martes, 30 de octubre de 2012

Los hackers no perdonan a los ayuntamientos vulnerables: Seis ejemplos de ataques a webs

En algunos casos se pone en juego la imagen y la reputación de una institución; en otros, los sabotajes de webs tienen tintes reivindicativos, y en algunas ocasiones, simplemente, son robos. Pero lo cierto es que los hackers ponen a prueba continuamente la seguridad de las páginas webs de muchas instituciones públicas, y muchas veces las administraciones no superan la prueba.

Y es que este déficit de seguridad es grave puesto que podría comprometer la confidencialidad e integridad de los datos de los ciudadanos. Tanto, que los expertos en seguridad cibernética recomiendan que los sectores públicos y privados trabajen juntos para combatir eficazmente la amenaza de las vulnerabilidades web.



Security Guardian: seguridad online, escaner de vulnerabilidades, test de intrusión
Nube de etiquetas de Security Guardian

Recopilamos en este post alguno de los ataques recientes a páginas web consistoriales con repercusión en medios de comunicación. Unos fallos que dejan al descubierto los agujeros de seguridad online de algunos consistorios.

Muy segura no resultó la web del Ayuntamiento catalán de La Garriga, que este mismo mes sufrió  un ataque informático mediante el cual el saboteador incluiyó mensajes contra la independencia de Catalunya y colocó banderas españolas en todas las secciones. El pirata informático que inutilizó la web incluyó varios mensajes del tipo: "Municipi per la anti-independencia. No todos los que vivimos en La Garriga queremos la independencia, así que no habléis en nombre de todos, no impongáis!!! Esto solo es una advertencia y irá a más si no quitáis la placa de municipi per la independencia. ¡Viva España y Cataluña!". ¿Falta de seguridad?

Un 'juego de niños' comparado con lo sucedido en el municipio pontevededrés de Cercedo, cuya cuenta bancaria electrónica se quedó vacía después de que uno o varios piratas informáticos realizaran entre 15 y 20 operaciones.  La corporación tenía en esa cuenta de la entidad gallega Novagalicia Banco unos 200.000 euros para sus gastos corrientes, como son los pagos a empleados y a proveedores. Finalmente, el consistorio pudo recuperar el dinero. ¿Falta de seguridad?

Con todo, después de los acontecimientos,  la prioridad de la investigación fue determinar cómo el hacker pudo acceder a las claves de la cuenta del Ayuntamiento de Cerdedo.  ¿Falta de seguridad?

En Segovia, otro ataque informático inutilizó varias webs de empresas, clubs deportivos y hasta un ayuntamiento de la provincia para exigir que se aclarasen los presuntos casos de corrupción. Los hackers dejaron inutilizadas varias páginas y fijaron en ellas el mensaje 'Stop corruption municipalities and members of the judiciary'. ¿Falta de seguridad?

Otro hacker entró a mediados del mes pasado en la web del área de Juventud del Ayuntamiento de Valencia y envió mensajes contra el Consistorio a varios usuarios. No era la primera vez que esa misma web sufría un ataque. ¿Falta de seguridad?

Pero los casos de La Garriga, Valencia y Cercedo tienen precedentes, como desvela la hemeroteca.

En abril del año pasado, un grupo pro-iraní pirateó las web oficiales de los ayuntamientos granadinos de Baza y Caniles. El grupo, denominado Ashiyane Digital Security Team,  se apoderó del dominio web de ambos ayuntamientos, que compartían la misma empresa prestadora de este servicio. Las páginas web de los ayuntamientos dejaron de prestar su servicio habitual y en su lugar apareció una interficie del grupo Ashiyane Digital Security Team.  ¿Falta se seguridad?

Al parecer, este mismo grupo había saboteado unos meses antes sla página web oficial de Gibraltar, creada por el Gobierno de Londres. El grupo incluyó en la web pirateada una imagen del Golfo Pérsico y la advertencia expresa de que el sitio había sido hackeado por el equipo de Ashiyane Seguridad Digital. También  incluyeron una serie de palabras y frases aparentemente codificadas y que hacen referencia a los apodos de los responsables del suceso. ¿Falta se seguridad?


jueves, 25 de octubre de 2012

Por aquí entran los hackers: Cinco agujeros de seguridad en cinco grandes empresas

¿Estamos suficientemente protegidos?, ¿lo están las herramientas que utilizamos cada día en nuestro trabajo o nuestro tiempo de ocio? Investigadores y hackers descubren cada día fallos de seguridad en navegadores, aplicativos informáticos, redes sociales, juegos de azar, bancos online y hasta videojuegos de rol. Las empresas lanzan actualizaciones y parchean los fallos detectados, pero muchas veces las vulnerabilidades vuelven a hacerse evidentes con el paso de las semanas, como le ha ocurrido con Java a a la compañía Oracle, en el punto de mira tras evidenciar un fallo de seguridad después de que en agosto lograra solucionar otro.  Pero Oracle no está solo. Otras compañías han visto descubiertas algunas de sus vulnerabilidades y han intentado solucionarlas con mayor o menor fortuna. Véanse aquí cinco ejemplos.



1. Whatsapp

La plataforma de mensajería instantánea Whatsapp no es segura. O dicho de otra manera, los mensajes que mandamos a nuestros conocidos pueden ser interceptados incluso por una persona con pocos conociminetos de hacking porque los datos necesarios para piratear una cuenta,  como el IMEI o la dirección MAC de un teléfono móvil, son demasiado fáciles de obtener. La compañía trató de solventar este fallo encriptando los mensajes, pero aun así su seguridad sigue siendo baja. Normal que le haya salido un competidor que quiere ganar cuota de mercado por el flanco débil del gigante de Silicon Valley: Spotbros: una aplicación española que se promociona como “más segura que Whatsapp”.

2. Banco de Francia

Un desempleado francés que estaba buscando información sobre tarifas tecleó al azar en su ordenador los números 123456, con la sorpresa de que entró directamente en el servicio de deuda del Banco de Francia. Era 2008 y lo acusaron de haber pirateado la web del Banco de Francia, y recientemente lo han absuelto. ¿Por qué? Pues porque parece que la entidad fue demasiado imprudente al elegir la contraseña y al no establecer mayores medidas de seguridad.

3. Java

Investigadores de la firma polaca Security Explorations disclosed descubrieron a finales de mes pasado un nuevo fallo en Java que podría afectar a 1.000 millones de internautas. El fallo afecta a las versiones 5, 6 y 7 de Java en Windows, Mac OS X, Linux y Solaris. En agosto, Oracle ya se vio obligado a solucionar algunas deficiencias de seguridad, pero los investigadores encontraron de nuevo un agujero por el que colarse que la compañía no prevé arreglar hasta el próximo parche que lance en febrero. Los fallos de Java parecen haber hartado a Apple, que lo ha deshabilitado por defecto en todos los navegadores de los Mac con OS X, lo que pone en duda el futuro de Java, acosado por continuos agujeros de seguridad.

4. Navegadores

A principios de este mes, se hizo pública una vulnerabilidad en el navegador Opera que aparece cuando se navega por sitios web inseguros o que poseen contenido malicioso. Se trata de un agujero de seguridad que puede permitir al webmaster de una web redireccionar la navegación del usuario que ha visitado esa página a otra que él desee y donde pueda robar información al usuario. Microsoft alertó también hace unas semanas de un fallo de seguridad en Internet Explorer y Mozilla se vio obligada a deshabilitar la descarga de Firefox 16 por otro fallo.


5. World of Warcraft

El popular videojuego de rol en línea World of Warcraft sufrió hace unas semanas una intrusión que consiguió aniquilar a todos los personajes de Azertoh, el mundo virtual donde se desarrolla juego.  Blizzard Entertainment, la compañía responsable del producto, ha explicado en sus foros que el problema ha sido identificado, por lo que no se podrá volver a repetir al menos usando el mismo fallo en el sistema. Blizzard realizará ahora una "investigación exhaustiva" para determinar la causa de esta “pandemia virtual” y su autoría. World of Warcraft tiene más de 10 millones de usuarios y es el mayor videojuego de rol multijugador en línea del mundo.

....


Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

lunes, 15 de octubre de 2012

Las ventas online pueden salvarte de la crisis. Protege tu web, no te la juegues.

¿Crisis? Sí, es una evidencia. Pero, pese a ella,  las ventas online no están en regresión.  De hecho, según los datos del Informe sobre el comercio electrónico a través de entidades de medios de pago publicado recientemente por la Comisión del Mercado de las Telecomunicaciones, el comercio electrónico en España alcanzó en el primer trimestre de 2012 un volumen total de facturación de 2.452,6 millones de euros, un 19,3% más que en el mismo periodo de 2011. Unos datos que suponen un nuevo máximo histórico.
Evolución del negocio de Internet. Fuente:CMT



El montante económico generado en el primer trimestre se distribuyó principalmente entre las siguientes diez ramas de actividad: las agencias de viajes y operadores turísticos (12,7%), el transporte aéreo (12,0%), el marketing directo (7,2%), el transporte terrestre de viajeros (5,4%), los juegos de azar y apuestas (4,5%), los espectáculos artísticos, deportivos y recreativos (4,1%), las prendas de vestir (3,1%), la publicidad (2,9%), y, por último, los electrodomésticos, imagen, sonido y descargas musicales (2,5%) y los hoteles y alojamientos similares (2,1%).

Pero para que el comercio online prosiga su senda de crecimiento, y para que los compradores decidan adquirir tu producto, es necesario que tu web esté bien protegida. De hecho, según estudios recientes, el 64,5% de los internautas no compradores justifica su rechazo al comercio online por el miedo a dar datos personales por Internet, el 58,8% no se fía y no le parecen seguros estos canales y el 48,3% siente desconfianza ante las formas de pago. Unos porcentajes elevados que no nos deberían extrañar sabiendo que la mayoría de empresas con web no realizan escaneos de vulnerabilidades para certificar la seguridad de su portal. El hecho de que tantas páginas webs sean hackeables interfiere en las confianza de los consumidores, que dejan de comprar o de realizar operaciones online porque no confían en algunas webs.

Por eso, si consideras que la seguridad de tu web es una inversión y no un gasto, ponte en contacto con Security Guardian y diseñaremos un presupuesto a tu medida y a la medida de tus clientes.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian




martes, 9 de octubre de 2012

El 90% de las webs son hackeables

Los datos lo confirman: una parte sustanciosa del pastel de los negocios se mueve en Internet. El comercio electrónico español ronda los 10.000 millones de euros de facturación mientras pequeñas y grandes empresas quieren estar en la Red porque conciben que si no están en ellas no existen para su cliente. Así, según datos de 2011 recopilados por la escuela de negocios Online Business School (OBS), un 62% de las empresas españolas disponen de una página web. De este total, un 58% son pequeñas empresas, el 80% y el 90% para las grandes.

Por eso necesitamos que Internet sea seguro. Que igual que el comercio de la esquina cierra su persiana cada noche, la web de la pyme extreme sus medidas de seguridad para evitar ataques no deseados.

Pero esto no siempre es así, según los resultados obtenidos por Security Guardian, empresa especializada en la seguridad de la información. Así, en las diferentes pruebas realizadas se ha detectado alguna vulnerabilidad en más del 90% de las pruebas realizadas y en más del 75% se ha hallado por lo menos una vulnerabilidad crítica. De las vulnerabilidades críticas detectadas aproximadamente un 23% han sido Inyecciones SQL y un 12% Cross Site Scripting (XSS).  

De hecho, cada día se detectan 5.000 páginas web comprometidas y 1.400 nuevas muestras de malware bancario, con 230 'keyloggers'. Todo esto afecta a la sensación de inseguridad que tiene el internauta, potencial cliente: La mitad de las personas que no ha realizado nunca una compra online confiesa que si renuncia a las compra es fundamentalmente por motivos de seguridad.

En otras palabras, las empresas pierden clientes por no haber invertido en seguridad, por no tener todavía la conciencia de que el escaparate que es la web debe estar protegido igual que se protege un escaparate “real”. Porque Internet también es real. Por eso se recomienda a las empresas que venden a través de su web, que hospedan datos de clientes o, simplemente, que contienen información que realicen auditorías de seguridad. Todo ello redunda en incrementar el número de clientes, lectores o visitantes. Mejora la seguridad de la web y la percepción de seguridad por parte de los visitantes de la web, incrementa las ventas web si dispone de tienda on-line, mejora la imagen corporativa y disuade a potenciales atacantes.