La noticia de que el CISO (chief information security officer) de Pennsylvania, Bob Maley, perdió su trabajo por discutir públicamente un incidente de seguridad en conferencia RSA la semana pasada realmente no debería ser una sorpresa, pero lo es. Incluso para una agencia del gobierno, este tipo de falta de comprensión sobre lo que realmente importa es terrible y es un ejemplo evidente del secretismo  que está infectado en exceso e la comunidad de seguridad. 

 Read more »

IBM aprovechó la Conferencia RSA 2010 en San Francisco para dar a conocer una serie de ofertas de seguridad diseñadas para ayudar a gobiernos y empresas a asegurar infraestructuras críticas. La empresa expuso que tal como muestra su propia investigación, los ciberdelincuentes están lanzando ataques cada vez más sofisticados contra el gobierno, energía, salud, banca, transporte y otras industrias, destacando la necesidad de seguridad más completa.

"Las empresas y gobiernos de todo el mundo están haciendo fuertes inversiones en nuevas tecnologías y procesos que los hacen más eficientes, ágiles y competitivos", dijo Al Zollar, director general de Tivoli Software de IBM.Los nuevos sistemas, herramientas y servicios van desde seguridad en las puertas de enlace(gateway) hasta un firewall de administración. Read more »

Un hacker que se hace llamar Neo ha robado datos turbios de bancos y empresas estatales de la República de Letonia, por lo que el pueblo de esa nación comenzó a denominarlo como un  "Robin Hood virtual". Read more »

Según el  periódico Financial Times, un hombre con vínculos con el Gobierno chino y que trabaja como consultor de seguridad, envió partes del programa a un foro de 'hacking', donde lo describió como algo "en lo que estaba trabajando", afirma el diario norteamericano, que cita a un investigador no identificado que trabajan para el Gobierno de EEUU.

El creador del 'software espía' trabaja como 'freelance' y no lanzó el ataque, pero funcionarios chinos tuvieron "acceso especial" a su obra, según el informe. Washington apoya las críticas y ha instado a Pekín a que investigue a fondo las denuncias. Pekín ha reiterado en varias ocasiones que se opone a la 'piratería'. Read more »

La reciente revelación por parte de Google, Adobe y otras empresas de que sus redes fueron totalmente comprometidas por atacantes que probablemente buscaban sus códigos fuente, ha provocado una enorme cantidad de comentarios, tanto en la comunidad de seguridad como en el público en general sobre las implicaciones políticas y comerciales de los ataques. Pero la realidad es que los ataques por si mismos no son remotamente únicos, ni especialmente inteligentes. Y eso es lo que debería realmente preocuparles a los legisladores, especialistas en seguridad corporativa y cualquier otra persona con alguna participación en el juego. 

Los hackers encontraron una nueva mina de oro: los bonos de carbono. Y, por supuesto, no se quedaron con los brazos cruzados. Se descubrió una oleada de ataques de robo de identidad especialmente diseñados para robar bonos de carbono a determinadas empresas y posteriormente revenderlos.

Para controlar las emisiones de gases contaminantes, el protocolo de Kyoto exige que las empresas adquieran bonos de carbono que permiten establecer un límite a la contaminación que producen. Cuando una empresa consume una menor cantidad de gases de la que le permite el bono, puede venderlo a otra que lo necesite. Así, los bonos de carbono, además de tener una gran importancia ecológica, son un negocio millonario.

Los delincuentes aprovecharon esto para enviar una cantidad masiva de correos fraudulentos haciéndose pasar por la Autoridad Alemana para el Comercio de Emisiones (DEHSt).

Los pasados ataques sufridos por Google en China , parecen revelar una inconveniente verdad , "la nube" no puede ser garantizada. En otras palabras, la situación vivida por el gigante de las búsquedas y otra treintena de empresas  se reduce a esto: es posible que Google se percatara que no puede garantizar la seguridad de sus secretos  y en consecuencia la de sus usuarios.

Al parecer todos nuestros datos se mueve a la nube, algo particularmente cierto para los usuarios de la informática móvil. ¿Pero ha llegado la hora de replantear la computación en nube?

El esperado parche que repara la falla de día cero en el navegador Internet Explorer será lanzado mañana (21 de enero de 2009).

La actualización, considerada crítica para todas las versiones de IE, cubrirá una falla que permite la ejecución remota de código, y que ha sido utilizada en ataques dirigidos contra compañías de EE.UU., incluyendo a Google y Adobe.

Microsoft ya comenzó a lanzar amplias indirectas sobre la liberación de un parche de emergencia para Internet Explorer que se daría a conocer próximamente y tendría como función contrarrestar los ataques dirigidos y la publicación de código de explotación  "navega y eres de mi propiedad"  que afecta a la vulnerabilidad en  su navegador web. 

 Read more »

Los hackers vinculados a China utilizaron una vulnerabilidad de día cero en el navegador Internet Explorer de Microsoft para comprometer los sistemas corporativos en más de 30 compañías, incluyendo a Google, Adobe y Juniper Networks. 

Según Microsoft, la vulnerabilidad aún no es reparada  y puede causar ataques del ejecución remota de código si un objetivo es atraído a un sitio Web especialmente diseñado o visualiza  anuncio con un enlace malicioso.