Según podemos leer en INTECO-CERT, Oracle ha puesto a disposición de los usuarios actualizaciones de seguridad (catalogadas como “críticas”) en Java 7 que solventa 50 bugs y Java 6 para sistemas Mac OS X. Los parches de seguridad están disponibles para versiones de Mac OS X 10.6.8 o posteriores a v10.6.

Debido a que Java se encuentra fuera del ciclo de actualizaciones de Apple, se puede actualizar desde este enlace de Oracle (o desactivarlo tal y como explican desde la OSI).

Otro interesante estudio de la mano de INTECO que nos aporta datos muy reveladores sobre la percepción de la privacidad por parte del usuario cuando navega por Internet.

Sobre una base de muestreo de 2.056 usuarios, podemos comprobar lo que muchos ya sabíamos. En la actualidad la privacidad es un bien preciado y escaso. Bien sea por cuestiones relativas al usuario y su conocimiento sobre el medio, o por culpa de servicios web que distan mucho de ser todo lo claros y respetuosos con los datos de quienes los utilizan. Esa combinación y otros factores, hacen que el resultado final no sea el deseable. Nos queda aún un largo camino por recorrer.

Algunas conclusiones del estudio:

• El 42,5% de los usuarios de redes sociales ha encontrado difícil gestionar la privacidad de su perfil. Incluso un 7,2% reconoce que ha sido imposible hacerlo.
• Un 16,3% desconoce completamente qué hace la red social con la información de su perfil una vez es eliminado, y un importante 32,7% manifiesta que simplemente le suena.
• Cuatro de cada diez internautas (39,7%) declaran haber solicitado en alguna ocasión que borren o cancelen sus datos personales de algún registro en Internet.
• El 84,4% de los usuarios de Internet reconoce que cada persona debe ser capaz de decidir sobre sus datos personales y tiene derecho a poder eliminar su rastro de Internet. Solo el 6,7% piensa que ejercer este llamado derecho al olvido es una forma de censurar información, y cree que el derecho a la información prima sobre el derecho a la protección de datos.

Os recomendamos descargar el estudio completo (PDF).

A través de una información publicada por INTECO-CERT, (catalogada como “crítica”) nos hacemos eco de una vulnerabilidad denominada “0Day” al ser un fallo explotado no conocido y la ausencia de un parche aún por parte del fabricante (Microsoft).

Hablamos de un un fallo en el navegador Internet Explorer, versiones 7, 8 y 9 que está siendo explotado ya  por atacantes con sólo visitar una página debidamente manipulada para tal fin, redirigiendo al usuario hacia sitios maliciosos.

Debido al impacto en el sistema de dicha vulnerabilidad, se recomienda temporalmente hasta que se proporcione una solución, el uso de un navegador alternativo. En “SpamLoco”, han hecho una buena recopilación de información sobre el bug, incluyendo una demo realizada en el popular “framework” Metasploit.

Actualización: Información sobre el bug por Microsoft (ENG).

Nueva colaboración de nuestro Dabo para el Instituto Nacional de Tecnologías de la Comunicación. En esta entrada se da un repaso a malas costumbres que podemos tener cuando viajamos por ahí como puede ser conectarnos a Wi-Fis abiertas de forma insegura, trabajar con ordenadores prestados, etc …

Un recordatorio que nunca viene mal para insistir en la importancia de tener contraseñas fuertes, utilizar conexiones seguras con alguna capa de cifrado o navegar en modo seguro para no dejar ningún tipo de dato en el navegador que estemos usando que nos puedan robar.

También se dan consejos para los que tienen su negocio online como tener a alguien de confianza con acceso total por si fuese necesario en caso de emergencia, tener cuidado con donde la metemos (la tarjeta de memoria, pendrive, etc..) o mantener nuestro buen ritmo de backups periódicos para minimizar los riesgos.

Lee el artículo completo aquí.

Y ya que estamos un recordatorio extra para todo el mundo, pros, expertor, semiexpertos, gente que empieza y gente que no sabe si empezar o no empezar … Seguridad Básica en Daboweb.

Primera entrada como colaborador en Inteco de nuestro compañero Dabo.

Con el tema ¿Qué sucedió y qué está por venir en seguridad y privacidad?, Reflexión final de Dabo, se cierra una serie de XII capítulos o entrevistas junto a otros colaboradores del blog de Inteco, con lo que ha acontecido en seguridad de la información y privacidad durante este último año (#resumen2011) y lo que está por venir en 2012 (#prospectiva2012).

Citando a Dabo:

Posiblemente, este año 2012 si fuese el responsable de una PYME, me preocuparía más de la formación a mi equipo humano, la gestión integral de la seguridad y preparación frente a incidentes informáticos, que del tiempo consumido en mi empresa navegando por la Red Social de turno.

La inversión en seguridad debería ser considerada como un activo en medio de tanto “ROI“. Sí, no vende tanto como el Marketing, eso lo sabemos todos, pero te causará menos pérdidas a todos los niveles que “una mala campaña”.

# XII Entrevista Dabo.

Leer los artículos anteriores:

• XI Entrevista Antonio Ramos.

• X Entrevista Javier Cao Avellaneda.

• IX Entrevista Antonio Sanz.

• VIII Entrevista Manuel Díaz Sampedro.

• VII Entrevista Jorge Campanillas Ciaurriz.

• VI Entrevista Miguel Ángel Hernández Ruíz.

• V Entrevista Sergio de los Santos.

• IV Entrevista Joseba Enjuto.

• III Entrevista Javier Villacañas.

• II Entrevista Samuel Parra Sáez.

• I Entrevista Mariano del Río.

Se están reportando por la red desde diferentes medios, la posibilidad de que algunos Routers ADSL (sobre todo de Telefónica) podrían estar afectados por una vulnerabilidad que revela en texto plano la contraseña de administración del dispositivo, con las consecuencias que este hecho podría tener.

De hecho, ya se sabe de routers que están siendo usados como “pasarela” para realizar todo tipo de ataques hacia otros sistemas, siendo en ese caso sin saberlo, parte de una “botnet” o red troyanizada y controlada por terceros.

El problema viene dado por la opción de administración remota vía web (WAN) del Router. Tal y como informan desde INTECO, el método para saber si efectivamente tu Router es vulnerable, es navegando a cualquier servicio que te muestre la IP pública de tu sistema (por ejemplo desde What is my IP) y una vez hecho, hay que teclear en el navegador web: http://tu-ip-pública/password.cgi

Caso de que se vea tu contraseña, obviamente el Router es vulnerable y hasta que no haya alguna alguna actualización de firmware por parte del fabricante u otra solución, hay que desactivar en el dispositivo esa opción.

* Nota del redactor; En el momento de escribir estas líneas, mi Router, un Comtrend MULTI-DSL CPE de Jazztel no es vulnerable.

¿Quien no ha recibido correos invitando a acceder a determinadas webs, correos sobre personas con problemas económicos, problemas en supuestas compras online realizadas, etc., donde, en la mayoría de los casos, te acaban solicitando tus datos personales y bancarios?.

Estas situaciones y muchas más, son utilizadas a diario en la red por los atacantes para conseguir sus objetivos de fraude.

También y como no, con la instalación en el equipo de rogueware o falsos programas de seguridad que tras un supuesto análisis del equipo te informan de infecciones en el mismo y te proponen un desembolso económico para eliminarlo.

Hoy transcribimos y recomendamos, un interesante estudio que puedes descargar en formato PDF, publicado en INTECO sobre las técnicas que utilizan los atacantes para intentar defraudar a través de la Red.

Los atacantes utilizan diferentes técnicas basadas en ingeniería social para intentar consumar una estafa. Así, los envíos de correos electrónicos para que el receptor visite una página web sospechosa es sin duda una de las técnicas más usadas por los spammers para consumar un timo, ofrecer publicidad fraudulenta a la víctima, o directamente infectar el equipo del usuario.

También, aunque en menor medida, el teléfono móvil es utilizado como medio para el envío de sms o llamadas telefónicas con la búsqueda de causar víctimas de fraude.

Resultados del “Estudio sobre el fraude a través de Internet (2º trimestre de 2010, abarca los meses de abril a junio de 2010)”:

• Un 36,2% de los usuarios recibe peticiones de visitar alguna página web sospechosa.

• Un 29,7% que recibe emails ofertando un servicio no solicitado.

• Un 23,2% asegura haber recibido una oferta de trabajo falsa.

• Un 20,3% ha sido víctima de intento de phishing (recepción de un correo electrónico solicitando claves de usuario).

# Descargar el informe completo en castellano.

En caso de haber sido víctima de un fraude, debe poner inmediatamente la denuncia correspondiente en la comisaria del  Cuerpo Nacional de Policía o la Guardia Civil.

Como recordatorio y añadido al tema, también puedes descargarte en formato PDF  12 guías de ayuda para configurar la privacidad en redes sociales,  que ya vimos en una entrada anterior.