana/report/

- Guardia Civil (Delitos Telemáticos)
Web: https://www.gdt.guardiacivil.es
E--mail: delitostelematicos@guardiacivil.org

- Policía Nacional (Unidad de Investigación de Delincuencia en Tecnologías de la Información)
Web: https://www.policia.es/bit/index.htm
Contacto: https://www.policia.es/bit/contactar.htm

- ERTZAINTZA (SCDTI: Sección Central de Delitos en Tecnologías de la Información)
Web:  http://www.ertzaintza.net/castellano/html/home.html

- INTERPOL (Pedofília y pornografia infantil)
E-mail: children@interpol.int

Relacionado con la lucha contra la pedofília en Internet, existen también las siguientes direcciones:

http://www.navegacion-segura.es/
http://www.chaval.es/

Por otra parte, es importante reseñar que según el articulo 265 de la Ley de Enjuiciamiento Criminal, no se puede hacer denuncias por Internet, ya que tienen que ser en persona, no obstante en la pagina de la Guardia Civil nos ofrecen un archivo para descargar en pdf como modelo de denuncia, para rellenar en casa y entregar posteriormente en persona, llevando eso sí nuestro DNI.

Este artículo está basado en:
http://www.delitosinformaticos.com/10/2007/denuncias/denuncias

El próximo febrero se prevé que esté en marcha la Oficina de Seguridad del Internauta.

El Ministerio de Industria anunció que esta  Oficina virtual ofrecerá gratuitamente asesoramiento especializado y gestión ante posibles dudas o incidencias sobre temas de seguridad en Internet.

Tendrá además del portal web y una dirección de e-mail, foros de consulta y una línea de atención telefónica.

La Oficina contactará con las autoridades para transmitirles incidencias que puedan suponer un delito informático o fraude, e impliquen una agresión o perjuicio económico o personal para el ciudadano.

Por otra parte, impulsará, mediante campañas, la detección y denuncia de nuevas amenazas, fraudes y estafas online.  Asimismo, facilitará al ciudadano la información y el asesoramiento necesario en materia legal sobre Internet y las tecnologías relacionadas.

Mientras tanto, hay webs que realizan esta misma labor y son de gran utilidad:

www.aui.es (Asociación de Usuarios de Internet)
www.internautas.org (Asociación de Internautas)

Fuente original: http://www.consumer.es/web/es/tecnologia/2007/12/25/173283.php

Algunas recomendaciones que convendría repasar en los comercios online en estas fechas "tan señaladas":

- Reforzar la seguridad: los comercios online no deberían realizar ningún cambio o actualización significativa en sus sistemas de información. Deben
centrarse en asegurar la prestación del servicio (reforzar la conectividad,
actualizar las copias de seguridad, revisar el plan de recuperación de emergencia, etc.)

- Proteger las redes de las tiendas: El tráfico de movimientos entre las tiendas y con la central debería ser monitorizado y reducido a comunicaciones esenciales para minimizar el riesgo de ataques.

- Conocer dónde están los datos: dónde están almacenados, dónde proceden, cuándo se actualizan, cómo se actualizan, quién tiene acceso a ellos, dónde está la copia de seguridad, cuándo se realiza, cómo se instauraría en caso de desastre...

- Gestionar adecuadamente los datos de los clientes (cuestión que además, la LSSICE exige). El almacenamiento de datos sensibles de clientes (direcciones de e-mail, números de cuenta, teléfonos...) debe hacerse de forma segura (cifrada, etc.) y garantizar el derecho de acceso, modificación y rectificación a esos datos, de acuerdo con la LOPD.

- Revisar las conexiones con terceras partes: mejorar la seguridad de las interacciones con terceras partes,  sólo se deberían permitir a estas partes conectarse a su red con una aprobación expresa y específica, usar nombres de usuario y contraseñas únicas, tener un control de los accesos, etc.

- Prestar atención a las zonas más vulnerables: por ejemplo, los puntos de acceso inalámbricos. La red inalámbrica debe ser segura (identifación de usuarios con contraseña, filtración por MAC, encriptación...). También se deberían hacer escaneos periódicos de la red para detectar IPs y dispositivos desconocidos.

- Asegurar nuestro comercio frente a los ataques y vulnerabilidades más conocidas (inyección de código sql, Xss-scripting...). Tener las últimas versiones de las tiendas pre-instaladas (ej: OsCommerce).

Parte de este post está basado en el artículo: http://www.vnunet.es/Actualidad/Noticias/Seguridad/Sistemas_de_proteccion/20071213012

VirSCAN.org es un servicio online gratuito que analiza archivos en búsqueda de malware usando distintos motores de anitivirus.

No es necesario ningún registro, se sube el archivo a analizar (límite de 10 Mb y en caso de comprimidos .zip/.rar que no tengan más de 10 archivos) y se esperan los resultados.

VirSCAN.org no debe sustituir a la instalación de un software antivirus, este servicio analiza archivos que pueden potencialmente ser sospechosos de ser algún tipo de malware (virus, gusanos, troyanos, spyware, adware, dailers, keyloggers,etc.)
).

Se advierte sobre la posibilidad de obtener falsos positivos, debido a que se utilizan distintos motores y por supuesto, se renuncia a cualquier responsabilidad sobre los resultados obtenidos, esto es, que aunque diga que el archivo no tiene virus, no se garantiza que finalmente sea así...

Los motores utilizados son: A-Squared,AhnLab V3,AntiVir,Arcavir, Avast, AVG, BitDefender, CA (VET), ClamAV, Comodo, CP, Secure,Dr.Web,Ewido,F-Prot,F-Secure,Fortinet,Ikarus,JiangMin,Kaspersky,
 KingSoft, McAfee, mks_vir, NOD32, Norman, nProtect, Panda,Prevx,Quick Heal, Rising, Sophos, Symantec, The Hacker, Trend Micro, VBA32, ViRobot, VirusBuster

Servicios similares comentados anteriormente es Onlinescan (http://www.eset.com/onlinescan)

Finjan security es un plug-in útil y gratuito de navegación segura. Agrega indicaciones sobre sitios potencialemente peligrosos a los resultados de búsqueda de Google.

Se puede descargar la versión  para Internet Explorer y para Firefox desde  la web oficial: http://securebrowsing.finjan.com/

Un servicio similar y comentado aquí anteriormente (http://passreminder.blogia.com/2007/041901-proteccion-contra-software-publicitario-spam-virus-y-estafas-en-linea.php) fue SiteAdvisor de McAfee.

Las diferencias entre ambos son que Finjan analizar en tiempo real los enlaces mostrados buscando código potencialmente peligroso y SiteAdvisor se basa en un análisis y etiquetado previo por parte de los revisores (SiteAdvisor además influye bastante en el rendimiento de la CPU).

Como a veces la información está dispersa, unas es difícil recordar y otras, simplemente, se desconoce, hoy traigo una recopilación de enlaces útiles a la hora de denunciar un -presunto- delito  en Internet o a través del correo electrónico.

Algunas situaciones que podrían considerarse susceptibles de denunciarse:

- Recepción de correos o visitas a páginas que constituyen un ataque tipo phishing (para más info sobre el phising: leer post anterior: http://passreminder.blogia.com/2007/082101-phishing-como-no-picar-el-anzuelo.php)

- Recepción de correos induciendo a una estafa (pharming)

- Detección de contenidos inapropiados o ilegales en Internet (pornografía infantil, racismo, xenofobia, apología anorexia, terrorismo, acoso escolar o bullying, etc.)

Phishing y otras estafas

BIT (Brigada de Investigación Tecnológica)
E-mail: fraudeinternet@policia.es

También se pueden ver los siguientes sitios:

II Campaña contra el fraude online: Seguridad en la red (mencionada en post anterior ya que Base (www.basecia.es) también participó este año promoviendo la misma: http://passreminder.blogia.com/2007/032101-ii-campana-contra-el-fraude-online-y-por-la-seguridad-en-la-red.php) 

Web: http://www.seguridadenlared.org/contactar.php

I Campaña contra el fraude online: No Más Fraude
Web: http://www.nomasfraude.com/spain/denuncia/
E-mail: phishing@internautas.org 

Protegéles
Pornografía infantil, incitación al odio racial,apología de la anorexia y la bulimia,seguridad en la telefonía móvil,  Apología al terrorismo,Acoso escolar (bullying), Tráfico de drogas, Videojuegos,     

Web: http://www.protegeles.com
E-mail: contacto@protegeles.com

Solicitar retirada vídeo en Youtube

Web: http://es.youtube.com/t/security
E-mail: security@youtube.com

1- Tener activadas las actualizaciones de seguridad con  Windows Update (en entorno Windows, claro...)

2- Tener activado el Firewall de Windows u otro como ZoneAlarm (www.zonealarm.com)

3- Instalar un bloqueador de Spyware/AdWare como Spybot Search & Destroy. Y usar herramientas de limpieza semanales tales como Elistara o AdWare de Lavasoft

http://www.safer-networking.org/
http://www.zonavirus.com/datos/descargas/78/EliStarA.asp
http://www.softonic.com/s/lavasoft-adware

4- Utilice contraseñas siempre y cámbielas periódicamente. Para más información sobre cómo crear contraseñas seguras, leer el post anterior:
http://passreminder.blogia.com/2007/032202-creacion-de-contrasenas-robustas.php

5.- Instale un antivirus, manténgalo actualizado y configúrelo de manera que se actualice automáticamente. Alternativamente, podemos usar algunos servicios de escaneo gratuitos en línea

http://onlinescan.avast.com/
http://www.pandasoftware.com/activescan/activescan/ascan_2.asp

6.- En caso de red inalámbrica, active todas las opciones de seguridad disponibles, use el filtrado de MAC y use claves WPA preferiblemente.

7.- Suscríbase a alguna lista de correos o feed sobre seguridad, virus y vulnerabilidades. Sólo algunos ejemplos:

http://www.kriptopolis.org
http://seguridad.internautas.org
http://alerta-antivirus.red.es
http://www.secunia.com
http://passreminder.blogia.com 

8.- No acepte correos de personas desconocidas (use reglas antispam, agregue a remitentes no deseados). Puede usar programas como Mail Washer para revisar el correo de manera más segura. En caso de que sea posible, consulte antes el correo vía web.

9.- No descargue indiscriminadamente contenidos gratuitos como screensavers, wallpapers, imágenes, juegos, etc. Muchas de estas descargas gratuitas contienen algún tipo de malware.

10.- Identificar y tomar precauciones frente al phishing como no pulsar en enlaces sino escribir directamente la dirección en la barra de direcciones de nuestro navegador. Para más información sobre cómo evitar el phishing, leer entrada anterior: http://passreminder.blogia.com/2007/082101-phishing-como-no-picar-el-anzuelo.php

Estos consejos están basados en el post: http://vtroger.blogspot.com/2007/09/10-consejos-sobre-seguridad-informtica.html

Check Point Software Technologies ha lanzado la campaña de educación en seguridad “Defend The Net” para  proporcionar información actualizada  sobre cómo protegerse de los ataques y amenazas en Internet. Para difundir la campaña y concienciar a los usuarios, ZoneAlarm ha creado una guía de soluciones de seguridad en Internet, How to Protect Your Family´s PC, disponible en la página web www.zonealarm.com (en el sitio global para UK).

El enlace directo al pdf (la guía está disponible sólo en inglés) es: http://download.zonelabs.com/bin/media/pdf/defendTheNet_howToGuide.pdf

El phishing es un método fraudulento de obtener información personal a través de e-mails o webs falseadas (spoofed) que simulan ser las auténticas.

Para detectar y defendernos de este ataque, podemos tener en cuenta estos consejos:

1.- Mantener actualizado el sistema operativo con sus correspondientes parches, para evitar que los atacantes se aprovechen de las vulnerabilidades existentes. Un equipo actualizado detrás de un firewall es la mejor defensa contra la instalación de troyanos y spyware.

2.- Descargar la última versión del navegador que usemos y asegurarnos que está actualizado con los últimos parches y actualizaciones.

3.- Comprobar que el dominio que aparece en la barra de direcciones del navegador es el auténtico. El remitente de un e-mail, la localización de una página y el uso de conexiones seguras SSL (https://) puede ser falseado (el uso de https indica que la comunicación con el sitio se realiza de forma encriptada, no que el sitio sea auténtico...).

4- No pulsar nunca en enlaces contenidos en correo SPAM o cualquier correo que indique hacer clic como respuestas rápidas aduciendo urgencia (ej: su cuenta será cancelada, debe reactivar, confirmar inmediatamente...). Ante la duda, contacte por e-mail o teléfono con el servicio de atención al cliente de su proveedor (banco, ISP...)

5- No descargar indiscriminadamente archivos, programas, salvapantallas de Internet. Muchos de estas descargas gratuitas, esconden algún tipo de spyware, adware o malware. Lleve cuidado también con cualquier adjunto (.exe, .pdf, .jpg, .pps, ...) que llegue a su correo electrónico (aún cuando provenga de remitentes de confianza): analízelo con un antivirus actualizado.

6- Usar un proveedor de acceso a Internet (ISP) que integre algún filtro anti-spam y anti-phishing, e incluso de contenidos.

7- Revisar frecuentemente los movimientos que se producen en nuestras cuentas bancarias para detectar cargos inesperados, extraños o no autorizados.

8- Estar al día de las informaciones sobre seguridad (vulnerabilidades, virus, nuevos delitos y estafas...)  que se publican, así como las técnicas de autenticación que utilizan los servicios a los que accedemos.

9- Desconfiar de  e-mails no personalizados (tratamiento genérico de cliente o usuario en el encabezamiento), con faltas de ortografía, gramaticales y con pobre diseño

10- Si tenemos sospechas de que puede ser un intento de fraude en forma de phishing, comunicar al proveedor esta circunstancia reenviándo el correo y/o comunicándolo igualmente a webs que puedan darle publicidad a la amenaza, advertir al resto y minimizar su acción  (ej: Asociación de Internautas- www.aui.es , compañias de seguridad...).

Para más información sobre el phishing, podeis consultar: http://money.howstuffworks.com/phishing.htm (en inglés).

Security System Analyzer es un escáner de vulnerabilidades compatible con OVAL (Open Vulnerability and Assessment Language). Es un escáner no intrusivo ideal para las auditorias de seguridad informática. Además detecta los parches que faltan en tu sistema Windows.

Más información y descarga de SSA:
http://www.security-database.com/ssa.php

Documentación acerca de SSA (En Ingles):
http://www.security-database.com/dl.php?id=16

Fuente: http://vtroger.blogspot.com/2007/07/escner-de-vulnerabilidades-de-software.html

Vamos a vender, regalar, prestar, nuestro ordenador y queremos eliminar de una forma eficaz cualquier dato referente a nuestra privacidad.

Algunas consideraciones previas:

- Eliminar los archivos NO es suficiente
- Vaciar la Papelera de reciclaje, tampoco.
- Formatear el disco duro, dificulta pero NO es definitivo (pues existen herramientas de recuperación de datos)

¿Qué podemos hacer entonces? Pues usar alguna de las utilidades siguientes:

Secure Data Disposal
http://www.pc.ibm.com/uy/think/thinkvantagetech/secure_data_disposal.shtml

Se puede descargar desde su web, crea unos discos de arranque desde los que podremos iniciar el ordenador y hacer desaparecer toda la información del disco.

Eraser
http://www.heidi.ie/eraser/

Sobreescribe completamente los discos duros permitiendo también la eliminación de ficheros concretos del disco, sin afectar al resto de archivos almacenados.

Se integra en el menú contextual de Windows para hacerlo de forma sencilla, y puede programarse para realizar acciones periódicamente.

DBAN
http://dban.sourceforge.net/

Como Eraser, permite su arranque desde disquetes, pero también desde CD o desde dispositivos USB. Es de código abierto y soporta diversos métodos de borrado.

Permite su uso con disco IDE, PATA, SATA y SCSI y con sistemas de ficheros FAT, VFAT, NTFS, ReiserFS, EXT y UFS.

El malware es un tipo de software "malicioso" que instala troyanos, adware o cualquier tipo de virus.

Un ejemplo de malware es el que se encuentra en algunos supuestos programas de seguridad informática como los llamados antispyware. Es decir, hacen precisamente lo que se supone que van a impedir o neutralizar...

La guinda de algunos de estos programas malware es cuando tras instalarlos dicen detectar y eliminar tal o cual aplicacion que infectaba la máquina, reafirmando la buena (mala en realidad) idea que tuvimos cuando decidimos descargar ese programa.

Para finalizar, no está de más recordar algunos consejos generales sobre seguridad en la descarga e instalación de programas:

- Asegurarse que el programa o aplicación procede de un sitio web fiable
- Asegurarse que el programa es de un proveedor de reconocido prestigio en
el campo de la seguridad informática (ej: Panda Software)
- Hacer copia de seguridad y configurar un punto de restauración del sistema antes de instalar nada...
- Comprobar el buen funcionamiento y los procesos que se ejecutan en el ordenador una vez que el nuevo programa está ejecutándose

Los que deseen comprobar si algún código malicioso ha atacado su ordenador pueden utilizar, de manera gratuita, las soluciones online TotalScan o NanoScan beta de Panda Sofware.

Artículo relacionado:
Malware empaquetado, una amenaza cada vez más extendida http://www.pandasoftware.es/about/prensa/verNoticia.aspx?noticia=8610&sitepanda=particulares

Releyendo el artículo "Robo de claves a través de gestores de contraseña" (http://www.laflecha.net/canales/seguridad/robo-de-claves-a-traves-de-gestores-de-contrasena/) sería interesante recordar en qué consiste este ataque-vulnerabilidad y en qué manera afecta a Shibbo.

En primer lugar, los gestores de contraseña a los que se refiere el artículo, son la utilidad que incorporan los navvegadores web para almacenar y gestionar los datos de acceso (usuario y contraseña) a los sitios web que visitamos frecuentemente. Por lo tanto, no estamos hablando de gestores de contraseña como aplicación (web o de escritorio).

El ataque consiste en insertar un formulario oculto que contenga las mismas etiquetas que el formulario de acceso original (ej: username y password). Este formulario invisible enviará los valores de los campos completados por el navegador a una dirección maliciosa que recogerá esos datos.

Contado así, suena muy peligroso pero haría falta añadir (no siempre se explica claramente este aspecto en los artículos que comentan este tipo de ataque) que para que todo esto suceda, el atacante debe haber colocado-insertado-embebido dicho formulario en una página dentro del dominio a atacar. 

Esta acción puede llevarse a cabo por etiquetas iframe (marcos ocultos) y etiquetas html con el formulario que se insertan en un foro (por otra parte, la mayoría de los sistemas que permiten el envío o entrada de datos validan o impiden que se pueden utilizar este tipo de etiquetas).

En cuanto a Shibbo, tal y como se decía al principio, no está afectado como gestor de contraseñas (online o en su versión como portableapp) aunque no está de más hacer algunas recomendaciones extensibles a cualquier página con acceso restringido que visitemos habitualmente:

- No pulsar en links para acceder a la dirección web, sino escribir directamente la dirección en la barra de direcciones (una alternativa puede ser almacenar la dirección en nuestros favoritos, bien del navegador o cualquier servicio de marcadores online).

- No aceptar la opción de guardar o recordar contraseñas del navegador

- Desconectar o Cerrar siempre la sesión desde el enlace correspondiente, evitando dejarla abierta o cerrando el navegador

Utilizando una de las técnicas de los spammers para saber si los correos basura que mandan son abiertos (que no leídos...) con lo que comprueban la validez de la dirección - y al mismo tiempo sacan datos adicionales del usuarios (IP = Localización = Idioma) - podemos saber si alguien está curioseando en nuestra bandeja de entrada.

La técnica consiste en el uso del llamado web bug: la inclusión de un archivo (normalmente una imagen invisible consistente en 1 pixel) en el código del mensaje. Cuando el mensaje se abre, el archivo se pide al servidor donde está alojado y éste registra en el log esta petición (IP, fecha y hora).

Esta técnica la utilizan servicios como ReadNotify (http://readnotify.com/) - ejemplo de uso aquí: http://spamloco.blogspot.com/2007/05/descrubre-quin-te-espa-el-correo-otro.html - y DidtheReadit (http://didtheyreadit.com/).

Este método no es infalibe ya que el lector de correo (sea local o a través de navegador web) puede configurarse para no mostrar imágenes y entonces la carga de la imagen no quedaría registrada en el log.

La empresa OPTENET alerta ante la proliferación de contenidos para adultos en la Web y el próximo día 17 de mayo, coincidiendo con la celebración del ‘Día de Internet’, la compañía ofrecerá filtros de contenidos gratis para ayudar a padres y educadores a navegar con sus hijos de forma segura.

Optenet, multinacional española de software especializada en ofrecer e integrar soluciones de seguridad informática para ISPs Operadoras y grandes corporaciones, se sumará a la celebración del "Día de Internet" y ofrecerá filtros gratis a todos aquellos padres y educadores que visiten la web: www.elecfra.com  durante el próximo 17 de mayo. Desde allí podrán descargar la herramienta Web Filter 9.6 de Optenet para su utilización durante 1 año, de forma totalmente gratuita. También podrán descargar la ficha del producto y un manual para realizar la instalación de forma adecuada.

Proliferan los contenidos para adultos

La proliferación de contenidos para adultos en la Web es un hecho constatable. Durante el periodo 2005-2006, el laboratorio de monitorización de Optenet ha detectado un incremento generalizado en todos los contenidos de esta índole, destacando por encima del resto los relativos a drogas y violencia, con subidas del 126,93% y del 76,09%, respectivamente. Dichos contenidos resultan especialmente polémicos cuando quienes acceden a ellos son menores internautas.

Según Ana Luisa Rotta, directora de Proyectos Europeos de Optenet: "La prevención es la mejor forma de proteger la integridad del menor en Internet". En este contexto, los filtros son la única barrera efectiva para evitar el acceso a contenidos inapropiados para los niños en la Red. La mayoría de herramientas de filtrado que se comercializan en el mercado funcionan a partir de bases de datos de listas de URLs catalogadas como indebidas (listas negras) que, dada la naturaleza dinámica de Internet, se vuelven obsoletas y, por tanto, ineficaces.

Optenet Web Filter 9.6 trabaja con un motor inteligente y multilingüe que rastrea en tiempo real todo el contenido de Internet y lo cataloga según su naturaleza para después bloquearlo. La técnica se completa con listas blancas, que permiten al usuario añadir URLs que sí considera adecuadas para la navegación del menor. Se trata, por tanto, de una herramienta flexible que permite configurar el control de los accesos según el perfil del menor -no navega igual un menor de doce años, que uno de dieciséis-, definir franjas horarias de uso y programar horas máximas de navegación, para controlar posibles problemas de adicción. Además, ayuda a mantener el equipo informático libre de virus y de otros códigos maliciosos.

 Por último, recordar  que Base, empresa responsable de Shibbo (www.shibbo.com) , también participa en el Día de Internet ofreciendo una auditoría de seguridad en Internet a las primeras 100 pymes españolas que lo soliciten. Más info en: www.basecia.es/diadeinternet.htm

Hace no muchos años, en torno a una década , no teníamos aún una noción importante de lo que la seguridad informática iba a suponer en nuestro trabajo diario.

Las empresas de antivirus no estaban en la cima de la facturación informática , no existían personas dedicadas exclusivamente a la seguridad, ni todo lo contrario , personas dedicadas a vulnerar las barreras de seguridad impuestas.

No existía una clara idea de cuales podían ser los daños y a nivel penal, aún faltaban muchos puntos a tener en cuenta, para paliar lo que años venideros ocurriría.

Pero hoy,  en la mayor parte de la sociedad , existe una clara idea de lo que la desprotección o falta de seguridad nos pudiera ocasionar. Además, existen leyes ,y cada día más rigurosas , contra los delitos que vulneren nuestra seguridad informática.

Para sentirnos seguros y evitar poner en peligro nuestro trabajo o el de nuestra empresa, doy unas recomendaciones generales, para proteger intrusiones y mantener la privacidad.

Unas reglas básicas son:

En ordenadores personales:

- Mantener actualizado el sistema operativo, con los parches(hotfix) que el fabricante nos proporcione.
- Poseer una solución antivirus actualizada.
- Sólo poseer un usuario Administrador con el que instalar software y trabajar con uno sin estos privilegios.
- Cambiar periódicamente la password , y utilizar estas de cierta complejidad.

En redes:

- Soluciones perimetrales(firewall)
- Router bloqueados que sólo permitan el tráfico externo que necesitamos.

En navegación:

- Navegar por sitios (aparentemente) seguros (usar utilidades como siteadvisor.com)
- En páginas que nos tienen que dar una seguridad absoluta , buscar https o el candado en la parte inferior del navegador.
- Habitualmente, eliminar cookies y archivos temporales.
- Mantener el navegador actualizado.
- Mantener el nivel predeterminado de seguridad del navegador.

Pero sin duda, por mucho que tengamos los medios para evitar comprometernos, la parte más importante de la seguridad , reside en no confiar que se esta plenamente seguro, haciendo de la cautela y la prudencia , puntos importantes en la operatoria y que de por si nos pueden ahorrar muchos problemas de seguridad.

En conclusión: es necesario poner los medios que se nos brindan , como elemento importante para que estemos casi seguros, el casi lo completa el tener cuidado con lo que hacemos, aceptamos o permitimos.

José Ramón Gómez.

McAfee SiteAdvisor es un excelente servicio online (www.siteadvisor.com) para consultar webs que podrían resultar potencialmente peligrosas o dañinas respecto a software espía, software publicitario, el spam y los robos de identidad. 

Además de la consulta de direcciones en la página, se puede descargar un plugin para el navegador que incorpora la clasificación que tiene el sitio (en caso de estar analizado) en los resultados de búsquedas y enlaces de páginas.

Base (http://www.basecia.es/base/diadeinternet.htm) participa también este año en el Día de Internet que tendrá lugar el próximo 17 de Mayo.

El evento que Base propone este año es la realización de una auditoría de seguridad perimetral o penetración externa en aplicaciones de Internet incluyendo la detección de posibles vulnerabilidades y el análisis del nivel de riesgo que implican.

Esta oferta a está abierta a las primeras 100 pymes españolas que lo soliciten.

El mundo de la informática está lleno de mitos y de leyendas difundidas por correo electrónico o simplemente comentadas boca a boca. Estas leyendas no son solo los famosos hoaxes o las cartas en cadena, sino que se dan por hecho una serie de cosas que no suelen ser ciertas, pero son tan difíciles de probar que se dan por ciertas sin comprobación ninguna. Y dentro del mundo de la seguridad informática, existen también esos extraños mitos. Uno de ellos, con un fundamento real, está cada vez más desvirtuado: los creadores de códigos maliciosos son buenos programadores. Hace tiempo, cuando los virus estaban en su prehistoria, era cierta.

Este recomendable artículo de Sixto Heredia sigue en: http://www.aui.es/index.php?body=bita_v1article&id_article=1230

Hasta el 9 de mayo de 2007 se desarrolla la II Campaña contra el fraude 'online' y por la seguridad en la Red" (www.seguridadenlared.org)

Los internautas podrán descargarse herramientas gratuitas para navegar con seguridad por Internet. Desde la web se puede realizar un análisis del PC, además de descargar algunas utilidades interesantes como un generador de claves o un bloqueador/desbloqueador de la página de inicio del navegador (problema bastante habitual entre los usuarios).

La Campaña contará con un servicio de línea abierta por correo electrónico atendido por miembros de la Asociación de Internautas y por expertos en legislación digital, seguridad hardware y software, y comunicación digital.

Entre los objetivos de la esta campaña destacan:

• Conquistar la opinión de que con información el uso de Internet es seguro
• Limpiar los Ordenadores de virus y troyanos.
• Navegar con seguridad y confianza.
• Preservar la intimidad de las comunicaciones electrónicas.
• Evitar las intrusiones en los ordenadores.
• Formar e informar a los internautas sobre el uso de herramientas de seguridad
• Informar sobre las posibilidades de las herramientas software gratuitas de libre utilización en la Red.
• Favorecer el uso protegido, responsable y no intrusivo de las nuevas tecnologías de la información.
• Estimular el conocimiento tecnológico, la netiqueta y la responsabilidad ciudadana de los Internautas
• Estimular la confianza en el uso de la Red, para fines sociales, formativos, informativos, comerciales y transaccionales
• Involucrar a los agentes sociales, empresas y organizaciones en la extensión del concepto de seguridad de uso de Internet

En la primera campaña “no más fraude on-line” - en la cual participó Base (www.basecia.es) - se recibieron más de 15.000 denuncias de los usuarios y gracias a la colaboración de los internautas se descubrieron más de 200 intentos de fraude on-line y robos de identidad.