Para hoy tenemos una entrada de un nuevo colaborador, Alex Casanova, administrador de Sistemas Windows, Linux y Sistemas virtualizados con VMware con más de 10 años de experiencia. Adicto a las nuevas tecnologías y las telecomunicaciones dedica gran parte de su tiempo a la investigacion de sistemas radio, OSINT y redes de comunicaciones. Actualmente está involucrado en el despliegue de una red digital de comunicaciones DMR para radioaficionados. Se le puede encontrar en su twitter @hflistener y en su blog Digimodes.

Habitualmente todas las noticias sobre seguridad están centradas en el mundo de Internet y sus amenazas; pero no siempre somos conscientes de los posibles riesgos existentes en las comunicaciones fuera del plano IP. Analizar y comprender el riesgo que suponen los sistemas de radiocomunicaciones en las organizaciones debe jugar también un papel fundamental dentro de la seguridad, cuya interrupción o destrucción podría tener un gran impacto sobre la organización.

Recientemente ha sido publicado en “Communications Support Forums” una vulnerabilidad en el sistema de comunicaciones DMR (MotoTRBO) de Motorola que permitiría a un atacante, usando un terminal de radio, transmitir en la frecuencia de salida de un repetidor DMR protegido con el sistema RAS (Restricted Access to System) sin conocer la clave.

[Read more…]

Para este miércoles tenemos una entrada de Antonio Sanz, Ingeniero Superior de Telecomunicaciones y Master en ICT por la Universidad de Zaragoza.

Actualmente es el Responsable de Sistemas y Seguridad del I3A (Instituto de Investigación en Ingeniería de Aragón), y trabaja como perito en informática forense. Posee las certificaciones CISA, CISM, CHFI e ITILf, y sus áreas de interés actuales son la respuesta ante incidentes, la informática forense y el cibercrimen. Tuitea como @antoniosanzalc y es un imprescindible en cuestiones de ciberseguridad, cibercrimen y APTs entre otros aspectos, dándole una perspectiva geopolítica sumamente interesante.

El fin de vida de Windows XP ha traído, está trayendo (y traerá) muchos quebraderos de cabeza tanto a administradores de sistemas como a los expertos en seguridad. En este artículo se pretende ofrecer soluciones y consejos basados en nuestra experiencia en el I3A (Instituto de Investigación en Ingeniería) de la Universidad de Zaragoza.

El primer paso a seguir es definir el objetivo del proyecto y los parámetros de partida. El objetivo principal no debería ser reemplazar Windows XP por otro sistema operativo, sino apoyar los procesos de negocio (en nuestro caso la investigación realizada por nuestros miembros). Ese apoyo se traduce directamente en este caso en una gestión del riesgo, orientada a controlar y reducir el mismo hasta niveles aceptables.

Como parte de los parámetros iniciales se tiene que el proyecto debería terminar lo antes posible (de forma óptima a principios de Abril, cuando se daba por finalizado el soporte). Por razones obvias de la coyuntura económica actual, el gasto a realizar debería de ser el mínimo posible.

[Read more…]

Para este miércoles tenemos una entrada de Antonio Sanz, que después de mucho perseguirlo se ha prestado a colaborar con nosotros :)

Antonio es Ingeniero Superior de Telecomunicaciones y Master en ICT por la Universidad de Zaragoza. Actualmente es el Responsable de Sistemas y Seguridad del I3A (Instituto de Investigación en Ingeniería de Aragón), y trabaja como perito en informática forense. Posee las certificaciones CISA, CISM, CHFI e ITILf, y sus áreas de interés actuales son la respuesta ante incidentes, la informática forense y el cibercrimen. Tuitea como @antoniosanzalc y es un imprescindible en cuestiones de ciberseguridad, cibercrimen y APTs entre otros aspectos, dándole una perspectiva geopolítica sumamente interesante.

El próximo 8 de Abril Microsoft finaliza el soporte extendido para Windows XP [1], Office 2003 e Interner Explorer 8, lo que supone que ya no ofrecerá de forma oficial actualizaciones de seguridad. Esto supone un grave problema, ya que XP tiene una cuota a nivel mundial del 30-35% en función de la fuente consultada.

En España, Luis Corrons (Director Técnico de PandaLabs/Panda Security) afirmó en el 7ENISE [2] que en un estudio realizado entre grandes empresas y AAPP Windows XP suponía un 81% de las estaciones de trabajo [3]. Para hacernos una idea de la magnitud del problema, cuando Microsoft finalizó el soporte a Windows 2000 en 2010 tan solo tenía un 0.4% de la cuota de mercado [4].

Los problemas de la migración de Windows XP a un sistema operativo superior (Windows 7 o Windows 8) son variados. En primer lugar está el problema de la potencia de los equipos [5], ya que no todos los equipos tendrán hardware lo suficientemente potente como para correr 7/8 (aunque en mi experiencia, un Pentium IV con 2Gb de RAM, si se le desactiva Aero y otros servicios puede ser todavía usable).

[Read more…]

Para hoy jueves tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente en aspectos relacionados con la gestión de marca y reputación en las organizaciones.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Hace cosa de diez años Steven Spielberg tuvo a Tom Cruise corriendo durante unos cien minutos en una película de ciencia ficción bastante solvente llamada MinorityReport. Hacia el último tercio del film, el personaje de Cruise se introduce en una galería comercial donde escáneres de retina situados estratégicamente lo identifican ¿para atraparlo? No, qué va; para programar los carteles que, a su paso por la galería, le muestran anuncios personalizados.

[Read more…]

Para hoy martes tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente en aspectos relacionados con la gestión de marca y reputación en las organizaciones.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

2013 va a ser el año del Big Data. No lo digo yo, lo dice la consultora Gartner que sitúa este concepto entre las siete tendencias que definirán el escenario tecnológico que está por venir. No es que el concepto de Big Data sea nuevo. El concepto existe de hace varias décadas, prácticamente las mismas en las que la tecnología se ha asentado como un valor diferencial en la empresa.

Ahora disponemos de la tecnología para trabajar con grandes cantidades de información gracias a los avances en correlación de eventos, reducción de costes de almacenamiento y hardware capaz de procesar estas bases de datos masivas.

[Read more…]

(Hoy tenemos una colaboración de Pedro López, en la que presenta la herramienta Buster Sandbox Analyzer a aquellos que todavía no la conozcan e invita a cualquier persona interesada a colaborar con su desarrollo)

Buster Sandbox Analyzer es una herramienta diseñada para analizar el comportamiento de aplicaciones, específicamente aquellos sospechosos, es decir aquellas acciones que lleva a cabo de forma típica el malware. Algunos ejemplos de acciones típicas son que el fichero ejecutado haga una copia de sí mismo en otro lugar del disco duro, que modifique claves del registro o que añada ficheros en el directorio de instalación del Windows entre otros.

No obstante, a la hora de identificar una acción como “peligrosa”, cabe plantearse que algunas, si no muchas, de las acciones que se pueden considerar como sospechosas también las suelen realizar aplicaciones legítimas, por eso es muy importante considerar el contexto general de la aplicación analizada: ¿es razonable que la aplicación que estamos analizado realice esas acciones?

[Read more…]

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico del CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

A estas alturas todos conocemos ya los códigos QR. Son estas imágenes rectangulares que parecen un criptograma y que podemos ver en pancartas publicitarias, dentro de folletos de publicidad, revistas, en las cajas de productos del super, etc. La intención inicial de los Códigos QR fue utilizarlos para inventariar los repuestos de almacén de forma rápida (Quick Response Codes) pero su uso se ha extendido hasta que podríamos considerar que es una forma de ‘realidad aumentada’.

Estos códigos bidimensionales se utilizan para almacenar información que puede contener desde una URL de una web hasta una tarjeta de visita, con una capacidad máxima de almacenamiento de 4.296 caracteres que se ven reducidos según el nivel de corrección de errores que se quiera incorporar en la imagen. De esta forma podemos enlazar a la descarga de un mp3, instalar una aplicación, enviar un correo electrónico, obtener información, marcar un número de teléfono, e incluso realizar pagos. Para casi todas estas acciones será preciso disponer de conexión a Internet.

El éxito de este tipo de código puede residir en que hoy en día todos los teléfonos inteligentes, con cámara, pueden disponer de un programa que lea este tipo de códigos bidimensionales y además, se trata de un código abierto cuyos derechos de patente no son ejercidos por Denso Wave.

Se han utilizado en campañas publicitarias que han causado cierto revuelo. Recientemente, en los juegos olímpicos de Londres, el equipo de beach volley británico llevaba uno de estos QR en la parte posterior del bikini; este código QR enlazaba con la página web del patrocinador. A Calvin Klein le censuraron ciertos anuncios por considerarlos de contenido explícito no apropiado, así que retiró las imágenes y las sustituyó por códigos QR que enlazaban a su visualización en Internet. Hay incluso quien parece que se quedó sin palabras y en la lápida del difunto solo le dejaron un código QR.

[Read more…]

Aprovechando que estamos ya a la vuelta de las vacaciones (algunos incluso de vuelta literalmente), traemos una entrada de Cristina Martínez Garay, abogado de Derecho Tecnológico de la firma Rocabert & Grau Abogados, bufete que colabora con Security Art Work, en relación con esas fotos que todo el mundo se saca alegremente pero que luego nunca se sabe dónde pueden acabar.

Las vacaciones son un derecho reconocido legal y socialmente reconocido para estudiantes y trabajadores por cuenta ajena, así como para todo aquel que se toma merecidamente un receso en su actividad diaria para el descanso. A diferencia unos años atrás, ahora con las nuevas tecnologías, las redes sociales, los Smartphone y otra serie de dispositivos móviles, resulta fácil contar y retratar al detalle dónde nos encontramos, las tareas que estamos cometiendo e incluso nuestros pensamientos y opiniones a todos los amigos, familiares y/o lista de contactos en general.

La cuestión, y el objeto del presente post, es analizar jurídicamente las consecuencias de incluir a otras personas en la crónica vacacional en las redes sociales pudiendo en ocasiones, vulnerar inconscientemente derechos fundamentales de terceros.

1) En el marco del derecho a la Intimidad Personal y Familiar y la Propia Imagen

Este derecho está reconocido en el artículo 18.1 de la Constitución y regulado en la Ley Orgánica 1/82, de 5 de mayo (Ley Orgánica 1/82, de 5 de mayo1, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen). La Protección de estos derechos está delimitada por las leyes y por los usos sociales según el ámbito que mantenga cada persona reservado para sí o su familia.

[Read more…]