Archive for Tools

junio 20th 2018

Gestores de contraseñas: qué son, cómo se usan y cuál es el mejor

Número de lecturas: 580
{lang: 'es-419'}

Hackeruna: “Les comparto un post interesante que en medida resume mi experiencia con este tipo de aplicaciones y luego de varias pruebas y buscando la que mas se acomode a mi necesidad decidi continuar utilizando: LastPass “

Últimamente la seguridad de nuestras contraseñas ha vuelto a salir a la palestra a raíz del Celebgate y la filtración de cinco millones de contraseñas de Gmail. Y es que por mucho que tratemos de ir a otros modelos de autenticación o busquemos medidas de seguridad adicionales, las contraselas son prácticamente inevitables a día de hoy.

Por eso en Xataka hemos querido hacer un repaso al tema, explicando qué es realmente una contraseña segura y cómo podemos crearlas nosotros mismos. También revisaremos gestores de contraseñas, viendo cuáles son más recomendables y cómo nos pueden ayudar.

Creando contraseñas seguras

keyskeyboard.jpg

Empezando por lo primero: ¿qué es una contraseña segura? La respuesta es fácil: una contraseña que no pueden adivinar ni ordenadores ni humanos. Por ejemplo, 28712 es una contraseña que le costará adivinar a una persona, aunque un ordenador no tardaría mucho haciendo intentos aleatorios (fuerza bruta). Por otra parte, costaría que un programa adivinase mellamoguillermojulián, pero igual alguien que me conozca apenas tarda dos intentos en encontrarla.

Los consejos básicos suelen ser que usemos contraseñas suficientemente largas (12 caracteres es suficiente para que un ataque por fuerza bruta sea prácticamente imposible, ni ahora ni en unos cuantos años), y sobre todo que no sean comunes. Aquí va una lista más o menos completa:

  • Cuantas menos palabras de diccionario uses, mejor. Sí, “libroordenadorpatata” es una contraseña larga pero son tres palabras comunes, sencillas de adivinar.
  • No uses datos personales, o al menos no directamente. Un ordenador no adivinará que tu contraseña es “alamedilla85”, pero igual alguien que sepa dónde y cuándo naciste igual sí saca esa contraseña.
  • Por supuesto, tampoco uses tu nombre usuario o nombre real como contraseña.
  • Usa símbolos, números, y mayúsculas.
  • No uses contraseñas comunes, como “1234”, “contraseña” o “asdfg”.
  • Usa contraseñas diferentes para cada servicio. El consejo más importante, diría yo.
  • Cambia cada cierto tiempo las contraseñas.

A estas alturas estos consejos son conocidos por todos, y seguro que cualquiera puede aporrear el teclado y sacar una contraseña imposible de adivinar, como jhg7896/%asd7asdgFA&1.

La cuestión es que no nos sirve de nada tener una contraseña segura si no nos acordamos de ella. Buscando sobre este tema, de hecho, me encontré con una frase que debería quedársenos grabada:

La seguridad a costa de la usabilidad, es a expensas de la seguridad

Traducción: para que una contraseña sea de verdad segura, tiene que ser fácil de recordar. Para ello hay dos opciones. La primera es tener un algoritmo para crear tus contraseñas, de tal forma que sólo tengas que recordar una serie de pasos y no cuarenta contraseñas. Uno de ejemplo:

  1. Cogemos una frase fácil de recordar: yo juego al baloncesto con el número 15.
  2. Nos quedamos con la letra inicial de cada palabra: yjabcen15. Con esto ya tenemos una base.
  3. Para que la contraseña sea distinta para cada sitio, añadimos un guión y el nombre del servicio en mayúsculas: yjabcen15-XATAKA.
  4. Y ya para acabar, añadimos después el número de vocales que tenga el servicio, pero sustituyéndolo por un símbolo. En este caso shift + 3 es “·”, así que la contraseña final es yjabcen15-XATAKA·.

Al final acabamos con una contraseña de 17 caracteres, suficientemente segura tanto para ordenadores como para humanos. Lo único malo es que nos exponemos a que alguien adivine nuestro algoritmo, así que siempre podemos añadir algo de “salsa secreta”: por ejemplo, en lugar de usar el número de vocales del servicio, le sumamos un número secreto que sólo sepamos nosotros y nos quedamos con el último dígito del resultado. La cuestión es usar un método que nos resulte fácil de recordar y que no sea demasiado sencillo para que alguien lo adivine.

passwords-1.jpg

Tampoco hace falta romperse mucho la cabeza con las contraseñas. Los tipos de ataques a los que vamos a estar expuestos como usuario común son dos: ataques de fuerza bruta al hash de nuestra contraseña (cuando un atacante entra en una web y obtiene la lista de contraseñas hasheadas de los usuarios) y ataques personales de alguien que quiera entrar específicamente en nuestra cuenta. Para lo primero basta con no tener una contraseña común: a partir de un mínimo de seguridad los atacantes no van a invertir tanto tiempo para encontrar unas pocas contraseñas más.

Y para lo segundo, suele bastar con que la contraseña no tenga datos personales ni sea simple de adivinar para alguien que nos conozca, así que en cuanto nos compliquemos un poco nos quitamos este posible escenario.

En resumen, aunque es obvio que cuanta más seguridad mejor, en cuanto sigamos unos mínimos consejos de seguridad (contraseñas largas y no repetidas en diferentes servicios) tendremos la confianza de que no estaremos al alacance de los ataques más comunes.

Gestores de contraseñas

Otra posibilidad es dejar a los gestores de contraseñas que nos hagan el trabajo: ellos generan contraseñas aleatorias y las recuerdan por nosotros. Simplemente tenemos que limitarnos a saber la contraseña maestra que da acceso a nuestras cuentas. En Genbeta hicimos en su momento varias comparativas de servicios del estilo.

Además de generar las contraseñas, estos gestores se integran en nuestro navegador para rellenar los formularios de login de los sitios web, de tal forma que con sólo pulsar un botón se copie el usuario y contraseña. También son capaces de rellenar automáticamente perfiles cuando nos registramos, o de guardar las contraseñas cuando entramos en un sitio que no teníamos guardado. En muchos casos también podremos guardar otro tipo de credenciales, aunque no estén ligadas a páginas web.

Las contraseñas se almacenan cifradas usando nuestra contraseña (y en algún caso datos adicionales), de tal forma que nadie más que nosotros puede leerlas. Así, podemos crear contraseñas muy seguras sin que haga falta que nos acordemos de ellas: ya lo hace el gestor por nosotros.

Ahora mismo, yo daría tres opciones: Lastpass, 1Password y KeePass.

keepass.png

KeePass es una utilidad de código abierto que mantiene nuestras contraseñas cifradas en una base de datos. La ventaja es que absolutamente todo está bajo nuestro control. La desventaja es que tenemos que preocuparnos nosotros de instalar además los plugins para los navegadores y de encontrar una forma de sincronizar las contraseñas entre dispositivos. Entre aplicaciones oficiales y no oficiales, está disponible para prácticamente cualquier sistema.

1password.png

1Password tiene la misma idea de KeePass, pero es más fácil de usar, de integrar y además está preparado para sincronizar a través de Dropbox. Tiene aplicaciones para Windows, Mac, iOS y Android.

El último es mi favorito y el que yo recomendaría: Lastpass. La principal desventaja es que tus contraseñas se almacenan en la nube, aunque Lastpass promete que están cifradas con una clave derivada de tu contraseña maestra y correo, y que aunque un hacker entrase en sus servidores no podría ver ninguna contraseña. A cambio, LastPass puede ofrecer más controles de seguridad: permitir logins sólo desde ciertos países, impedir que entren desde Tor, activar autenticación en dos pasos o incluso cerrar sesiones en ciertos ordenadores.

¿Por qué recomendaría Lastpass? Aparte de porque ya me he acostumbrado, creo que si vamos a sincronizar nuestras contraseñas entre dispositivos es mejor hacerlo con un servicio dedicado a ello que guardar nuestra base de datos en otras nubes o que ande rondando por ahí con un USB. De todas formas, en la práctica, cualquiera de los tres servicios es igual de seguro si los usamos bien.

¿Podemos confiar en un gestor de contraseñas?

En cuanto a los posibles problemas de seguridad, es cierto que es un único punto de fallo: un acceso ahí y tienen todas nuestras contraseñas. Pero por otra parte, ¿qué es más fácil? ¿Asegurar una cuenta o asegurar cincuenta? Podemos aumentar las medidas de seguridad en un único punto y darle más seguridad a todas nuestras contraseñas. Además, estos productos, como decía antes, están dedicados a mantener tus contraseñas seguras y probablemente vayan a hacer un mejor trabajo de lo que harías tú sólo.

Un gestor de contraseñas nos puede dar más seguridad que la que podríamos lograr la mayoría de nosotros por nuestra cuenta.

Realmente es muy difícil que alguien acceda a los datos de tu gestor de contraseñas si tienes una buena contraseña maestra. Los datos se guardan cifrados y, en el caso de 1Password y Lastpass se transmiten por HTTPS. Incluso aunque hubiese alguien leyendo todo lo que mandas por Internet, no podría ver ninguna contraseña. Tampoco tendría éxito un atacante que entre a los servidores de Lastpass o que acceda a tu base de datos en Dropbox (o cualquier otro servicio de sincronización): sólo vería un montón de datos inútiles, imposibles de descifrar.

Y además, siempre podemos combinar los gestores de contraseñas con otros métodos. Por ejemplo, dejando por ejemplo las cuentas importantes (correo, bancos) con contraseñas seguras que no se guarden en el gestor, y dando a esas cuentas una capa más de protección con autenticación en dos pasos.

A modo de conclusión, en estas cosas hay que usar el sentido común, minimizar riesgos sin olvidarnos de la comodidad (no sirve de nada tener un método superseguro para gestionar contraseñas si no lo usamos), y procurar no depender de una única herramienta o método – mucho mejor usar un gestor y tu memoria que sólo un gestor: ¿qué pasa si éste deja de funcionar?.

Fuente:

https://www.xataka.com/

febrero 16th 2018

Manual de Carding

Número de lecturas: 2982
{lang: 'es-419'}

Hace varios años (2006) , escribi un manual del tema. El post esta publicado aqui:

https://www.underground.org.mx/index.php/topic,16080.msg91210.html#msg91210

Varias personas me han preguntado por el manual aqui lo dejo como .pdf …. Se debe actualizar y mejorar pero es un documento que puede servir de referencia.

Manual de Carding

1.- Introducción
2.- Carding
3.- Estructura de las Tarjetas de Crédito
4.- Tengo el numero que hago?
5.- Quiero tener más Números de tarjetas rápidamente
6.- Trashing
7.- El Verdadero Peligro
8.- Herramientas

Disclamer: NO asumo ninguna responsabilidad debida al mal empleo de la información aquí contenida, puesto que este texto solamente tiene fines educativos y en ningún caso pretende incitar a nadie a cometer ningún delito ya sea informático o de otra índole.

Buenas con todos los que puedan leer este documento.

1.- Introducción

En este manual voy a indicar que es el carding? Algunos términos del mismo como utilizarlo y sacar provecho :)

Comencemos……………….

2.- Carding

Este es un concepto que indica lo más claramente posible que es y de que se trata el carding

Carding: Es el uso ilegitimo de las tarjetas de crédito, o de sus números, pertenecientes a otras personas. Se relaciona con el hacking, porque para conseguir números de tarjetas de créditos, una de las formas es utilizando Ingenieria Social y sobre todo nuestra inteligencia (esto es lo mas importante)

Se debe tener mucho cuidado en hacer esto ya que nos podemos meter en muchos líos.
Con nuestras tarjetas de crédito debemos ser cuidadosos ya que alguien puede leer este documento antes que uno de ustedes y ser capaz de estafarlos.

Se puede recuperar el dinero talvez pero para eso tendrían que hablar con el administrador del sitio donde se realizo el pago del artículo solicitando la IP de donde se hizo la compra y luego de todo esto tenemos que demostrar que nosotros no hicimos la compra del mismo.

El carding consiste en comprar usando la cuenta bancaria o la tarjeta crédito de otro, esto se consigue con un poco de ingenieria social y mucha perseverancia.

Cuando alguna persona utiliza carding para comprar objetos materiales se suele utilizar una dirección falsa con una identificación también falsa, es decir todo el formulario de compra lo llena con datos falsos.
De esta manera el comprador quedara esperando en el lugar indicado la entrega del material como si se tratara de su residencia.

La filosofía de los carders se basa en que existe mucha gente que tiene grandes cantidades de dinero que no cae nada mal utilizar algo de ese dinero para comprar algunas cositas para cada uno de ellos, ya que posiblemente el dueño de la tarjeta ni se de cuenta de esta compra que el no la hizo.

Si ustedes están pensando en comprar por Internet programas o suscripciones y piensan que utilizando el carding será muy fácil pues tienen toda la razón resulta muy sencillo.
En este manual se conseguirá revisar los métodos que utilizan los carders para hacerse de los números de tarjetas y burlar las seguridades para poder comprar sin ningún tipo de problemas.

Tienen que saber que el robo de una tarjeta de crédito es un delito universal por lo que puede tener causas penales muy graves si no quieres irte de paseo a Cana..da (para otros países Cárcel) no intenten hacer nada de esto.

3.- Estructura de las Tarjetas de Crédito

Para mi esta es la parte más importante ya que aquí sabremos como funcionan las tarjetas de crédito porque se puede hacer programas para que nos den números validos pero lo importante es saber como es que se hace todo eso

Comencemos…..

Los números de las tarjetas se forman de 16 dígitos divididos en 4 grupos de 4 dígitos pueden tener valores del 0 al 9 los primeros 4 dígitos sirven para determinar  el banco.

El resto de números se pone al azar no mentira vamos a ver el algoritmo

Hagamos un ejemplo de la creación de un número de tarjeta

Numero de tarjeta: 5180 2345 3942 8765

Las posiciones impares son:

5
8
2
4
3
4
8
6

Luego de esto se multiplica los 2 primeros dígitos entre si luego los siguientes y asi sucesivamente para que sea mas claro quedaría de la siguiente forma:

5*8=40
2*4=8
3*4=12
8*6=48

Si tenemos cifras mayores a 9 se suma los números es decir las cifras reducidas 8+5=13 entonces
1+3=4

En el ejemplo quedaría asi:

5*8=40     4+0=4
2*4=8       8
3*4=12     1+2=3
8*6=48     4+8=12     1+2=3

En resumen los números que nos quedan son:

4
8
3
3

Luego de esto suma los números pares que descartamos al principio y súmalos con estos el resultado debe ser un número múltiplo de 10 para que el número sea correcto:

4+8+3+3+1+0+3+5+9+2+7+5=50

Si no nos diera un numero correcto como va a suceder en la mayoría de los casos lo recomendable es dejar el ultimo casillero libre y jugar con este digito hasta que nos de un numero valido.

Esta es una de las formas de conseguir un numero de tarjeta de crédito es decir adivinando a ver si nos sale otra puede ser esperar pacientemente el fin de mes el momento que llega el corte de pago de la tarjeta del vecino nos robamos su correspondencia y listo ahí tenemos un numerito.

O buscamos dentro de su basura (esto creo que es mas feo) pero igual funciona ya que no suelen romper los cortes de tarjeta de crédito simplemente los botan arrugados a la basura pero igual obtenemos el numero deseado.

Otra de las formas es creando un portal de Internet donde ponemos artículos a la venta se explicara esto mas adelante

4.- Tengo el numero que hago?

El momento de realizar una compra en línea nos solicitan una serie de datos pero los mas importantes es decir los que nunca faltan son estos:

Nombre.
Numero de Cuenta.
Fecha de Expiración.
Tipo de tarjeta.
Numero de verificación

Estos datos son muy fáciles de conseguir (a veces)

El nombre es el de la victima sencillo de conseguir, el número de su tarjeta es un poco más complicado pero hay formas revisando su correspondencia por ejemplo

La fecha de expiración la podremos conseguir haciéndonos pasar por el banco con los datos que ya conocemos podremos decirle que vamos ampliar su cupo por sus pagos puntuales o cualquier cosa esto ya queda a su imaginación lo que si nos queda claro es que conseguir estos datos resulta sumamente sencillo.

Tipo de Tarjeta ya lo sabemos ya revisamos su correspondencia revisar paso uno ;)
Para reconocer el tipo de tarjeta se puede utilizar, el primer digito de la tarjeta que nos indica el tipo de la misma.

Si el primer numero es….

3  ->American Express (15 dígitos)
4  ->VISA (13 o 16 dígitos)
5  ->Mastercard (16 dígitos)
6  ->Discover (16 dígitos)

Con estos datos ya se puede comprar algo en línea generalmente los carders realizan una compra de algún software pequeño que sea de descarga o una subscripción para ver pornografía esto lo hacen para probar si la tarjeta funciona o no .

Si el momento de la compra nos solicitaran mas datos ya saben que hacer es mas creo que al momento de revisar su correo no tendrán estos datos tendrán muchos mas.

5.- Quiero tener más Números de tarjetas rápidamente

Como aquí se a explicado bastante me canse y ahora hagan un repaso de lo que aprendieron hasta aquí y piensen en una posible victima hasta mientras me voy hacer un juguito y regreso para seguirles explicando unas cositas bastante interesantes.

Bueno después de estos 15 minutos de tranquilidad volvamos en lo que estábamos..

Para obtener tarjetas podría entrar en juego la famosa Ingenieria Social que tal si llamamos a nuestra victima y decimos algo como lo siguiente:

“Buenas tardes, soy Camilo Albornoz de la sección fraudes de Master Card , hemos detectado un posible uso fraudulento de su tarjeta, por lo que necesitamos que nos indique todos los datos de la misma, para realizar una comprobación”

Este tipo de llamada es bueno realizarla en horas de trabajo ya que la persona se encuentra preocupada con la cabeza enfocada solo en su trabajo por lo que puede resultar un buen momento para que nuestra victima caiga en esta trampa.

Si nos llamaran de un banco diciéndonos algo parecido a lo que escribí anteriormente lo que tienen que hacer es pedir que les repita su nombre completo solicitarle el numero y devolver la llamada de esta manera se evitaran este tipo de estafa.

Todos los que lean pilas que ya están avisados de cómo funciona este método

Aunque parezca mentira existe gran cantidad de gente que cae en este juego y dan todos los datos que les solicitan sin ningún tipo de inconveniente.

Para verificar si la tarjeta es útil se puede hacer una llamada a la entidad bancaria de donde pertenece la tarjeta nos hacemos pasar como dueños de la tarjeta indicando que quisimos hacer una compra y nuestra tarjeta fue rechazada para verificar si hablan con el dueño de la tarjeta pedirán verificar unos datos harán preguntas sencillas como cual es el numero de tarjeta, numero de verificación esto ya no es problema para nosotros ya que tenemos toda la información que conseguimos antes al hacernos pasar como empleados de la entidad que emite la tarjeta

La información que conseguimos aquí es fundamental ya que podremos saber si la tarjeta es principal o es un adicional si es de uso nacional o mundial cuanto es el cupo que tiene la misma , etc.

Las compras que suelen hacer los carders son mediante Internet o telefónicamente no de montos muy altos para que no se pida confirmación al dueño de la tarjeta y para no levantar sospechas

El carder es muy cuidadoso no puede andar gritando al mundo sus hazañas porque el es un ladrón el esta robando , si hace un pedido de un articulo no puede pedir otro y otro articulo a la misma dirección tiene que ir rotando de lugares .

Generalmente si el encargo esta en la oficina de correos el ira cuando no haya nadie si estuviera mucha gente preferirá no arriesgarse y ni siquiera acercarse mas al lugar ya que podría resultar peligroso para el

Un carder nunca pide algo gigante no se comprara un carro para que le traigan por DHL ni nada extremadamente caro (un collar de oro de 18 kilates) tampoco algo muy baratito pero estaría bien que se compre una palm ultimo modelo ese es un buen carder.

El problema que se podría presentar es que el carder cada vez quiere comprar algo mas y no para se vuelve mas adicto por el riesgo y por que se esta comprando buenas cositas pero no se da cuenta que talvez lo tiene fichado y próximamente le haga una visita la policía

Los lugares de entrega de tus pedidos:

NOTA.- NUNCA HAGAS QUE TE ENTREGUEN EN TU CASA

Pero si lo puedes hacer al azar escogiendo alguna persona de la guía telefónica claro que no este tan lejos de tu casa eso si necesitas hablar muy bien para explicar a alguien porque le llego algo tuyo en su casa debes ser bueno para tratar con la gente y no ponerte nervioso.
La casa de un amigo próximo a cambiarse de casa que te ayude con este favor antes de irse difícil esta forma pero puede ocurrir.

Pedir que lo envíen a una dirección de un condominio generalmente lo dejan al guardia ya que asumen que el conoce a toda la gente del condominio y por seguridad a la persona que deja la correspondencia no la dejaran pasar porque son “Ordenes de la Administradora” y quien será la única persona que ira a pedir el paquete??   Exacto el carder.

Bueno estas son una de las tantas formas en las que pueden recibir sus compras seguramente a ustedes se les ocurrirá muchas mas .

6.- Trashing

Me parece un tema interesante y  que no se lo ve regularmente aquí les explico de que se trata aunque entre las ideas que indique antes ya lo mencione.

Se trata de buscar y remover la basura de la victima que estas buscando es decir intentar encontrar estados de cuenta, cortes de pago, recibos, etc.

Por eso un sano consejo cuando boten algo importante rompanlo y botenlo si es posible haciendolo tiritas talvez piensen este tipo esta medio loco pero yo supe de alguien que quemaba sus papeles una vez por semana quien es el loco el o yo??

7.- El verdadero Peligro

Ahora con toda la tecnología a nuestro alcance se pueden hacer muchas cosas , esto es lo que utilizan los carders necesitan saber programar y dos invitados muy importantes.

PHP + MySQL

PHP.- Lenguaje de programación web
MySQL.- Base de Datos trabaja excelente con PHP

Que es lo que hacen??

Se esmeran un par de horas programando un sitio de venta de artículos pueden ser de cualquier tipo deportivos, tecnológicos, etc.

Con precios sumamente accesibles y con productos de excelente calidad la victima se emociona con esta verdadera gamga cuando va a adquirir un producto viene el método de pago el cual es con tarjeta de crédito.

La victima ingresa su tarjeta , nombres , numero de verificación todos los datos necesarios luego de esto el carder ya posee todo lo que necesita queda simplemente enviar un e-mail o hacer una llamada disculpándose y notificando que la transacción no se realizo por no tener el articulo en stock o simplemente el momento que supuestamente hace la compra se le muestra un mensaje de error que diga algo similar a esto:
“NO SE PUDO CONCLUIR LA TRANSACCION”
La victima pensara que no paso nada pero nuestra base de datos ya se engordo un poco mas y con datos totalmente reales y listos para usar.

8.- Herramientas

Existen programas que nos ayudan a generar números de tarjetas validos esto ahora tiempo a los carders

Si desean los pueden descargar de:

www.hackecuador.org/bajatelas/carding.zip

Estas herramientas son:

Fakeid

Te da otros datos de personas verificables, interesante para quienes no tienen habilidad de inventarse personalidades.

Para aquellos programas que no te brindan la fecha de expiración solo queda hacerlo manualmente, probando al mejor estilo brute forcing.

CCards

En caso de que quieran ver unos números de tarjeta de crédito validos como ejemplo, vean el programa CCards.exe que les genera de una manera sencilla y rápida estos números

Credit Card Master 4

Este completo programa permite realizar una amplia cantidad de acciones destinadas al carding, genera numeros te ayuda viendo si el digito verificador es correcto y si no es asi no te preocupes ahi mismo te genera otro lo importante es que todos los datos estén correctos

Credit

Es un programa muy potente parecido al Credit Card Master aunque tiene interfaz grafica y tiene algunas otras utilidades como por ejemplo generar identidades falsas que como estuvimos viendo pueden ser de gran utilidad.

Bueno espero que toda la explicación del manual este clara y que les sirva para conocer el carding más a fondo.
Nunca olviden que esto es totalmente ilegal y que si no quieren meterse en líos no lo pongan en práctica suerte a todos.

Download (PDF, 56KB)

diciembre 19th 2017

Libro sobre Auditoria Informática y Seguridad para no profesionales del sector

Número de lecturas: 1996
{lang: 'es-419'}

Interesante libro de Seguridad Informática donde se le da otro enfoque y aclara varios conceptos.

Aca el indice del mismo:

Contenido

Capítulo 1 ………………………………………………………………………………………………… 4
¿Por qué y Para qué debo certificar mi empresa? …………………………………….. 4
Capítulo 2 ………………………………………………………………………………………………… 8
Por dónde empezar y como ……………………………………………………………………. 8
Capítulo 3 ………………………………………………………………………………………………. 19
Identificando activos y su clasificación. ISO 55001 …………………………………. 19
Capítulo 4 ………………………………………………………………………………………………. 32
La Gestión del Riesgo y la Continuidad del Negocio. ISO 22301 …………….. 32
Características del análisis de impacto ……………………………………………………………………. 41
Consideraciones durante el desarrollo del BIA …………………………………………………………. 42
Ventajas de la realización de un análisis de impacto …………………………………………………. 42
Capitulo 5 Auditorias: ………………………………………………………………………………. 52
No es tan fiero el Lobo como lo pintan. ………………………………………………….. 52
Vulnerabilidades y Ataques Informáticos ……………………………………………………………. 56
Auditoria de Redes Lógicas ……………………………………………………………………………………. 59
Auditoria Red Física ………………………………………………………………………………………………. 61
Auditorias de Sistemas Operativos Servidor / Cliente. ………………………………………………. 69
Capítulo 6 ………………………………………………………………………………………………. 72
Las Bases de Datos y su Auditoria: Motor SGDBR y Desarrollo. …………….. 72
Donde descansa la mayoría de la información de nuestra empresa. …………………………… 72
Auditoria de Base de Datos y Desarrollo ………………………………………………………………….. 72
Capítulo 7 ………………………………………………………………………………………………. 94
Las conclusiones y la traducción a un término universal: el Coste. …………… 94
Capítulo 8 …………………………………………………………………………………………….. 104
La Nomenclatura y Estructura de las Normas ……………………………………….. 104
Normas ISO – ISO / IEC – ISO – UNE. ……………………………………………………………………… 104
Capítulo 9 …………………………………………………………………………………………….. 106
Políticas Organización y Seguridad de la Información. ………………………….. 106
Dominio 5 & 6…………………………………………………………………………………………………….. 106
Capítulo 10 …………………………………………………………………………………………… 107
Recursos Humanos. …………………………………………………………………………… 107
Dominio 7 ………………………………………………………………………………………………………….. 107
Capítulo 11 …………………………………………………………………………………………… 108
Manual de Auditoria para no Auditores
Gestión de Activos. ISO 55001 ……………………………………………………………. 108
Dominio 8 ………………………………………………………………………………………………………….. 108
Capítulo12 ……………………………………………………………………………………………. 109
Control de Accesos Físicos y Lógicos ………………………………………………….. 109
Dominio 9 ………………………………………………………………………………………………………….. 109
Capítulo 13 y 14 ……………………………………………………………………………………. 110
Cifrado y Seguridad Física y Ambiental. ………………………………………………. 110
Dominios 10 -11 – ISO 14001 ………………………………………………………………………………… 110
Capítulo 15 …………………………………………………………………………………………… 112
Seguridad Operativa. ISO 20000 …………………………………………………………. 112
Dominio 12 ………………………………………………………………………………………………………… 112
Capítulo 16 …………………………………………………………………………………………… 118
Seguridad en las Telecomunicaciones. ISO 27010 …………………………………… 118
Dominio 13 ………………………………………………………………………………………………………… 118
Capítulo 17 …………………………………………………………………………………………… 122
Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. …. 122
Dominio 14 ………………………………………………………………………………………………………… 122
Capítulo 18 …………………………………………………………………………………………… 127
Relaciones con suministradores. ISO 20000 ……………………………………….. 127
Dominio 15 ………………………………………………………………………………………………………… 127
Capítulo 19 …………………………………………………………………………………………… 129
Gestión de Incidentes de Seguridad. ISO 20000 ………………………………….. 129
Dominio 16 ………………………………………………………………………………………………………… 129
Capítulo 20 …………………………………………………………………………………………… 131
Continuidad del Negocio ISO 22301 / 22320. …………………………………………… 131
Dominio 17 ………………………………………………………………………………………………………… 131
Capítulo 20 …………………………………………………………………………………………… 138
Cumplimiento Legal. ISO 19600 ………………………………………………………….. 138
Dominio 18 ………………………………………………………………………………………………………… 138
Capítulo 21 …………………………………………………………………………………………… 142
ISO 27007 …………………………………………………………………………………………. 142
¿Cómo se auditan los controles por parte del Auditor?……………………………… 142
Capítulo 22 …………………………………………………………………………………………… 173
La Ingeniería Social, la zona muerta del Derecho actual. ………………………….. 173
Capítulo 23. ………………………………………………………………………………………….. 196
Manual de Auditoria para no Auditores
Las metodologías OWASP / OSSTMM soporte para la verificación de la
normativa. …………………………………………………………………………………………….. 196
Capítulo 24 …………………………………………………………………………………………… 217
OSSTM versión 3 : 2010 ………………………………………………………………………… 217
Mapa de la Seguridad según OSSMT ……………………………………………………… 220
Capítulo 25. ………………………………………………………………………………………….. 403
Manos a la obra, la parte práctica. ……………………………………………………….. 403
Capítulo 26. ………………………………………………………………………………………….. 419
Como realizar una investigación técnica de calidad. ……………………………… 419

Lo pueden descargar AQUI

 

 

noviembre 10th 2017

3 servicios de VPN para proteger tu privacidad en redes Wi-Fi

Número de lecturas: 1116
{lang: 'es-419'}

A la hora de proteger tu privacidad, especialmente navegando en redes inseguras, hay una herramienta que hoy en día se torna indispensable: un túnel VPN o Virtual Private Network.

Esta aplicación cifra la información del usuario que viaja entre el dispositivo y un servidor de confianza, logrando que este tráfico no pueda ser interceptado por ningún curioso conectado a la misma red.

El uso de esta herramienta aparece siempre entre nuestros consejos más populares, y su uso es cada vez mas necesario, especialmente tras la vulnerabilidad descubierta recientemente en el protocolo WPA2.

Pero a menudo recibimos consultas sobre qué servicio conviene elegir y cuáles son las ventajas y desventajas. Por eso, a continuación vamos a presentarte algunas opciones de servicios de VPN que puedes utilizar en todos tus dispositivos, especialmente en tu móvil, el cual es más propenso a conectarse a redes Wi-Fi públicas o desprotegidas.

Recuerda que ningún software es infalible ni mucho menos perfecto, pero seleccionamos estas opciones para que sepas por dónde empezar.

#1 Proton VPN

Este proyecto nace luego de que un grupo de entusiastas de la Organización Europea para la Investigación Nuclear (CERN) desarrolle Proton Mail, el primer servicio gratuito de correo electrónico cifrado.

Este servicio no solo funciona muy bien, sino que tiene el respaldo de organizaciones confiables como el CERN y el Massachusetts Institute of Technology. Además, su casa matriz se encuentra en Suiza, donde las leyes de protección de datos personales son mucho más estrictas que en otros países.

Esto hace que su política de privacidad sea clara: Proton VPN no guarda registros de navegación de sus usuarios ni de sus sesiones, exceptuando la sesión activa. Sin embargo, su versión gratuita solo permite navegar a través de servidores salientes en Estados Unidos, lo cual deja al usuario a merced de las leyes de privacidad de este país.

Proton VPN utiliza el protocolo Open VPN para sus conexiones y cifra la información del usuario con AES-256, y el intercambio de llaves se realiza con RCA-2048, lo cual hace que sea una conexión segura.

La desventaja es que, si bien tiene un cliente para Windows, no cuenta con opciones para otras plataformas. Sin embargo, es posible descargar los archivos de configuración y utilizar otro cliente VPN, como el Open VPN Connect que ellos mismos recomiendan para Android.

#2 Hotspot Shield

La compañía AnchorFree Inc. lanzó sus servicios de VPN en el año 2008, y ya lleva varios años en el mercado. Actualmente posee diferentes opciones para sus usuarios, entre las que incluye una versión básica y gratuita de su cliente VPN y diferentes planes de suscripción para sus versiones denominadas “Elite”.

Además, cuenta con clientes para todo tipo de plataformas: Windows, Mac, iOS, Android e incluso una extensión exclusiva para utilizar en el navegador Chrome.

Dentro de sus principales características, en la versión gratuita se destaca que no requiere autenticación ni login. Es decir que no le pide al usuario ninguna información personal para comenzar a utilizar el servicio.

También ofrece la posibilidad configurar la aplicación para que se conecte automáticamente, ya sea al iniciar otra aplicación o al detectar una red potencialmente insegura.

Hotspot Shield utiliza TLS 1.2 para establecer la sesión entre el usuario y sus servidores y generar la clave de cifrado. Luego, cifra la información del usuario utilizando el algoritmo AES con una llave de 128 bits.

Posee más de 20 opciones de servidores para su versión paga, pero en la versión gratuita permite navegar únicamente a través de los servidores en Estados Unidos, los cuales, en general, funcionan con buena velocidad y sin inconvenientes.

Si bien la versión gratuita no tiene limitaciones en cuanto a la cantidad de datos transmitidos, tiene la gran desventaja de mostrar publicidades. Cada 5 o 6 minutos se muestra una publicidad de pantalla completa, lo cual puede resultar tedioso, especialmente si utilizamos la conexión por varias horas.

#3 TunnelBear VPN

Esta aplicación lanzada por la compañía TunnelBear Inc. tiene un diseño bastante peculiar. Es muy amigable y fácil de utilizar, ya que basta con elegir el servidor de salida para que nuestro “oso” cave un túnel cifrado hasta este destino.

Además, es una de las pocas que ofrece salida a través de servidores en México y Brasil, lo cual mejora notablemente la velocidad de navegación para usuarios de Latinoamérica.

El servicio es multiplataforma y cuenta con versiones para Windows, Mac, Android, iOS e incluso una extensión para el navegador. La aplicación para Android tiene algunas configuraciones interesantes, como la opción de GhostBear, que agrega una capa extra de cifrado para hacer aún más difícil su detección.

La empresa remarca su política de privacidad, donde aseguran que no guardan los datos de navegación de sus usuarios. Sin embargo, la aplicación solicita registrar un correo para comenzar a utilizarla.

Una gran ventaja es que la versión gratuita de TunnelBear no muestra publicidades molestas al usuario, pero, en contramedida, solo permite 500 MB de tráfico por mes. En caso de necesitar ampliar esta cuota, el usuario tiene la posibilidad de duplicar la cantidad de datos compartiendo la aplicación en redes sociales y con amigos.

A la hora de elegir un servicio VPN existen múltiples alternativas, por lo tanto, antes de decidir, recuerda que el principal objetivo de estas aplicaciones es proteger tu información y tu privacidad.

Aquí planteamos algunas opciones de aplicaciones gratuitas, pero sabemos que nada es realmente gratis en este ambiente, por lo que te recomendamos prestar especial atención a la información que compartes y tomar los recaudos necesarios. Si tienes la posibilidad de invertir algo de dinero y elegir las versiones completas, hazlo, porque tu privacidad lo vale.

Por último, no olvides leer cuidadosamente los términos y condiciones del servicio que elijas utilizar, especialmente su política de privacidad. Después de todo, estarás depositando tu confianza y tu información en sus manos.

Fuente:

welivesecurity.com