Archivos de la categoría seguridad

#retoISACA jóvenes profesionales 2015

Como muchos de vosotros ya sabéis, este año ISACA ha vuelto con el #retoISACA para jóvenes profesionales.

Este concurso tuvo su primera edición el año pasado, y gracias al éxito de la primera edición, han decidido repetir este año. Está orientado a menores de 35 años del mundo de la Auditoría, Seguridad de la Información y Gobierno de las TIC.

El concurso se basa en presentar ideas a ISACA, ya sean teóricas o prácticas con estudios relacionados con los campos anteriormente comentados, de los cuales los mejores serán presentados en un evento público con profesionales de la materia.

Sigue leyendo #retoISACA jóvenes profesionales 2015

Cookies: nos las comemos o no?

Más o menos todos sabemos lo que es una “cookie”, de las de los navegadores, no me seáis glotones, en esta entrada queremos dejar un poco más claro el concepto de cara a las personas que no están tan familiarizadas con ellas.

Siguiendo la definición de la Wikipedia:

Una cookie (o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.

Sus principales funciones son:

  • Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica a una persona, sino a una combinación de computador-navegador-usuario.
  • Conseguir información sobre los hábitos de navegación del usuario, e intentos de spyware (programas espía), por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.

Desde hace algo más de un año, hemos podido ver en la mayoría de webs, que aparece un cuadro informativo, explicando que el sitio web utiliza cookies y que al navegar por el mismo aceptamos el uso de sus cookies.

Aquí podemos ver un ejemplo:

cookiesEbay

El ejemplo muestra el banner informativo de Ebay, si hacemos click sobre el enlace que aparece nos lleva a una página con los detalles de para qué se usan las cookies de Ebay. Esto se debe a que desde 2012 año en el que se modificó la ley sobre el uso que las webs hacen de las ‘cookies’, es obligatorio que las páginas web informen a los usuarios adecuadamente del uso que hacen de las cookies.

Nos gustaría explicar principalmente dos tipos de cookies:

  • Cookies de sesión, las cuales como hemos visto van ligadas a una combinación ordenador-navegador-usuario  y sirven para que éste navegue de manera autorizada por la parte privada de determinadas páginas, estas cookies suelen expirar cuando se cierra la sesión y son en un elemento importante en el que nos fijamos a la hora de hacer una auditoría de seguridad a un portal con parte privada. En la siguiente captura vemos un ejemplo de una cookie de sesión:

cookiesess

  • Cookies de seguimiento, estas con curiosas ya que a la mayoría de los mortales les habrá pasado, buscar cualquier artículo para comprar en internet o simplemente informarse y de repente le aparecen ofertas de determinado artículo constantemente mientras navega. Se puede decir que estas cookies rastrean nuestras preferencias en función de las webs por las que navegamos y de ahí que las utilicen para publicitar “sospechosamente” artículos que nos pueden interesar. Para evitar este seguimiento, una buena práctica que recomendamos es limpiar las cookies del navegador de manera periódica de manera que se pierda “nuestro rastro” o incluso la navegación en modo incógnito.

Aquí podemos ver un ejemplo como después de buscar unas gafas de sol, al navegar a otra web nos aparecen gafas de sol en los banners publicitarios:

bannergafas

Por último os dejamos el enlace a una infografía de sitejabber.com, en el que definen las cookies de manera sencilla y explicativa.

Un saludo.

Otras certificaciones: COBIT5

Tras unos días desaparecidos, hoy queremos ampliar la información de certificaciones en el mundo TI.

En este caso vamos a hablar de COBIT5, una certificación de ISACA.

COBIT5 es “un marco de negocio para el gobierno y la gestión de las TI en la empresa”. Su propósito es satisfacer la necesidad de las organizaciones de disponer de información de calidad, para soportar las decisiones de negocio, generar valor al negocio a partir de las inversiones en tecnología, lograr una excelencia operativa, mantener en un nivel aceptable el riesgo relacionado con las TI, optimizar los costes de las TI y asegurar el cumplimiento regulatorio.

Dentro de COBIT5 existen 3 certificaciones diferentes dependiendo del nivel:

  • COBIT-F (Fundamentos).
  • COBIT-I (Implantación).
  • COBIT-E (Evaluación).

Cobit1 Sigue leyendo Otras certificaciones: COBIT5

Probando antivirus – Fichero EICAR

Hoy queríamos escribir sobre un tema que lleva muchos años en la seguridad de la información y que nos resulta interesante comentar aquí: el fichero EICAR, conocido como el fichero de texto Anti-malware.

Es un fichero original fue creado por Paul Ducklin en cooperación con CARO, (Computer Antivirus Research Organization) un grupo que ha estado trabajando desde 1990 para estudiar el fenómeno de los virus informáticos y fue redefinido por el EICAR (European Institute for Computer Antivirus Research) con el nombre EICAR Standard Anti-Virus Test File.

Este fichero se creó para probar el software anti-virus contra los virus reales de una manera controlada, dado que no se deben hacer las pruebas en un entorno real. De esta manera podemos probar el software sin tener que utilizar un verdadero virus que pueda causar daño real al no responder el antivirus correctamente.

Con este proyecto, se consiguió un estándar que pudiese utilizarse por todas las compañías de antivirus. Hay que matizar que solo nos sirve para comprobar el comportamiento del programa antivirus y en qué circunstancias detecta el antivirus los archivos infectados, pero no llega a indicar que virus es capaz de detectar el antivirus o el nivel de eficacia del antivirus.

El fichero se crea introduciendo la siguiente cadena en nuestro editor de texto plano:

Sigue leyendo Probando antivirus – Fichero EICAR

Jugando con el wifi en el hotel

Aprovechando que este fin de semana me iba de escapada, debido a uno de esos defectos de fábrica, en uno de los pocos ratos libres que pasé en el hotel, decidí investigar la wifi gratuita que tenía disponible en el hotel.

No me había conectado hasta ese momento, por lo que no sabía si estaba protegida con contraseña, portal cautivo, etc., el hotel ofrece conexión a internet para lo que disponía de diferentes puntos de acceso, con una nomenclatura similar a WifiHotel1, WifiHotel2, … , WifiHotelN

Desde mi habitación el punto de acceso más cercano era el 3, asi que me puse al lío y me conecté a él. Cual fue mi sorpresa al descubrir que tenía acceso a Internet directamente, sin solicitar ni contraseña, ni un portal cautivo como esperaba, sino que directamente teníamos acceso a Internet. Por lo que se me iluminaron los ojos (#ironiaON) ¡Que seguridad sentía! (#ironiaOFF). Sigue leyendo Jugando con el wifi en el hotel