Tres causas sobre temores a la seguridad en la nube

Sabemos que la mayoría de los proveedores de servicios en la nube que gozan de una buena reputación, donde tienen su primera linea de combate y su principal objetivo, es proteger los datos de los clientes. Muchos son los que expertos dicen que no hay cosa mejor que un sistema cloud totalmente seguro. Hoy veremos tres principales causas sobre tus temores relacionados con la seguridad en la nube, ya que sin embargo, la mayoría de las Pymes tienen una gran preocupación cuando se trata de computación en la nube.

Este "temor" es debido a las preocupaciones sobre los costos percibidos involucrados, por la complejidad de mover sus datos a la nube y por la reticencia al no estar ni saber plenamente de sus beneficios empresariales inmediatos. Así que, visto esto ¿Por qué deberían de hacerlo? Lo que pasa, es que simplemente muchos gerentes de Pymes están nerviosos por el concepto de "la nube".

Nosotros como siempre, esperamos que estas sugerencias te ayuden en todo lo posible a la hora de tomar una decisión bien informada. Y otro punto que también debes de saber, es que es totalmente comprensible que sufras inquietudes por la seguridad de tus datos de empresa y los tuyos.

Principales causas de temor al usar la nube en tu empresa

• Autenticación de usuarios: los proveedores de renombre establecen una serie de salvaguardias, restringiendo de esta forma el acceso y control para acceder a tus datos. Si eres gerente de una empresa, puede ser algo normal el que temas que tu información pueda ser accesible por personas no autorizadas. Aunque no deberías de temer tanto, ya que los proveedores de cloud se aseguran al extremo de que los datos en la nube sólo sean accesibles por el personal autorizado haciendo uso del cifrado de datos y exigiendo al empleado, contraseña y usuario.
• Controles y registros: durante el tiempo que tu empresa hago uso de los servicios del proveedor de servicios en la nube, los registros de acceso a todos tus datos también es otra preocupación que seguro tienes en mente. En un principio no debes preocuparte ya que están bien protegidos y mantenidos. Tu proveedor también debe poner a tu total disposición los registros de acceso a datos e informes de auditoría para asegurarte de que sólo el personal autorizado tiene acceso a tus datos.
• La infinita inseguridad de la seguridad: los hackers han estado presentes desde el principio y te puedo asegurar de que no se van a marchar a ninguna parte ni a corto, ni a largo, nunca desaparecerán. Entonces y sabido esto, y a medida que la tecnología va avanzando camino, a su mismo tiempo lo hacen absolutamente con todos los riesgos que vienen con su adopción. Yo diría que el temor más grande cuando hablamos de la computación en la nube es el que nunca sabes lo que hay por detrás.

Conclusión

Si lo ves como la opción para ahorrar dinero, ofrecer una mayor flexibilidad de trabajo, liberarte de un departamento de TI, y los beneficios adicionales de seguridad. Si lo ves así, parece absurdo el que no adoptes y aceptes la nube con los brazos abiertos. Este tipo de computación en la nube no va a desaparecer ni mucho menos y tu Pyme tienen que pensar estratégicamente acerca de una tecnología que va a mejorar tu empresa y hacer la vida más fácil para ti, tu empresa y tus empleados. 

Fuente: Tecnología PyME

#Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)

En el día de hoy, en Segu-Info hemos recibido varias denuncias de Phishing del Banco BBVA Francés, Pago Mis Cuentas y Movistar, y hemos podido constatar que ha afectado a 110 personas en poco más de 4 horas.

A continuación analizamos el caso completo, porqué ha logrado tanta repercusión y ha tenido tanto éxito en tan poco tiempo. Ante todo se analiza el correo que recibe cada una de las potenciales víctimas y las empresas afectadas, señaladas con una flecha en cada caso:

Correo recibido por las víctimas

Aquí se observa que las entidades afectadas son: Banco BBVA Francés, Pago Mis Cuentas y Movistar. El delincuente aprovecha la imagen de las tres empresas para lograr una mayor credibilidad en el engaño sobre un supuesto vencimiento de crédito de la línea telefónica.

En el código fuente del correo electrónico se puede ver que son afectadas a otras entidades argentinas, chilenas y canadienses y otros sitios web que han sido vulnerados para alojar las imágenes del email fraudulento:

Código fuente del correo electrónico

El detalle de los sitios web e instituciones afectados son (*):

• Se alojó una imagen en una Universidad Argentina:
  http://institucional.[ELIMINADO].edu.ar/2011/files/novedades/pago-mis-cuentas.png
• Se alojó una imagen en un sitio chileno:
  http://[ELIMINADO]njavier.cl/Postulaciones_Trabajo/afip.jpg
• En ese sitio se utilizó una imagen de AFIP y PagoMisCuentas (Argentina):
  http://[ELIMINADO]njavier.cl/Postulaciones_Trabajo/afip.jpg
• Se vulneró la web de un cine para alojar el sitio falso:
  http://www.[ELIMINADO]studio.com/[ELIMINADO]4.php
• Se vulneró otra web canadiense para alojar el sitio falso:
  http://digital[ELIMINADO].ca/
• Se vulneró un sitio de comunicaciones para permitir el envio de spam:
  http://[ELIMINADO]ommunications.com/o[ELIMINADO]n.php

Imagen de AFIP y PagoMisCuentas en servidores vulnerados

(*) Nota: luego de nuestras denuncias varios de los sitios afectados han eliminado las páginas falsas.

Ahora, si se analiza la cabecera del correo electrónico se pueden ver las herramientas utilizadas para enviar los correos de spam y lograr un mayor alcance de usuarios afectados:

Cabecera del correo

Aquí puede verse la URL http://[ELIMINADO]ommunications.com/o[ELIMINADO]n.php, que es una pequeña página que permite enviar spam a miles de usuarios a la vez, utilizando la base de datos robada comprada previamente por el delincuente:

Envío de spam desde una página web

Una vez finalizado el análisis del correo electrónicoy sus características, se analiza el sitio web falso del Banco BBVA Francés y los datos robados por el delincuente.

Inicialmente el usuario hace clic en el enlace incluído en el correo anterior: http://www.[ELIMINADO]studio.com/c[ELIMINADO]4.php y desde aquí es redirigido a otro sitio: http://digital[ELIMINADO].ca/
Ambos sitios han sido vulnerados por el delincuente y esto le ha permitido alojar el contenido completo de las páginas web del banco para interactuar con las víctimas.

En la primera página se solicita el número de documento del usuario, al igual que lo hace el sitio original: 

Primera página falsa de Banco BBVA Francés

A continuación se solicita el número de DNI y la contraseña de acceso, al igual que lo hace el sitio original:

Segunda página falsa, solicitando DNI y clave

A partir de aquí se comienzan a solicitar otros datos de comprobación, que el banco tradicionalmente no solicitaría, de modo que el delincuente se hace con información que le permite realizar operaciones bancarias en nombre de la víctima:

Solicitud de la clave de transferencia

Además, se solicitan los 81 campos de la tarjeta de coordenadas de la víctima. ¡Por favor!

Solicitud de la tarjeta de coordenadas

Como puede verse, en el fondo de la tarjeta de coordenadas, se simula el ingreso al banco verdadero a través de la captura de una imagen antigua del Home-Banking real (¡31 de marzo 2013!). En la parte inferior de la imagen también se simula la URL real del banco (https://hb.bbv.com.ar/...).

Finalmente, cuando el usuario termina de ingresar sus datos y el delincuente ya se hizo con los mismos, aparece una supuesta página de error que luego envía al usuario a... !Google!:

Página final del engaño

Si se analiza el servidor vulnerado, se puede encontrar el contenido de las páginas descriptas y los datos robados por el delincuente en un archivo TXT. En este archivo se almacenan los datos personales ingresados por las víctimas, las direcciones IP de estas personas e... insultos varios y ataques de SQL Injection que dejan las personas que se percatan del engaño:

Al analizar este archivo, eliminar la información falsa y contabilizar las personas afectadas, al momento de escribir el presente informe se encuentran 110 DNI únicos. Esto demuestra que en sólo 4 horas de actividad el delincuente se ha hecho con muchos datos reales que posteriormente venderá en el mercado negro y/o utilizará para extraer dinero de las cuentas afectadas.

Desde Segu-Info una vez más insistimos en la falta de medidas de protección por parte de los entidades bancarias y financieras, la falta de previsión y de leyes relacionadas a fraudes informáticos y, sobre todo, la falta de educación de los usuarios que permite que 110 personas sean engañadas y que los delincuentes sigan engordando sus bolsillos.

Actualización: al realizar un análisis de las contraseñas utilizadas por los usuarios, realmente se siente una gran depresión. Algunos ejemplos de contraseñas son:

• El nombre y/o apellido del usuario
• Números de 4 dígitos (por ejemplo el año de nacimiento o el PIN de acceso)
• El cumpleaños de la persona
• El número de documento, que además se corresponde con el nombre usuario

Lamentablemente es muy bajo el porcentaje de gente que utiliza una contraseña apropiada.

Cristian de la Redacción de Segu-Info

El almacenamiento en la nube más seguro puede no serlo tanto

Un estudio reciente de la Universidad Johns Hopkins cuestiona cuán seguras son las tácticas de "conocimiento cero" adoptadas por algunos suministradores de almacenamiento en la nube. 

Los servicios cloud de “conocimiento cero” funcionan normalmente almacenando los datos de los clientes de forma cifrada y dando solo a los clientes las claves para descifrarlo, en lugar de que el suministrador tenga acceso a las claves. Pero los investigadores han descubierto que si los datos están compartidos en un servicio cloud, esas claves podrías ser vulnerables a un ataque que permitiría a los suministradores tener acceso a los datos de los clientes si quisieran. 

El estudio [PDF] arroja dudas sobre estas nubes de “conocimiento cero” y refuerza los consejos de los expertos de que los usuarios deberían conocer en detalle cómo gestionan los suministradores sus datos. Los suministradores cloud de “conocimiento cero” analizados por los investigadores, en este caso Spider Oak, Wuala y Tresorit, utilizan normalmente un método donde los datos son cifrados cuando se almacenan en la nube y son descifrados sólo cuando el usuario los descarga de nuevo de la nube. El modelo es seguro. Pero, los investigadores alertan de que si los datos están compartidos en la nube, lo que significa que son enviados por el servicio en la nube sin que el usuario los baje a su sistema, los suministradores tienen la oportunidad de verlos. 

"Siempre que los datos estén compartidos con otro beneficiario en el servicio de almacenamiento en la nube, los suministradores pueden tener acceso a los archivos de los clientes y otros datos" ha afirmado el autor del informe, Duane Wilson, estudiante de doctorado en el Instituto de Seguridad de la Información en el Departamento de Informática de la Universidad Johns Hopkins. 

Es normal para estos suministradores tener un servicio intermediario que verifica a los usuarios antes de proporcionar las claves para cifrar los datos. Los investigadores han descubierto que los suministradores a veces proporcionan su propia verificación. Esto representa una oportunidad para los suministradores de potencialmente ofrecer credenciales falsas que descifrarían los datos y permitiría a los suministradores ver la información. Es similar al tradicional ataque de seguridad del “hombre intermediario”. 

Los investigadores han afirmado que no encontraron evidencia de datos de clientes que fueran comprometidos, ni han identificado ningún comportamiento sospechoso de los suministradores, pero los investigadores afirman que podría ser una vulnerabilidad. “Aunque no tenemos ninguna evidencia de que ningún suministradores de almacenamiento seguro en la nube esté accediendo a la información privada de sus clientes, queremos que se sepa que esto podría ocurrir fácilmente”, ha afirmado Giuseppe Ateniese, profesor asociado que ha supervisado la investigación. “Es como descubrir que los vecinos han dejado la puerta sin echar la llave. Quizá nadie haya robado nada todavía, pero ¿no creen que les gustaría saber que es muy fácil que puedan entrar los ladrones? 

Representantes de Spider Oak, uno de los suministradores mencionados en el informe, afirman que están de acuerdo con algunos aspectos del estudio. Spider Oak anima a los clientes a que utilicen una aplicación para transferir los ficheros en vez de usar el portal web de la compañía. La utilización de la aplicación de Spider Oak asegura la verificación de los usuarios finales para el descifrado de los datos, eliminando la oportunidad de que el suministrador pueda comprometer los datos. Al firmar el servicio de Spider Oak, se requiere a los usuarios que marquen una casilla indicando que comprenden que para conseguir un “conocimiento cero” completo, deben utilizar la aplicación indicada. 

Spider Oak dice que espera permitir servicios colaborativos en su plataforma cloud, lo que significa que los datos serían transferidos dentro de su nube. Para permitir esta funcionalidad Spider Oak dice que piensa utilizar una combinación de identificaciones seguras RSA junto con una clave y una plataforma de cifrado. También espera ofrecer a sus usuarios una forma de verificar de forma segura la identidad de cualquiera que esté viendo sus ficheros. Algunos suministradores, como el suministrador de comunicaciones cifradas Silent Circle, utilizar una herramienta de reconocimiento de voz para ofrecer esta funcionalidad, y Spider Oak dice que están investigando formas similares “elegantes” de verificar que los datos son compartidos únicamente con personas aprobadas por el propietario. 

Fuente: Computer World