Cuida tus Redes Sociales

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

En esta semana Apple ha publicado varias vulnerabilidades de XSS en la plataforma de aplicaciones WebKit que afecta a varios navegadores y entre ellos el navegador de Apple Safari. En cuanto a la actividad de troyanos y spyware, Rapid 7 ha publicado un estudio en el que el spyware oficial y “legal” de las agencias gubernamentales, llamado FinFisher, ha sido detectado en más de 10 países por todo el mundo, incluido Estados Unidos. El malware Zeus se ha comenzado a utilizar para infectar a los dispositivos BlackBerry y Android. Symantec ha dado a conocer que el troyano Shylock a vuelto a aparecer, pero esta vez no solo trata de robar credenciales de cuentas bancarias a los usuarios, sino que es capaz de modificar el número de teléfono de las webs de los bancos, aún no se sabe exactamente cuál es el motivo, pero se intuye que es o para hacer tiempo mientras que los “malos” juegan con tu dinero, ya que no podrás contactar vía telefónica con el banco, o para que cuando consultes el número de teléfono del banco llames directamente al atacante y no al banco, y así poder darle toda tu información confidencial mediante una llamada telefónica. No quería dejar pasar este post sin hablar del troyano Gauss que está diseñado para robar información confidencial, como contraseñas, credenciales bancarias y cookies de los sistemas infectados, es muy similar al troyano recientemente descubierto llamado Flame, ya que comparte la arquitectura, estructura y los servidores de control. El NIST ha publicado la versión 2 de la Guía de manejo de incidentes de seguridad, así que muy recomendable de leer. Por último, en cuanto a vulnerabilidades, Microsoft ha publicado nueve boletines que solucionan un total de 27 vulnerabilidades. Cinco boletines han sido clasificados como "críticos", que afectan a Windows, Internet Explorer, Microsoft Exchange Server, Microsoft SQL Server y herramientas de desarrollo de Microsoft.

SEGURIDAD LIGADA A RRHH

A mi personalmente no me ha sucedido, pero imaginaros que vais a una entrevista de trabajo y os piden vuestras credenciales de Facebook, Twitter o Linkedin para que la persona que os hace la entrevista conozca cuáles son tus contactos, inquietudes, mensajes privados, etc, y así conocer exactamente si coincides con el perfil que buscan ¿qué haríais? Pues parece ser que esto es una práctica habitual en EEUU ya que Illinois es el tercer estado donde se va a aprobar una ley donde los departamentos de RRHH no pueden pedir credenciales de acceso a redes sociales ni de correo electrónico a los solicitantes de empleo. En el articulo se comenta que un profesor fue despedido ya que no quiso proporcionar sus credenciales de la red social Facebook en el proceso de re-certificación, así que en este caso vemos una clara invasión a la privacidad de las personas, además de violar la política de privacidad de las redes sociales al divulgar las credenciales a terceros, ya que este último podría utilizar las credenciales para violar la identidad del solicitante de empleo. En cambio, sí que está permitido utilizar la información pública de las redes sociales para tomar las decisiones de contratación y controlar el uso de los equipos una vez contratado, por tanto una vez más vemos la importancia de controlar la privacidad de las redes sociales y no publicar fotos ni comentarios de los que más tarde nos tengamos que arrepentir.

CONTROL DE ACCESO

Esto de publicar tanta información en las redes sociales y ahora con el auge del cloud nos puede costar más de un dolor de cabeza, y si no crees así, díselo a Mat Honan, quien a escrito un articulo diciendo cómo los atacantes utilizaron la ingeniería social para obtener su dirección de correo, y posteriormente elevar privilegios a través del procedimiento de recuperación de contraseñas para acceder a otras cuentas. Finalmente accedieron a su cuenta de iCloud y consiguieron resetear su teléfono móvil y borrar datos del disco duro de su portátil Mac. Por tanto vemos la importancia de no utilizar contraseñas fáciles de adivinar mediante información pública, además de realizar copias de seguridad de los datos.

Saludos.