¿Qué pasa con mis activos en la red cuando muera?

El otro día estaba leyendo un artículo interesante en Xataka en el que explican brevemente los procedimientos que se deben seguir para que cuando una persona fallezca además de algunos consejos que seguir para facilitar a los más allegados la posibilidad de que se te elimine tu rastro de internet si perecieras en algún momento. Os dejo un link directo aquí al artículo de Javier Pastor para vuestro interés.

Y ya que en clase estuvimos hablando sobre la encriptación y la seguridad en los datos también me pareció interesante la existencia de servicios que permiten varias formas de guardar de forma segura tus datos, alguno ya conocido como las bases de datos de contraseñas pero también otros que intentan preservar tus datos de forma legal como una "testamento on-line". Lo que hablo está el final del artículo, por su alguno tiene interés en verlas. Trataré de indagar o poner a prueba alguno de estos servicios cuando disponga de más tiempo.

[Video] Easter Eggs

Información sobre los Easter Eggs (Wikipedia)

Noticia que se ha dado eco hoy.

Tras una investigación de varios meses y la ayuda de agencias internacionales, como el FBI, se han detenido a cuatro personas. Entr ellas están el anterior jefe del canal Intereconomía y tres crackers que atacaron la web de PRNoticias ejecutando un ataque de denegación de servicio. A continuación remito links a distintos medios para que se pueda evaluar su trato:

El País
ABC
El Confidencial
Voz Populi
El Mundo
La Voz de Galicia
PRNoticias

Estudio de la credibilidad de un hoax.

Hace unos minutos llegó a mi el siguiente bulo (hoax) por un grupo de WhatsApp:

COMUNICADO
de la Guardia Civil de Tráfico
Cuidado si aparcas en el parking del Carrefour, Ikea, etc;
(donde se lo han hecho en una semana a mucha gente)
¡¡OJO!!

Ténlo en cuenta: Robo de coches con un nuevo procedimiento. Lée esto y envíalo a quien creas conveniente.
Imagina que vas a retirar tu coche, que lo has dejado estacionado; abres la puerta, entras, pones el seguro a las puertas, enciendes el motor y pones la marcha atrás. ¿No lo haces siempre así? Miras a la ventana de atrás por el espejo retrovisor y observas una hoja de papel grande pegada a la luna posterior. Entonces pones la palanca en punto muerto, abres tu puerta y bajas del coche para retirar el papel (o lo que sea) que te obstruye la visión. De pronto, cuando llegas a la parte posterior, aparece el ladrón como si saliera desde la nada, se mete en tu coche y se larga con él, en cuestión de segundos, ya que se lo encuentra en marcha, y tu maletín, bolso o cartera estaba dentro- y prácticamente te arrolla en su huida. El seguro no quiere saber nada.
ESTA ES UNA NUEVA MODALIDAD , SI VES UN PAPEL POR EL
RETROVISOR, ¡NO TE BAJES DEL COCHE!
Lárgate , puedes retirar el papel de la luneta más adelante, y agradecerás haber recibido este correo....y envíalo a tus amigos.....
Esto no es una cadena......es un servicio ciudadano amistoso.
David Báscones Oset
Servicios Telemáticos de Vehículos
DIRECCIÓN GRAL. DE TRÁFICO
C/ Josefa Valcarcel nº 44, Madrid

Parece todo muy bueno salvo por dos detalles importantes:

- No hay comunicados de las fuerzas y cuerpos de seguridad vía WhatsApp.
- No existen los Servicios Telemáticos de Vehiculos.

Tras seguir la cadena para probar la credibilidad del mensaje tan sólo un grupo, el que tiene a compañeros de clase de ASIR, se ha dado de cuenta de la falsedad del mensaje y los seis restantes no. Esto quiere decir que un gran porcentaje, el 85% de las personas, se ha creído esto o simplemente lo ha ignorado.

NO OS DEJÉIS ENGAÑAR.

PS: Aún así no dejéis de tener cuidado en engaños como el que se menciona en el mensaje, nunca se sabe si alguna vez ocurrió de verdad.

Auditorías (Repaso)

Las auditorías de seguridad de sistemas de información permiten conocer en el momento de su realización cual es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. Los objetivos de una auditoría de seguridad de los sistemas de información son:

- Revisar la seguridad de los entornos y sistemas.

- Verificar el cumplimiento de la normativa y legislación vigentes.

- Elaborar un informa independiente.

Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existe estándares orientados a servir como base para auditorías de informática. Uno de ellos es el COBIT (Objetivos de Control de las Tecnologías de la Información), y adicional a este podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.

La auditorías pueden ser de distinta índole:

- Auditoría de seguridad interna: se contrasta el nivel de seguridad de las redes locales y corporativas de carácter interno.

- Auditoría de seguridad perimetral: se estudia el perímetro de la red local o corporativa, conectado a redes públicas.

- Test de intrusión: se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada.

- Análisis forense: análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema se denomina análisis post mórtem.

- Auditoría de código de aplicaciones: análisis del código independientemente del lenguaje empleado.

Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información.

Glosario de Términos (Repaso)

Malware: Programas malintencionados (virus, espías, gusanos, troyanos, ect...) que afectan los sistemas con pretensiones como: controlarlo o realizar acciones remotas, dejarlo inutilizable, reenvío de spam, ect...

Spam: Correo o mensaje basura, no solicitados, no deseados o de remitente desconocido, habitualmente de tipo pubicitario, enviados en grandes cantidades que perjudican de alguna o varias maneras al receptor. Suele ser una de las técnicas de ingeniería social basada en la confianza depositada en el remitante, empleadas para la difusión de scam, phishing, hoax, malware, ect...

Scam: Estafa electrónica por medio del engaño como donaciones, transferencias, compra de productos fraudulentos, ect. Las cadenas de mail engañosas puedes ser scam si hay pérdida monetaria y hoax (bulo) cuando sólo hay engaño.

Ingeniería social: Obtener información confidencial como credenciales (usuario-contraseña), a través de la manipulación y la confianza de usuarios legítimos. El uso de dichas credenciales o información confidencial servirá para la obtención de beneficios económicos media robo de cuentas bancarias, reventa de información o chantaje.

Sniffing: Rastrear monotorizando el tráfico de una red para hacerse con información confidencial.

Spoofing: Suplantación de identidad o falsificación, por ejemplo encontramos IP, MAC, tabla ARP, web o mail Spoofing.

Pharming: Redirigir un nombre de dominio a otra máquina distinta falsificada y fraudulenta.

Phising: Estafa basada en la suplantación de identidad y la ingeniería social para adquirir acceso a cuentas bancarias o comercio electrónico ilícito.

Password cracking: Descifrar contraseñas de sistemas y comunicaciones. Los métodos más comunes son mediante sniffing, observando directamente la introducción de credenciales, ataques de fuerza bruta, probando todas las combinaciones posibles, y de diccionario, con un conjunto de palabras comúnmente empleadas en contraseñas.

Botnet: Conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática, en multitud de host, normalmente infectados, permite controlar todos los ordenadores/servidores infectados de forma remota. Sus fines normalmente son rastrear información confidencial o incluso cometer actos delectivos. También se las conoce como redes zombi.

Denegación de servicio: Causar que un servicio o recurso sea inaccesible a los usuarios legítimos. Una ampliación del ataque es el llamado ataque distribuido de denegación de servicio, a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz.

Cookies: Pequeños ficheros que los navegadores almacenan en el ordenador con datos del usuario sobre las páginas web que visita.

Hoax: Son cadenas formadas por envíos y reenvíos de correctos electrónicos que generalmente difunden noticias falsas o rumores con el objetivo de obtener direcciones de correo para generar correo basura.

Rogueware: Falsos programas de seguridad, son falsos antivirus o antispyware.

Puertas traseras: Los programadores insertan “atajos” de acceso o administración, en ocasiones con poco nivel de seguridad.

Virus: Secuencia de código que se inserta en un fichero ejecutable (denominado huésped), de forma que cuando el archivo se ejecuta el virus también lo hace. Detrás de la palabra virus existe todo un conjunto de términos dentro de lo que se conoce como malware.

Gusano: Programa capaz de ejecutarse y propagarse por sí mismo a través de redes, normalmente mediante correo electrónico basura o spam.

Troyanos: Aplicaciones con instrucciones escondidas de forma que este parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.

Programas conejo: Programas que no hacen nada útil, simplemente se dedican a reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco...), produciendo una negación de servicio.

Canales cubiertos: Canales de comunicación que permiten a un proceso transferir información de forma que viole la política de seguridad del sistema; un proceso transmite información a otros que no están autorizados a leer dicha información.

Hacker: Experto en aspectos técnicos relacionados con la informática a los que les apasiona el conocimiento, descubrir o aprender cosas nuevas y entender el funcionamiento de estas. Suelen distinguirse de los llamados Crackers porque sus acciones únicamente tienen carácter constructivo, informativo o sólo intrusivo mientras que los últimos también tienen un carácter destructivo.

Alta Disponibilidad (Repaso)

La alta disponibilidad se refiere a la capacidad de que aplicaciones y datos se encuentren operativos para los usuarios autorizados en todo momento y sin interrupciones, debido principalmente a su carácter crítico. El objetivo de la misma es mantener nuestros sistemas funcionando la 24 horas del día, 7 días a la semana, 365 días al año, manteniéndolos a salvo de interrupciones, teniendo en cuenta que se diferencia dos tipos de estas:

- Las interrupciones previstas, que se realizan cuando paralizamos el sistema para realizar cambios o mejoras en nuestro hardware o software.

- Las interrupciones imprevistas, que suceden por acontecimientos imprevistos (como un apagón, un error del hardware o del software, problemas de seguridad, un desastre natural, virus, accidentes, caídas involuntarias del sistema).

Las métricas comúnmente utilizadas para medir la disponibilidad y fiabilidad de un sistema son el tiempo medio entre fallos o MTTF (Mean Time To Failure) que mide el tiempo medio hasta que un dispositivo falla, y el tiempo medio de recuperación o MTTR (Mean Time To Recover) que mide el tiempo medio tomado en restablecerse la situación normal una vez que se ha producido el fallo. El tiempo en el que un sistema está fuera de servicio se mide a menudo como el cociente MTTR/MTTF. Lo que se busca es aumentar siempre el segundo y reducir el primero para minimizar el tiempo de no disponibilidad del servicio.

Existen distintos niveles de disponibilidad del sistema, según el tiempo aproximado de tiempo en inactividad por año se determina el porcentaje de disponibilidad. Es aquí donde entra la llamada Regla de los 9, en la que cuantos más nueves tenga el porcentaje mayor disponibilidad habrá tenido durante ese año. El máximo son cinco nueves (99,999% - Cinco minutos al año).