Noticias

IV Encuentro de Seguridad

Del 21 al 24 de Octubre de 2008 en el Hotel Sheraton de Montevideo, se llevó a cabo el IV Encuentro de Seguridad ATEFI. Contamos con la asistencia de 13 redes de la Asociación.

 

Los 10 errores que comete la alta dirección en seguridad de la información

 

1.       Asignar a gente sin experiencia el mantenimiento de la seguridad informática y no dar formación para aprender en qué consiste la prevención de la fuga de información y los cambios inherentes a la naturaleza del puesto.

2.       Falta de comprensión entre la relación de seguridad de la información con los problemas del negocio. Informática es un área del negocio, no lo es todo.

3.       Falta de conocimiento y de compresión sobre los aspectos de la operación de Seguridad de la Información. Tenemos que tener fluidez para decirle a la alta dirección a qué demonios nos dedicamos, cómo es nuestra operación. ¿Gasto o inversión?

4.       Confiar la seguridad de la información solamente en los firewalls e IPS, IDS, UTM, etcétera.

5.       Que el departamento de Seguridad de la Información dependa del departamento de Informática. El departamento de Informática debe contar con herramientas para auto-auditarse para que cuando le toque la auditoría externa resulte más o menos bien.

6.       Dejar sólo en manos de proveedores externos la operación de la seguridad informática, y la operación crítica de informática

7.       No darse cuenta del valor de la posesión de la información y la reputación de la compañía.

8.       Reaccionar reactivamente, dando soluciones breves o haciendo parches para solucionar problemas que luego se reproducirán periódicamente.

9.       Pretender que los problemas no aparecerán si son ignorados. “Eso le pasa a los más “fregados” yo soy inmune. Provengo de una familia de alto nivel, “eso” no nos pasa.”

10.    Ocultamiento de problemas entre los departamentos de tecnología informática y de Seguridad de la Información por desviación de presupuestos. (IT versus Seguridad).

Para concluir, Torrecillas afirmó: “La seguridad informática no es patrimonio de unos o de otros, la integridad de la información impacta en los resultados de la operación”. Más información

 

Enciclopedía On line de amenazas internas

 

Promisec ha lanzado una enciclopedia en línea de amenazas en seguridad de red interna. La enciclopedia, que puede ser vista por cualquier persona de forma gratuita, se actualiza continuamente con explicaciones detalladas de las últimas amenazas.


Además, el sitio contiene gráficos mensuales que muestran cómo la tendencia en los riesgos internos ha cambiado en los últimos años, consejos de seguridad internas y trucos, artículos sobre los últimos incidentes de seguridad interna, un panorama de las amenazas internas, y una amplia gama de otros recursos. Más información

 

Visita de ATH Costa Rica a Servibanca y ATH Colombia

 

El 12 de agosto Luis Allan Alfaro Gerente de ATH Costa Rica y Ernesto Rodriguez de Evertec visitaron las instalaciones de Servibanca y A Toda Hora en la ciudad de Bogotá

 

Cambio de tarjetas en Colombia 

 

Los "nuevos plásticos" contarán no sólo con el chip sino también con un pin: por ello hasta las tarjetas de crédito tendrán que ser usadas con clave. En Colombia no existía la certificación para emitir y adquirir este sistema, pero la Superintendencia Financiera, mediante la circular externa 052 del 2007, dio el primer paso para que antes del primero de julio de 2010 todos los bancos cambien sus plásticos a tarjetas con chip. Actualmente, Redeban Multicolor fue certificada en la plataforma llamada EMV, que hace referencia a la Euro Card, a Masterd Card y a Visa. Uno de los bancos que está trabajando en la adecuación de la tecnología es AVVillas, cuyos directivos revisan la regulación, las plataformas y las posibilidades de modernización de los plásticos.  El cambio que se realizará en los bancos involucra nuevas tarjetas, cajeros electrónicos que lean este tipo de sistema y hacer parte de una plataforma que permita la lectura de los chips.

Más información

 

Visita de ATH Colombia a Redbanc de Chile

 

El 25 y 26 de junio, Marcelo Di Marco Presidente de ATH, Diego Tovar Gerente de Desarrollo Tecnologico y Yadira Gonzalez Directora de Plataforma Central y DRP, visitaron las instalaciones de Redbanc en Santiago de Chile.

 

XII Asamblea General ATEFI

 

ATEFI en conjunto con BANRED S.A. de Ecuador, fueron los anfitriones de la XII Asamblea General de la Asociación, que se realizó en la ciudad de Quito los días 28, 29 y 30 de mayo de 2008. Contó con la Asistencia de 15 redes de 11 países: Banelco y Redlink de Argentina, Redbanc de Chile, ATH, Redeban y Servibanca de Colombia, ATH de Costa Rica, Transacciones y Transferencias de Guatemala, Banet de honduras, Telered de Panamá, Cardnet de República Dominicana, Banred y BROU de Uruguay y Suiche 7B de Venezuela. Además la Red Enlace de Bolivia participó como red invitada.

 

UNISYS Identifica los problemas de seguridad más relevantes de 2008

 

La protección de datos en dispositivos móviles exigirá más atención.

Con el creciente uso de los dispositivos móviles (como los teléfonos y PDA), las organizaciones tratan de controlar los problemas de seguridad mediante contraseñas y otras medidas protectoras en la conexión. Sin embargo, al hacerlo, muchas empresas pierden la amenaza real. Se olvidan de ir más allá del dispositivo físico y suelen fallar a la hora de proteger los datos almacenados en el dispositivo; algo no sólo valioso para los propietarios, ya que es un objetivo cada vez mayor para los delincuentes que cometen fraude de identidad y robo.     

 

Los bancos se enfrentarán a retos importantes en la protección de datos debido a la utilización de dispositivos móviles para realizar transacciones.

 

La banca móvil está ganando adeptos y surgirá como un canal importante para las operaciones bancarias, con más del 35 % de usuarios de banca «online» que emplearán dispositivos móviles para realizar transacciones financieras hacia el año 2010, según un informe reciente de Celent. A medida que esta tendencia continúe, los riesgos de seguridad aumentarán.

 

Las organizaciones buscarán una convergencia continua de medidas de seguridad físicas y electrónicas para obtener una protección mejorada frente al espionaje. Las organizaciones buscarán una convergencia continua de medidas de seguridad físicas y electrónicas para obtener una protección mejorada frente al espionaje. Las entidades del sector público y del sector privado prestarán más atención a los registros impresos y electrónicos. El creciente uso de intercambios de registros electrónicos crea cuestiones de seguridad fundamentales. Por ejemplo, muchas personas comparten fácilmente datos importantes de la empresa o datos personales sin pensar en las ramificaciones de seguridad que existen cuando un documento pasa por varias manos.

 

Las redes sociales de Internet serán cada vez más vulnerables a las amenazas de la privacidad. El amplio uso y el alcance de las tecnologías Web 2.0 aumentarán las oportunidades de una mayor amenaza de la privacidad a través de sitios de red sociales como MySpace, LinkedIn o Facebook. Más información

 

Agresiva campaña de seguridad Lanza el  sector financiero colombiano en conjunto con la Policía Nacional

Con el propósito de promover la cultura ciudadana en el uso de medidas preventivas que disminuyan las pérdidas por fraude y generen conciencia de que la seguridad es asunto de todos, el sector financiero lanzó una agresiva campaña de publicidad.

Aunque los bancos invierten recursos para ofrecer tecnologías cada vez más seguras, con la campaña buscan generar cultura en este tema  y estimular un trabajo en equipo en el cual clientes y entidades financieras toman la delantera para disminuir el índice de fraudes.

 

En una primera etapa la campaña estará enfocada en dos tipos de fraude: Clonación de tarjetas débito y crédito y Fraudes por Internet. Posteriormente, y teniendo en cuenta que es una campaña a largo, plazo se irán comunicando y alertando a la ciudadanía sobre nuevos tipos de  fraude. El sector tiene muy claro que paralelo a la evolución de las nuevas tecnologías aparecen nuevas formas de fraude, aprovechando sistemas desarrollados inicialmente con propósitos benéficos y sacando ventaja de vulnerabilidades presentes en plataformas operativas y demás soluciones de la tecnología de la información. Vídeo / Más información

 

Bruselas da un ultimátum a Mastercard para que cambie su sistema de comisiones

La Comisión Europea considera que el sistema de comisiones de Marstercard restringe la competencia y le ha dado un plazo de seis meses para cambiarlo. Además, le amenaza con una multa diaria del 3,5% de su facturación.

 

Bruselas estima que la comisión de intercambio, es decir, lo que se paga a las entidades emisoras de tarjetas por parte de los los bancos dueños de los cajeros por cada operación, tiene un coste injustificadamente elevado en el caso de las tarjetas MasterCard y Maestro. El Ejecutivo de la UE ha señalado que la compañía emisora de tarjetas de crédito tiene seis meses para actuar. De lo contrario, se le podría imponer una sanción sobre sus ingresos diarios en el ejercicio previo. Más información

 
Internet: Las principales amenazas previstas por McAfee en 2008
El informe elaborado por la empresa McAfee acerca de las diez principales predicciones de amenazas a la seguridad para el año 2008, los investigadores de McAfee Avert Labs destacaron un aumento en los peligros y amenazas en la Web dirigidos al sistema operativo Windows Vista de Microsoft Corp., entre otras de las  amenazas nuevas o intensificadas.

"Las amenazas están avanzando a la Web y a tecnologías más nuevas como VoIP y mensajería instantánea", comentó Jeff Green, vicepresidente senior de McAfee Avert Labs y desarrollo de productos. "Los criminales profesionales y organizados siguen impulsando gran parte de la actividad maliciosa.  A medida que se vuelven más sofisticados, es más importante que nunca estar atento y seguro cuando se navega en la Web." Más información

 

Cyberdelincuentes: ahora usan skype para el robo de identidad

Una oleada de correos electrónicos falsos está llegando. Por estos días, los correos se utilizan para robar nombres de usuario y contraseñas a través del popular programa Skype, que utiliza para sus comunicaciones la tecnología conocida como “voz sobre IP” (VOIP). El ISC (Internet Storm Center) acaba de dar a conocer un informe en el cual se consigna este nuevo fenómeno, que podría asimilarse a algo así como “phishing vía Skype”. El reporte describe ataques que se remontan a mediados de 2007, donde la mayoría adoptan un enfoque obvio con mensajes como el siguiente: "Es necesario que actualice sus credenciales, pulse aquí para acceder a [...]", y se muestra un enlace a un sitio falso que simula ser el de Skype, donde se incluyen los logos y la estética típica del sitio real.

¿Para qué robar las cuentas en un servicio de VOIP? La teoría del ISC, es que con el uso de la voz, podrían mejorarse otras técnicas utilizadas para delinquir, y llevar a cabo ataques de phishing más elaborados. Otro de los puntos importantes al conseguir el dato de usuario y contraseña en un servicio aparentemente inofensivo como Skype, es que muchos usuarios utilizan la misma contraseña en varios sistemas. Lo cual podría hacer que los hackers probaran esta combinación de usuario y contraseña en sistemas más redituables, como la banca online o de manejos financieros. Más información.