Cuando Sony confirmó que...

0 comentarios
Cuando Sony confirmó que más de 77 millones de datos de sus clientes habían sido comprometidos por un cibercriminales o cuando RSA anunció que el código fuente de su tecnología de Tokens estaba en manos de delincuentes de la red, todas las compañías a nivel global tuvieron un mismo pensamiento: “no quisiera estar en sus zapatos”.

En 2012 los ataques que comprometieron a estas y muchas otras compañías no dejarán de existir. Al contrario, a medida que la tecnología permee más en el quehacer diario de la humanidad, el valor de esos bits y bytes será cada vez mayor.

Si bien no existe una receta única para proteger la información de su negocio, pues “en seguridad lo único seguro es que no hay nada 100% seguro”, hemos reunido diez consejos o recomendaciones de protección de datos para 2012.

Como siempre la siguiente guía no apunta a la promoción o venta de ningún producto en particular, sino que buscan actuar como marco de referencia para conocer y comenzar a analizar vectores de ataque que quizá hemos pasado por alto o aún no estamos contemplando.

Alejandro Loza, Gerente de Ingeniería, Symantec México

1. Sin duda, 2012 será un año importante en materia de seguridad informática, tal como lo ha sido 2011 y las amenazas a la seguridad informática seguirán avanzando y volviéndose más específicas y dirigidas. Por ello, las organizaciones deberán ir más allá y concebir la seguridad en un nivel superior, con un enfoque basado en la información más que en el dispositivo y donde se cuente con una plataforma tecnológica segura y soluciones de protección integrales que abarquen aspectos de un entorno móvil y conectado, sin límite de horario ni fronteras. En 2012 será indispensable el diseño de políticas de seguridad y contar con una solución de prevención de pérdida de datos para ofrecer otra capa de protección y evitar que la información confidencial y de propiedad privada se filtre hacia fuera de la empresa a través del correo electrónico, memorias flash o redes sociales.

2. En el tema de redes sociales, éstas seguirán siendo un blanco atractivo para los cibercriminales. Por ello, al igual que en todas las comunicaciones corporativas, es importante definir cómo utilizar las redes sociales y capacitar a los empleados respecto de los contenidos adecuados para publicar y aquellos que no lo son. También recomendamos que las empresas identifiquen y entiendan los requisitos legales o regulatorios, e implementen políticas para atender las regulaciones que exigen conservar contenido de las redes sociales.

3. Aunque el spam se encuentre en su tasa más baja de los últimos tres años, es importante que se instruya a los empleados sobre qué es el correo basura, mejores prácticas y esto se complemente con una solución que ayude a bloquear el correo no deseado. Los spammers no dejarán de aprovecharse de eventos de interés general, recordemos que el año que entra tendremos la justa global de los Juegos Olímpicos en Londres, las elecciones en México o, la posibilidad de alguna catástrofe natural. Todos estos sin duda serán tomados por para realizar envíos masivos de mail, los cuales en ocasiones pueden contener malware y poner en riesgo a la organización, además de afectar su productividad.

4. No hay que olvidar que no estamos exentos de sufrir los embates provocados por algún fenómeno natural, como las inundaciones que vimos este año en Tabasco o el terremoto en Japón. Como sabemos, y debido al cambio climático, cada vez los desastres naturales tienen más fuerza. Por este motivo, en 2012, la naturaleza seguirá poniendo a prueba la fortaleza tecnológica de las empresas en cuanto a seguridad de la información. El área de TI necesita contar con una estrategia completa y que comprenda situaciones inesperadas las 24 horas, los 365 días del año. En este sentido, las empresas deberán desarrollar un detallado plan de recuperación ante desastres para ser capaces de operar sin contratiempos y de manera automatizada. Es importante que las compañías se tomen el tiempo de investigar el mejor proceso para proteger a su empresa, por ello, la virtualización de siguiente generación es una buena alternativa de implementar un plan de recuperación.



Dmitry Bestuzhev, director para América Latina del Equipo Global de Investigación y Análisis de Kaspersky Lab

5. Ataques a las corporaciones, empresas petroleras e instituciones científicas para el robo de la información intelectual, comercial, gubernamental y confidencial. Los ataques dirigidos que hemos visto hasta el momento en su mayoría tienen como vector al correo electrónico: adjuntos con los exploits del día 0 acompañados de la ingeniería social. Lo que veremos en 2012 serán ataques de explotación de las vulnerabilidades a través de la navegación (drive by download) y la ingeniería social. ¿Cómo mitigarlos?

    Enseñar a todos los empleados a fondo lo que es la ingeniería social
    Utilizar los navegadores con el soporte de ASLR y los sandbox
    Utilizar los AV con heurísticas avanzadas, capaces de detectar las amenazas del día 0
    No divulgar la información sobre el sistema operativo, el cliente de correo, ni los navegadores que se usen en la empresa con nadie
    Manejar un sistema de control de aplicaciones que permita instalar o ejecutar solamente aquellas aplicaciones que sean permitidas Application control
    Manejar un sistema de la prevención de fuga de información – DLP

6. Ataques de los hackivistas. Habrá ataques pero serán diversificados, aplicando nuevas técnicas y alcances. ¿Qué hacer?

    Proteger los servidores Web, teniendo test continuos y permanentes, buscando proactivamente las vulnerabilidades en los motores de los lenguajes de programación
    Aislar las bases de datos de la producción de los servidores Web públicos
    Tener una buena seguridad anti-malware del lado del end-point para no ser víctima de robo de los credenciales “por detrás de la infraestructura”.

7. Ataques a las plataformas móviles – especialmente a la plataforma Android. ¿Qué hacer?

    Todo dispositivo móvil debe contar con la seguridad anti-malware, encriptación y anti-ladrón para poder realizar los rastreos de los dispositivos extraviados
    Aprender a preseleccionar las aplicaciones que se pueda y se deba instalar desde los mercados móviles, a saber por:
    El desarrollador de la aplicación y su reputación en el mercado
    Cantidad de descargas
    Tiempo que lleva el desarrollador en el mercado.

Javier Liendo, Consultor de Seguridad de Cisco México

8. El uso de firewalls e IPS son más necesarios que antes, pero ni por mucho son suficientes. Este 2012 que viene haz el propósito de proteger ARP (Address Resolution Protocol) y DHCP (Dynamic Host Configuration Protocol). Protege también Spanning-Tree Protocol directamente en el switch. Si estos protocolos no los proteges directamente en los switches de tu infraestructura, no lo puedes proteger de ninguna otra manera. Si hubiera una sola iniciativa de seguridad para el 2012 de la cual pudieras obtener el mayor provecho, sería la protección de protocolos de capa dos en tu infraestructura.

9. Si en este 2012 vas a mover tus servicios a una infraestructura virtualizada, no olvides asegurarla. Ten encuenta que algunos paradigmas tradicionales de seguridad no aplican en el mundo virtualizado. Asegúrate de no perder visibilidad del tráfico intra-máquina virtual. Protege los protocolos de capa dos del switch virtual. Segmenta y filtra el tráfico intra e inter-máquina virtual. Si esto haces durante el 2012 vas a obtener todas las ventajas de la virtualización además que lo harás de manera segura.

10. Predecir el futuro siempre es difícil. De lo que sí podemos estar seguros es que la sofisticación de los ataques este 2012 solamente puede ir en aumento. Este 2012 haz que tu infraestructura sea “La Plataforma de Seguridad”. Haz que tus ruteadores vía netflow te indiquen si tus controladores de dominio se están comunicando con direcciones IPs no administradas por ti o si los equipos de usuarios están en realidad utilizando los servidores de DNS administrados por tu organización. Que este nuevo año sea el año donde incorporas herramientas de análisis de comportamiento para la detección de anormalidades en tu red.


BSecure

¡Auditoría! ¿Cómo para qué?

0 comentarios
Por Otoniel Loaeza y Víctor Hernández. Síguelo en Twitter en @otoniel_loaeza
De acuerdo al Instituto de Auditores Internos (IAI), la auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a la organización a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.
Habrá empresas y ejecutivos que consideran a la auditoría como un gasto o perdida de tiempo, provocando una actitud en el empleado de rechazo. Sin embargo, son más las percepciones que ven como necesario la existencia de un equipo interdisciplinario independiente que ayude a cumplir con las actividades planteadas en la definición.
Propósitos y Alcance
Los propósitos y alcances de un trabajo de auditoría pueden ser variados. Los trabajos de auditoría abarcan todas las actividades financieras y de operaciones, incluyendo sistemas, producción, ingeniería, comercialización y recursos humanos. Algunos ejemplos comunes son:
  • Uno de los principios generales de toda empresa es el respeto por la ley. Si partimos de esta premisa, podemos vislumbrar que es necesario que un tercero independiente efectúe una evaluación objetiva del trabajo realizado para confirmar si se están cumpliendo con las metas establecidas, obligaciones regulatorias y legislaciones nacionales, internacionales o de carácter comercial.
  • Por otro lado, habrá empresas que cuya naturaleza requiera demostrar que cuenta con procesos predecibles y medibles, o lo que es lo mismo, procesos adecuadamente documentados (ISO 9001:2000). También y no menos importante, es mostrar que el sistema de gestión ambiental se apega a lo establecido por organismos internacionales (ISO 14001:2004).
  • En el ámbito corporativo, los trabajos de Auditoría (internos y externos), permiten dar a los accionistas y alta dirección una visión sobre el apego a las normas y procedimientos corporativos y del cumplimiento a las regulaciones locales e internacionales de alta relevancia, como es el caso de las evaluaciones de cumplimiento de la Ley Sarbanes Oxley[1], cuyo objetivo es el de proteger a los inversores mediante una mayor transparencia y control interno de las empresas, dificultando la existencia de malas practicas empresariales y profesionales que perjudiquen a los grupos de interés de las compañías. No hay que olvidar que este ley surgió a raíz del escándalo financiero provocado por la firma de venta de energía Enron a principios del siglo XXI.
Es importante recalcar que los trabajos de auditoría no sólo se quedan en evaluaciones sobre temas financieros, de procesos o de control interno, también pueden llegar a evaluar los aspectos tecnológicos y de seguridad de datos. Recordemos que la información de la compañía se procesa en sistemas informáticos y que los equipos de telecomunicaciones que soportan el negocio de la compañía, además de ofrecer servicios que excedan las expectativas de nuestros clientes internos y externos, deben ser considerados elementos que garantizan la confidencialidad, integridad y la disponibilidad de la información.
¿Cuchillo de palo?
Es cierto que en ocasiones los trabajos de auditoría (interna o externa) son programados de forma que parece que se traslapan entre sí o, incluso, pueden dar la impresión de que son tantos que hay que invertir mucho tiempo en atender sus requerimientos y cumplir con las labores diarias. Sin embargo se debería pensar en ellas como una oportunidad más para mostrar los avances y la calidad que existen en cada una de las tareas que realizas. O bien una oportunidad de conocer desde otro punto de vista las posibles áreas de mejora que agreguen valor y mejora en las operaciones, en determinado proceso o área de la organización.
Por ende, una actitud positiva en el desarrollo de la auditoría ayudará a cumplir con los tiempos, denota seguridad en tus actividades y transparencia en las operaciones. Actividades como el retrasar la entrega de información o falta de disposición no sólo afectan tu imagen como profesional, sino que afectas el trabajo y logros de tu equipo. Incluso puede ser que, de manera indirecta, impactes en el trabajo de muchos equipos dentro de tu organización, y en el peor de los casos impides identificar riesgos que pudieran materializarse, afectando los intereses de tu empresa.
Concluyendo y aunque suene a un simple cliché, cuando escuches o participes en una auditoría interna o externa piensa que tu trabajo y disposición ayuda en gran medida a sumar un granito de arena para lograr a que la empresa, para la que colaboras, sea reconocida por cumplir con sus compromisos de calidad y confiabilidad frente clientes, accionistas y empleados.
Otoniel Loaeza, CISA, CRISC
Gerente Auditoría TI en Telefónica México. Doce años de experiencia, realizando actividades de auditoría TI, consultoría en seguridad de la información y soluciones de infraestructura, atendiendo a clientes en diferentes organizaciones en los sectores de servicios, telecomunicaciones, financiero y de gobierno. Ha colaborado para empresas líderes en servicios de consultoría y telecomunicaciones.
Víctor Hernández, con Especialidad en Auditoría y miembro del IMAI y ACFE.
Gerente Corporativo de Auditoría Interna de Procesos, con dieciocho años de experiencia enfocados en la evaluación de procesos, proponiendo mejoras en la operación, ahorros, mejores prácticas y dando certidumbre a la información financiera y operativa que generan las diferentes áreas de la empresa en las que ha colaborado, principalmente en los Sectores Detallistas y de Telecomunicaciones; además atendiendo de manera especial las operaciones de Fraude o de análisis cautelar.

Anonymous podría atacar infraestructura crítica: Departamento de Seguridad Interna

0 comentarios
Según el Departamento de Seguridad Interna de Estados Unidos (DHS por sus siglas en inglés), el grupo de hackivistas Anonymous ha declarado que tiene planeado ciberatacar los sistemas de control industrial, que afectan organismos tales como plantas químicas, instalaciones de tratamiento de aguas residuales, gaseoductos y tuberías de petróleo, lo que sería crítico para la infraestructura norteamericana.

El comunicado emitido por DHS afirma que Anonymous actualmente tiene su capacidad limitada únicamente para atacar sistemas web basados en Windows usando técnicas estándar como los ataques de negación de servicio (DDoS), pero el grupo de hackers podría estar interesado en usar otro tipo de técnicas para atacar los sistemas de control industrial (ICS por sus siglas en inglés).

“Oportunidades educativas (conferencias, clases), presentaciones de hackers en conferencias, otro tipo de eventos de seguridad y los medios, han creado conciencia acerca de las vulnerabilidades de ICS y es probable que en poco tiempo se desarrollen, tácticas, técnicas y procedimientos para irrumpir en los ICS”, dice el comunicado.

Para tratar de evitar esto el DHS y el Laboratorio Nacional de Idaho inició la capacitación de personas para ejecutar de forma segura los sistemas de control industrial y poderse defender de ciberataques.

Para esto realizaron una prueba de un lado el equipo rojo (los hackers) utilizaron herramientas virtuales para irrumpir y crear caos en el mundo de los del equipo azul (los defensores). Al probar con la empresa de química ACME, los hackers demostraron que causar un derrame tóxico en la empresa era tan fácil como apuntar, pulsar y destruir.

Además, el reporte del DHS advierte que hackers expertos como los de los grupos podrían explotar privilegios elevados mediante el robo de credenciales de usuarios válidos del software de ICS. De hecho así es como precisamente el equipo rojo irrumpió en los sistemas de ACME, explotando la vulnerable confianza del CEO con un ataque de phising.

De acuerdo con un post de Anonymous hecho en Pastebin el 11 de julio, después de hackear Monsanto, existe interés por los hackivistas en irrumpir los sistemas de control industriales.

“¿Qué sigue? No estoy seguro … podría tener algo que ver con que el puerto 6666 abierto del IRC en el servidor nexo.”, escribió la gente de Anonymous.

Aunque el DHS afirma que  la defensa a este ciberataque no se limita al grupo hackivista Anonymous, señala: “Este ataque probablemente podría extenderse más allá de Anonymous, a la comunidad en general, dando lugar a acciones de mayor alcance en contra de las empresas de energía”, advierte DHS en el comunicado.

La seguridad de los sistemas de control industrial que se utilizan en las instalaciones de fabricación comercial y sistemas de infraestructura crítica en todo el mundo, fue puesto en el centro de atención durante el último año, después de que el gusano Stuxnet infectó a más de 100,000 equipos en Irán y en otros lugares

Duqu

0 comentarios
Piratas informáticos desarrollaron lo que Symantec califica como “el hijo de Stuxnet”, W32. Duqu, o simplemente Duqu como ya se le refiere en medios de comunicación, un código malicioso que roba información de las máquinas con el objetivo de organizar un ataque contra un tercero.

El programa ya infectó computadoras de empresas europeas relacionadas con la actividad industrial, alerta Symantec en un comunicado.

Dado que Duqu contiene partes idénticas a Stuxnet los investigadores de la firma de seguridad consideran que pudiera haber sido desarrollado por las mismas personas o en su defecto por alguien con acceso directo al código fuente.

Pero a pesar de las similitudes la firma de seguridad advierte que “el propósito de Duqu es otro: reunir datos de inteligencia y los activos de entidades, tales como firmas de manufactura y sistemas de control industrial. Esto con el fin de facilitar un ataque contra un tercero. Los atacantes están buscando información como documentos de diseño que podría ayudarles a montar un ataque contra un centro de control industrial”, dice el reporte.

Los ataques, hasta ahora detectados, que utilizaron Duqu instalaron un Infostealer que puede grabar las pulsaciones de teclado y obtener información del sistema.

A diferencia de su antecesor, una vez que Duqu infecta un sistema permanecerá activo durante 36 días, pasado ese tiempo se autodestruirá. Sin embargo, otra de las similitudes que guarda con Stuxnet es que Duqu se enmascara como un código legítimo a través de archivos con certificados digitales validados, los cuales Symantec afirma que pertenecen a una empresa con sede en Taiwán aunque se han negado a identificarla.

Se cree que los ataques de Duqu iniciaron a principios de 2010, 18 meses después de que el gusano Stuxnet realizara su primer ataque y cinco meses después de su descubrimiento.

Debido al tiempo que Duqu ha estado operando sin ser descubierto, Symantec se dice “sorprendido”, ya que se trata de un tema muy delicado y en tanto la investigación no avance, la firma sólo dará a conocer pistas de su actividad en Europa.

Por su parte, Stuxnet es un gusano que significó dos años de investigación y desarrollo, que data de 2006. El malware atacó alrededor de 60,000 hosts en Irán, así como varios miles más en Indonesia. Este gusano logró que una base nuclear perteneciente Irán fuera víctima de su ataque.

Y es que alrededor de este gusano, que marcó un parte aguas en cuanto a seguridad informática se refiere, provocó que investigadores que analizaban su funcionamiento crearan teorías sobre su origen.

Es importante recordar el el gobierno estadounidense se ha mantenido en el radar de los medios de comuicación y expertos en seguridad en las últmas semanas. Primero por el código malicioso que infecto los aviones drones de Fuerza Aérea y, recientemente, por el comunicado que liberó el departamento de Homeland Security donde advertía que el grupo de hackivistas Anonymous podría ejecutar ataques cibernéticos contra la infraestructura crítica del país.


Bsecure


Consejos de seguridad informática para niños.

0 comentarios
internet_adolescenteExisten unas pocas y simples reglas de seguridad que los padres deben tener en mente para proteger a los más pequeños durante la navegación. La educación y el diálogo son fundamentales para la prevención y es importante charlar con los chicos para guiarlos, es lo que nos comenta Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.
De acuerdo a los resultados de Online Security Brand Tracker, un proyecto global de investigación encargado por ESET y desarrollado por InSites Consulting entre Abril y Mayo de este año entre más de 1500 millones de usuarios en todo el mundo, más de la mitad (53.7%) considera que la principal amenaza es la exposición de los menores a material inapropiado en la web.
Las 10 reglas de oro para asegurar a sus hijos una experiencia sana y segura en Internet son:


    Asigne un usuario al niño: Es la única forma eficiente de controlar sus actividades en Internet. El usuario administrador de un sistema debe pertenecer siempre a un adulto.
    Utilice herramientas de control parental: Estas herramientas le permiten restringir el acceso a sitios de pornografía y contenido solo para adultos. Los filtros por lo gral son flexible por si el padre desea agregar páginas específicas con su clave y se pueden encontrar versiones gratuitas por la red o incorporada en las soluciones de seguridad.
    Monitoree el historial de navegación: Si el mismo es eliminado es un buen motivo para tener una charla.
    Controle la cámara web y asegúrese que la misma está desconectada mientras no se la deba utilizar.
    Revise las configuraciones de las redes sociales del niño: Un muro de Facebook compartido públicamente, sin limitaciones, puede ser un riesgo para la integridad del joven.
    Mantenga actualizado su antivirus y su herramienta de control parental.
Además, se debe instruir a los chicos para:
    No enviar información confidencial por Internet: Su información jamás será solicitada por correo electrónico o por chat. Los bancos no solicitan los datos de su cuenta y mucho menos su PIN. Es importante, a su vez, no ceder esta información a sus hijos.
    No divulgar su ubicación a cada momento: En el mundo social-net que vivimos actualmente donde todo se comenta y expone en las redes sociales, es importante instruir a sus hijos a no publicar las fechas exactas cuando estarán de viaje, que la casa va a quedar libre o los lugares exactos a donde van a estar al menos hasta una vez que regresen del mismo.
    Entender que no todo lo que se ve en Internet es verdad: Los hijos deben ser conscientes de que no toda la información que se distribuye en la web proviene de una fuente confiable. Hoy por hoy, en Internet, es muy fácil obtener un espacio para poder publicar opiniones. Por ende, se debe ser muy cuidadoso a la hora de recurrir a esos contenidos.
    Mantener una comunicación abierta: La comunicación que tenga con sus hijos juega un rol clave en su seguridad. Resulta mucho más productivo animarlos a comentar sus miedos e inquietudes que reprimirlos con sanciones. Que se mantenga un buen clima y un diálogo abierto, tanto en Internet como en la vida real, pueden llegar a ser la clave del éxito.
La educación cobra un papel fundamental en la prevención de los más sofisticados ataques informáticos:
“Con equipos informáticos cada vez más modernos y un lenguaje que evoluciona rápidamente, hoy los padres sufren la doble presión de tener que educarse para poder educar a sus hijos. Pero es fundamental enfrentar la tarea con calma y mantener el control de modo de generar un ambiente de colaboración familiar. La clave es ser paciente y saber escuchar”, concluye Sebastián Bortnik.

Documentos como herramienta de seguridad...

0 comentarios
Verba volant scripta manent, o dicho de otra forma “La palabra vuela, lo escrito permanece”. Con esta frase tan chula en latín, posiblemente nos ahorraremos muchos sustos y mucho dinero a la hora de administrar nuestra red, y máxime en entornos con varios administradores o con una rotación de personal importante.
Un número importande de los problemas que he detectado haciendo auditorías de sistemas, se derivan de la falta de documentación en cuanto a estos y sus aplicaciones se refiere. En otros casos, no se si más o menos peligrosos, la documentación está obsoleta y/o no se ajusta a la realidad.
No documentar un proceso, puede provocar incongruencias en la seguridad. El principal riesgo, es no tener la capacidad de conocer como están interactuando los diferentes elementos, lo que puede incrementar las situaciones en las que se dé por hecho que un antivirus está cubriendo el correo, que un sistema de DLP nos proteja de la fuga de datos a través de redes sociales o que el firewall sea el que impida determinadas conexiones.
parking_lot_security_failLa barrera impedirá el paso de los coches, pero solo en su radio de acción. No impide que pasen por otro sitio.

La falta de documentación actualizada en entornos informáticos, es un problema común hoy en día. A pesar de contar con sistemas documentales muy buenos e incluso Open Source, como KnowledgeTree, muchas empresas dependel del know how de sus administradores para el desarrollo de su actividad. La mayoría, no tiene en cuenta que en cuanto se jubile “Paco el del MainFrame” o se vaya a otro sitio “Julián el del antivirus”, deberán asumir un coste de formación y aprendizaje de sus repuestos. No ya en la formación en esos productos, sino en ver como está todo montado y en conocer las “ñapas” que puedan haber dejado sus antecesores.
Como mínimo, un documento debería constar de las siguientes secciones:
  • Fecha y versión: Datar y versionar un documento que está “vivo”, es muy importante.
  • Identificación: Identificación física y lógica del sistema.
  • Objetivos: Detalle de los objetivos a cumplir por dicho elemento. Es conveniente reflejar la configuración al detalle de una forma que luego podamos actualizarla con los últimos cambios.
  • Instalación: Detalle técnico de la instalación. Se pueden incluir aspectos relativos al entorno sobre el que se instala (por ejemplo, si se necesita algún tipo de preparación previa del servidor)
  • Tareas de mantenimiento: Detalle técnico de los procesos necesarios para mantener actualizado el sistema.
  • Licencia: Si es necesario, incluir información relativa a la licencia (numero de serie, caducidad, restricciones, etc)
  • Información de soporte: Procedimiento de contacto con proveedores, tipo de soporte, horario de atención, persona de contacto, etc.
  • Memoria de incidentes e intervenciones: Es muy util mantener una pequeña relación con los incidentes detectados en el servicio, así como un listado de las intervenciones hechas en el servidor.
  • Referencias en el cuerpo normativo: En el caso de que la instalación del servicio sea por requisitos legales o de normativas, es importante reseñar esto, así como hacer referencia a los documentos de políticas en los que se recoge la obligatoriedad de su existencia.
Por supuesto, lo más práctico es elaborar esta documentación con la ayuda de un gestor documental como los que hacía referencia anteriormente, aunque lo más común es utilizar este gestor como índice, haciendo referencia a los documentos y su contenido. De cualquiera de las maneras, mientras tengamos la capacidad y el propósito de mantener nuestra documentación actualizada y con la seguridad de que lo que recoja sea fiel reflejo de lo que tenemos, cualquier sistema es válido.

Así está Internet en este momento - 233grados.com

0 comentarios
Así está Internet en este momento - 233grados.com

Las 5 prácticas de seguridad IT más ignoradas

0 comentarios
No hay nada sencillo en materia de seguridad IT en el sector empresarial, pero abundan las mejores prácticas que pueden lograr que la mayoría de las compañías salgan airosas de las amenazas más probables y generalizadas. Por desgracia, de acuerdo con un nuevo estudio de la firma de investigación Echelon One y de Venafi, compañía de soluciones para la gestión empresarial de certificados y claves de inscripción (EKCM), más de la mitad de todos los departamentos IT fallan en algunas de las prácticas de seguridad más importantes. He aquí los 5 asuntos prioritarios en los que hay que poner atención
1. Cambiar anualmente las claves SSH
La estadística más sorprendente de la encuesta es la que arroja que 82% de las áreas IT empresariales no cambia las claves SSH cada 12 meses. Como el promedio de rotación del personal es de unos dos años, si no se alteran las claves SSH al menos una vez al año se deja infraestructura crítica de redes abierta a acceso malicioso de parte de ex empleados.
2. Entrenar a usuarios en las mejores prácticas
El elemento más vulnerable en cualquier red es casi siempre el humanware. Se pueden parchar los servidores y reforzar el firewall hasta el final de los tiempos, pero de poco servirá si los usuarios dan clic a cualquier mensaje de phishing que aparezca en el e-mail. Pese a esto, de acuerdo con el estudio de Echelon One, 77% de las organizaciones no ofrece entrenamiento regular a sus usuarios finales. Venafi recomienda que los departamentos IT organicen cursos de entrenamiento trimestrales para todos los usuarios, enseñándoles a evitar las amenazas comunes a la seguridad mediante las mejores prácticas ya establecidas.
“La investigación sobre seguridad de Venafi/Echelon One corrobora todo lo que hemos visto y contra lo que hemos prevenido –dice Stu Sjouwerman, CEO de la firma de entrenamiento en seguridad, KnowBe4, que ha llevado a cabo una investigación similar sobre la vulnerabilidad de los empleados ante los ataques de phishing–. Las compañías no invierten en entrenamiento de seguridad por internet y, a resultas de ello, exponen sus redes a potenciales cíberataques.”
3. Encriptar los datos de la Nube
Suena a una recomendación obvia, pero 64% de los encuestados no encripta todos los datos que se envían a la Nube, ni las transacciones que se realizan en ésta. La razón, de acuerdo con el estudio, es que muchas aplicaciones de Cloud Computing no encriptan por default. Sin lugar a dudas, los profesionales IT deben esmerarse en checar y manejar las opciones generales de los servicios de Nube pública a los que se envían los datos.
4. Emplear claves de encripción con la fuerza apropiada
Si bien el estudio de Echelon One encontró que la mayoría de los negocios imponen con bastante éxito políticas de encripción, también mostró que la mayoría no usan claves de encripción de fuerza apropiada. De acuerdo con un informe de febrero de 2011 del Natitonal Institute of Standards and Technology, las claves de encripción de 1024 bits han reducido su efectividad, y las de 2048 bits deberían usarse para todas las claves simétricas. Solo 44% de los departamentos IT usa claves con la fuerza recomendada, de acuerdo con el estudio de Echelon One y Venafi.
5. Tener un plan para sustituir los certificados irrumpidos
Casi todos los negocios usan certificados digitales para autenticar un enjambre de servicios de redes, muchos de los cuales son críticos para el flujo de ingresos. Los certificados digitales son vulnerables al fraude y deben ser sustituidos cuando han sido penetrados.
Sorprendentemente, Echelon One ha dicho que la mayoría de los departamentos IT (55%) no tienen procesos administrativos para garantizar la continuidad del negocio sustituyendo con rapidez un certificado comprometido y sus acompañantes claves de encripción.


informationweek

¿ Éxito o Fracaso del sistema operativo de Google "CHROME OS" ?

0 comentarios
Hace YA varios meses del lanzamiento del sistema operativo de la gran G "GOOGLE", me refiero  Chrome OS.

El anuncio de un sistema operativo causo gran espectatiba al menos entre los aficionados a la tecnología y al software libre puesto que estaría basado en linux. Un sistema operativo cuyo objetivo principal es trabajar desde la "nube" y con núcleo "linux" auspiciado por GOOGLE prometía bastante.

Pasaron los meses y los primeros animados en portar como sistema nativo Chrome OS fueron Samsung y Acer pero sin un gran éxito hasta ahora...

Cuatro razones por las que Google Apps dice superar a Office 365

0 comentarios
Con la llegada de Office 365, la tan esperada suite de productividad de Microsoft, Google está haciendo todo lo que puede para aguarle la fiesta a su rival.

El gerente de Productos de Google Apps, Shan Sinha, indicaba a finales de enero que hay “365 razones para optar por las Google Apps”. Quitándoles toda la hipérbole se pueden reducir a cuatro las razones que Sinha, en realidad, menciona.

Para algunos negocios, esas cuatro razones bastarán; para otros, incluso 365 razones fracasarán en cambiar las mentes. Microsoft Office tiene mucho para hacerse valer, según indica el análisis de InformationWeek. No deberá de apurarse mucho para conseguir clientes.

El analista de Gartner, Matthew Cain, en un informe publicado a comienzos de junio, observa que la demanda de Office 365 es enorme: “Es probable que la versión multi-inquilino de Office 365 tendrá varios millones de usuarios en su plataforma de aquí a 12 meses, cuando se combine con actualizaciones de BPOS para Office 365”, escribió.

Cuatro razones no dicen toda la historia ni se aplican a todo el mundo, pero proporcionan suficiente estructura para encuadrar el debate.

1. La colaboración

Primero, está la colaboración. Sinha alega que Office 365 está diseñado para individuos, mientras que Google Apps está diseñado para equipos. “No se requiere comprar licencias adicionales para trabajar con otros o suponer que gente ajena a la compañía de uno se haya actualizado al mismo software –escribía Sinha en un blog empresarial de Google–. Basta tener una cuenta de Google para que se pueda colaborar.”

La colaboración es, en realidad, una de las áreas donde Google, en este momento, parece tener ventaja. Como el propio Doug Henschen, de InformationWeek, planteaba: “[La colaboración en línea] es una ventaja clave de Google Groups y de la edición de Google Docs, con la que Microsoft no se empareja todavía”.

2. Movilidad

“Office 365 está optimizado para PC y otros dispositivos basados en PC, lo cual reduce la flexibilidad del usuario –sostiene Sinha–. Nuestras aplicaciones están diseñadas para funcionar bien con cualquier dispositivo o con cualquier sistema operativo”.

Ésta es otra área donde coincide el laboratorio de InformationWeek, la revista hermana de InformationWeek México: Microsoft, con Office 365 y Windows Phone, no ha logrado igualar la facilidad de acceso de Google Apps en dispositivos con Android e iOS.

3. El costo

Google Apps cuesta $5 dólares por usuario al mes, o $50 al año, mientras que Microsoft Office 365 comienza con $6 dólares mensuales por usuario. Si bien es difícil aquí comparar manzanas con manzanas, el consenso general parece ser que Google Apps seguirá siendo la opción más asequible por ahora.

4. La estabilidad y el soporte

Sinha señala que Gmail ha tenido una disponibilidad, solo en este año, de 99.99%. Esto es menos de cinco minutos de tiempos muertos al mes. Microsoft planea un tiempo activo de 99.9%, pero está exentando de este cálculo los tiempos muertos planificados, a menudo necesarios para dar mantenimiento a los servidores de Exchange.

La propia literatura de Microsoft indicaba que podrían ser de dos a tres horas al mes. El predecesor de Office 365, BPOS, ha tenido más apagones que cuanto habrían querido los clientes.

Sinha también observa que Google es transparente en cuanto a los tiempos muertos. Microsoft no lo es tanto: no da a conocer públicamente el tiempo activo de Office 365, por ejemplo. Los clientes de BPOS se han quejado de esto, según anotaba Cain en su informe.

“Nuestra investigación indica que el historial del rastreo del soporte de Microsoft, en el caso de BPOS, es de una de cal y otra de arena –escribía–. Las quejas de los clientes van desde inconformidad por la inexperiencia en soporte del personal de Microsoft, a falta de diligencia en determinar las causas radicales de los problemas. Microsoft requiere mejorar su infraestructura de soporte para Office 365 para salir airoso en el largo plazo.”

Microsoft quizá tenga que hacer más que eso. Google, habiendo llegado primero a la Nube, ha cambiado el juego, al menos en el mercado de las PyME.

Shea Bennett, CEO de Migration King, consultoría IT radicada en el estado de Maryland (en Estados Unidos), dice que a sus clientes –PyME, bufetes de abogados, consultorios médicos, entidades gubernamentales y escuelas– no les gusta la complejidad y no tienen el dinero o la voluntad de pagar por el personal de soporte certificado por Microsoft.

Su compañía solía especializarse en el trabajo de integración de Microsoft, pero tuvo que buscar una certificación de Google, debido a la demanda de los clientes. “Éramos una operación 100% de Microsoft, pero nos pasamos al campo de Google –dijo en entrevista telefónica–. En realidad, hemos perdido seis o siete clientes porque funcionábamos con Microsoft.”

Migration King realiza su labor de integración en la zona metropolitana Washington, D.C., y Bennet dijo que las entidades gubernamentales de servicio, en particular, se han mostrado impacientes por la manera a la antigüita de hacer esto, con software y servidores de oficina. Estas entidades se preguntan por qué tienen que pagar por “esta compleja solución de Exchange”, que requiere una semana o más para su instalación, cuando pueden tener Google Apps funcionando y disponible en dispositivos móviles en días.

Irónicamente, la popularidad del iPad y del iPhone de Apple, para no mencionar otros dispositivos móviles, parecen ayudar a Google a apartar de Microsoft los negocios pequeños.

Bennett describió una reciente cotización que presentó a un puñado de propietarios de una franquicia de Chick-fil-A, del área del Distrito de Columbia (Washington), cada uno de los cuales tenía un iPad y un iPhone. El grupo, señaló Bennett, no quedó impresionado con lo que Microsoft ofrecía. “Cada uno de estos individuos es rico –añadió– y cada uno de ellos dijo que no iban a trabajar sin el iPhone… De la única cosa de que querían hablar era de flexibilidad.”

Entre las Pymes, Bennett dijo que hay un auténtico desinterés por infraestructura de oficina y complicados planes de precios. “Soy un MCSE (ingeniero certificado en sistemas de Microsoft) –finalizó–. Hemos tenido que cambiar de carril y obtener certificados de Google para sobrevivir.”

Information Week

Apple es atacada

0 comentarios
Desde el pasado mes de junio que el grupo ciberactivista Anonymous ha decidido ejecutar una campaña de ataques protesta contra todo tipo de organizaciones que lleven a cabo prácticas contrarias a sus principios.

En este sentido 27 nombres de usuarios y contraseñas, provenientes de una base de datos de uno de los servidores de Apple, han sido publicados en un mensaje en la red de microblogging Twiiter.

El grupo hacktivista responsable de la acción que asegura haber roto la seguridad de Apple parece tomar este ataque como un toque de atención al objeto de avisar de la vulnerabilidad de sus sistemas de seguridad.

El sitio Java.com propiedad de Oracle y la web de McAfee recibieron una amenaza de ataque en circunstancias parecidas a las de Apple. No obstante ambas compañías reaccionaron a tiempo solucionando sus respectivas brechas de seguridad.

Por el momento la campaña AntiSec parece estar dirigida con mayor fuerza contra la compañía Sony, la operadora ATT y ciertos organismos gubernamentales de EE UU.

Apmod

0 comentarios
Entre los hackers parece estar de moda perjudicar los servidores web, dado que colocan scripts que rápida y automáticamente añaden links a páginas HTML estáticas vía un iFrame (también llamado marco incorporado) o un código que trata de explotar las PC de los visitantes en línea mediante descargas tramposas (sin que lo advierta en interesado).

Ahora, un ataque descubierto recientemente, llamado Apmod, va un paso más adelante de esta técnica de ataque, ya que no solo infecta las páginas web estáticas. “El ataque estuvo fuera de lo normal pues el blanco de la infección fue el servidor web mismo –escribió en un blog Cathal Mullaney, ingeniero de Respuestas de Seguridad de Symantec–. Cuando un servidor web queda infectado, como en este caso, cada usuario que solicita cualquier página web a ese servidor vulnerado es una posible víctima. No es igual cuando las páginas web son las infectadas con código malicioso, pues éstas solo ponen en riesgo de infección al usuario que las visite.”

Este nuevo ataque (que se había visto de vez en cuando pero que no parecía haberse extendido) ahora ataca al popular Apache Web Server, que corre sobre Windows y Linux. De acuerdo con Netcraft, el Apache Web Server ahora se usa para hospedar unos 204 millones de sitios web.

El ataque es una innovación en el sentido de que usa las capacidades de filtro incorporadas de Apache. Un filtro, según lo define Apache, “es un proceso que se aplica a los datos que son enviados o recibidos por el servidor” y puede usarse para añadir funcionalidad sin reescribir el código base. Muchos sitios web usan esa capacidad para añadir anuncios ‘al vuelo’ en las páginas web, al tiempo que rastrean la entrega de ese anuncio (con el fin de generar ingresos vía agencias de publicidad).

“Hemos descubierto un módulo malicioso que realiza pasos idénticos para incluir links a sitios web maliciosos –dijo Mullaney–. Todas las acciones desempeñadas por éste se realizan usando código legítimo proporcionado por la API de Apache, específicamente para este tipo de generación de contenido ‘al vuelo’. No es una explotación o un hackeo del código base de Apache, sino que el módulo usa la funcionalidad inherente de Apache para infectar a los usuarios y trata de redirigirlos hacia la página web maliciosa.”

Cosa interesante, el módulo no trata de infectar cada página web que ofrece. Más aún, incluye un número de capacidades anti-detección, como vigilar si se dan señales de acceso del administrador o de procesos iniciados por éste, y evita entregar malware a los motores de búsqueda.

Además, cuando sirve una página web infectada con links a sitios web maliciosos, el módulo entonces pone en una lista negra la dirección IP del usuario para evitar entregar múltiples páginas web infectadas, lo que podría hacer que sus actividades se detectaran más fácilmente. Entonces solicita a un servidor de comandos y controles que provea un nuevo iFrame, lo que impide aún más la detección.

Por todo lo anterior, como bien advirtió Mullaney, “constituye una amenaza compleja y potencialmente difícil de detectar”. El experto de Symantec explicó: “Como el módulo inicuo contiene cierto número de técnicas de evasión es posible que un administrador del sistema tarde en percatarse de la infección. Una ulterior dificultad para detectar la amenaza es el carácter ‘al vuelo’ de la infección. Como en el disco no hay páginas infectadas, no es posible detectar nada en las páginas HTML almacenadas.”

No obstante, hay una buena noticia, y es que para instalar dicho módulo el atacante requeriría un acceso a nivel administrador. “Sólo si un atacante ha recabado el nivel de control requerido para instalar este módulo en un servidor web, es muy probable que los problemas se vuelvan mucho más preocupantes”, dijo.

Cabe advertir que pudieran presentarse, en el corto plazo, técnicas de ataque generalizadas. Si bien ya existían, es probable que comiencen a usarse con mayor frecuencia contra sitios web (como inyecciones a nivel SQL, que según sospechan los expertos es como los atacantes recientemente infectaron más de 100 millones de cuentas de usuarios en Sony).

InformationWeek

Mayoría de sitios web municipales carecen de seguridad

0 comentarios
La seguridad es uno de los componentes que 90% de los sitios web municipales en México no se han preocupado en mejorar debido a que no ofrecen servicio de pagos en línea, asegura una evaluación hecha por la Universidad Autónoma del Estado de México. Este año la muestra se amplío a 508 municipios, incluyendo las 16 delegaciones políticas.

El portal de Hermosillo capital del estado de Sonora fue el mejor calificado, seguido de Colima, la delegación Miguel Hidalgo en el Distrito Federal y el municipio mexiquense de Tlalnepantla de Baz. Mientras que los municipios de Peñamiller en Querétaro, Simojovel, Chiapas; Ahualulco, San Luis Potosí; Dzilam de Bravo, Yucatán fueron los peor evaluados con 0.00781 puntos.

Estas bajas calificaciones son reflejo de la poca adopción de tecnologías de la información (TI) por parte de los municipios, pues a pesar de tener presencia en internet, carecen de un desarrollo tecnológico que ayude a sus usuarios a acceder a su información en línea. Esta situación se refleja en 17% de las páginas web municipales consultadas donde todo el contenido está en construcción.

También se encontró que el 26% de los sitios estaban deshabilitados o presentaban un mal funcionamiento y 1% de las direcciones URL no correspondían al municipio.

Para obtener estos resultados el estudio calificó la información que ofrece el portal, la cantidad de trámites y servicios que se pueden consultar y realizar a través de él; así como la transparencia del sitio; web 2.0, es decir el nivel de interacción con las aplicaciones que presenta la página, el diseño, el nivel de seguridad para realizar pagos de trámites; además de la tecnología y participación ciudadana o retroalimentación.

En el último año, de acuerdo con información de la ONU, México ha perdido 19 posiciones en ofrecer gobierno electrónico lo que lo sitúa en el lugar 56 del ranking mundial. El principal reto para que un país implemente el e-goverment es el número de ciudadanos que lo habita así como la demanda.

Netmedia

Un reciente ataque muestra el punto débil de la versión segura de HTTP.

0 comentarios
El Protocolo de Transferencia Segura de Hipertexto o HTTPS permite el cifrado de los datos que se envían desde nuestro equipo a un servidor.

Básicamente, al usar HTTPS una página web codifica la sesión con certificado digital o SSL, de forma que el usuario tiene ciertas garantías de que la información que va a enviar no podrá ser interceptada y utilizada por terceros.

Hasta la fecha se consideraba que HTTPS era la mejor forma de crear una comunicación segura incluso en una red insegura, no obstante un reciente ataque ha traído algunas dudas sobre este protocolo.

En una conexión HTTPS, un navegador muestra sin problemas una web solo si esta incluye un certificado de seguridad firmado por una agencia independiente que garantice su autenticidad. Todo parece indicar que una agencia emitió certificados de forma no adecuada (gracias a unas credenciales de acceso robadas) que permitieron a un atacante crear páginas fraudulentas que por su diseño parecían verdaderas y desde las que se trató de espiar determinadas comunicaciones.

En concreto fue la autoridad de certificación Comodo la que emitió certificados SSL fraudulentos supuestamente para Microsoft, Mozilla, Google, Skype y Yahoo (mail.google.com, Login.live.com , www.google.com, login.yahoo.com, login.skype.com y mozilla.org), provocando la realización de ataques phishing casi imposible de ser detectados.

No obstante, Comodo tras ser consciente del problema y darlo a conocer, provocó que los certificados fraudulentos fueran anulados y los principales navegadores web actualizados para garantizar que la detección de dichos certificados.

Pese a la complejidad del ataque, este ha sido capaz de mostrar el punto débil de la que sigue siendo la versión segura del HTTP, y que usado comúnmente por bancos y plataformas e-commerce ha venido extendiendo su popularidad entre servicios como Twitter o Youtube.

Desarrollo Web

Decálogo de la Seguridad en Internet

0 comentarios
Los diez mandamientos de seguridad en Internet:

Evitar los enlaces sospechosos: los enlaces pueden estar correos electrónicos, ventanas de chat, mensajes en redes sociales y normalmente invitan a hacer acciones comunes como ver fotos, videos ,webs..., pero en unos términos no habituales para el contacto que nos lo envía (idioma, forma se expresarse...)
No acceder a sitios web de dudosa reputación.
Actualizar el sistema operativo y aplicaciones: es muy importante tapar las vulnerabilidades del sistema operativo así como de otros programas a través de los últimos parches de seguridad
Descargar aplicaciones desde sitios web oficiales.
Utilizar tecnologías de seguridad: las soluciones antivirus, firewall y antispam representan las aplicaciones más importantes para la protección de un equipo.
Evitar el ingreso de datos personales en formularios dudosos
Tener precaución con los resultados arrojados por buscadores web: algunas técnicas de ataques (Black Hat SEO) suelen posicionar sus sitios web entre los primeros lugares de los resultados de los buscadores, especialmente en los casos de búsquedas de palabras clave muy utilizadas.
Evitar la ejecución de archivos sospechosos: es recomendable evitar la ejecución de archivos procedentes de mensajería instantánea, correo electrónico o sitios webs a menos que se conozca la seguridad del mismo y su procedencia sea confiable.
Aceptar sólo contactos conocidos: tanto en los clientes de mensajería instantánea como en redes sociales, es recomendable aceptar e interactuar sólo con contactos conocidos.
Utilizar contraseñas fuertes: se recomienda el uso de contraseñas fuertes, con distintos tipos de caracteres y una longitud de al menos 8 caracteres, para el acceso de servicios en Internet.

Anonymous promete vengar a Bradley Manning, gobierno de EU bajo amenaza

0 comentarios
Este semana el ejército estadounidense presentó 22 nuevos cargos contra Bradley Manning, quien es acusado de robar más de 200,000 archivos diplomáticos de Estados Unidos y haberlos entregado al sitio de filtraciones gubernamentales Wikileaks.

Entre los cargos se encuentra el delito de “participación con el enemigo”, por lo que Manning podría ser castigado con la pena de muerte, aseguran expertos jurídicos.

Esta noticia no ha causado gracia entre los miembros de Anonymous, quienes ya han amenazado al gobierno estadounidense y sus departamentos tanto de seguridad, como de defensa en contra de la acusaciones contra el sargento.

El grupo de hacktivistas ha indicado que en caso de que el ejercito no revierta dicho cargo los sistemas, portales y equipos de cómputo del gobierno sufrirán las consecuencias.

Además han señalado que tienen la capacidad de robar información confidencial de los altos cargos del gobierno y publicarla en línea.

A través del sitio Dayli Kos y aprovechando el perfil del periodista Barret Brown, el grupo de hacktivistas dio a conocer su mensaje.

Anonymous amenazó específicamente a la Oficina de la Secretaría de la Defensa, Oficina de Comercio, al Departamento de Justicia, al Gobierno de Estados Unidos y a la Dirección de Inteligencia Nacional de los Estados Unidos.

El grupo de hacktivistas señaló que el nombre clave de la operación será #opbradley, y que este movimiento se sumará a la campañas que tienen contra HBGary.

HBGary se convirtió en el blanco de Anonymous luego de que su exCEO Aaron Barr divulgara a medios internacionales que contaba con información confidencial sobre los miembros del grupo.

El ejecutivo indicó tenía en sus manos la información sobre su país de residencia, dirección y nombre, y agregó que dicha información sería vendida al FBI.

Tras las declaraciones, la firma de seguridad sufrió un robo de información por parte de Anonymous. El grupo de hacktivistas se apoderó de más de 50,000 cuentas de correo corporativo, así como los datos personales de Barr e información corporativa sensible.

Esto generó que Barr presentara su renuncia a la compañía. La información sobre Anonymous no fue publicada, ni vendida al FBI, como el ejecutivo pretendía.

Por otra parte, las acusaciones contra Manning forman parte de la persecución que ha llevado a cabo el gobierno de Estados Unidos contra los responsables de la publicación de los cables diplomáticos de sus embajadas.

Los cables publicados por Wikileaks fueron señalados por distintos medios como la filtración de información confidencial más grande de la historia.

Julian Assange, fundador de Wikileaks, recientemente recibió un fallo en su contra por parte de las autoridades británicas, por lo que Assange podría ser extraditado a Suecia.

Donde es perseguido por delitos de abuso sexual, el periodista de origen australiano se encontraba bajo libertad condicional en Reino Unido.

De acuerdo con distintos medios, el gobierno de Estados Unidos ya trabaja con autoridades suecas para poder trasladar a Assange a Norteamérica.

Assange podría ser acusado y juzgado en Estados Unidos por haber violado la Ley de Espionaje, además de haber cometido delitos de conspiración.

Organizaciones alrededor del mundo señalan que los cargos por los cuales es acusado Assange en Suecia son parte de un montaje contra el periodista y Wikieaks.

Anonymous se levanta como el vengador social en línea

Pese a existir desde hace varios años, Anonymous saltó a la fama luego de convertirse en el grupo que defendió a Wikileaks tras las publicación de los cables diplomáticos de Estados Unidos.

En aquel momento el grupo derribó los sitios de las compañías que retiraron su apoyo al polémico portal. Entre sus víctimas se encontraron el sitios de Visa, MasterCard y PayPal.

Para lograr tirar los sitios señalados, Anonymous ha tomado como estrategia el uso de ataques Denegación de Servicios (DDoS). Para esto la red de hacktivistas hizo posible que cualquiera sumara de manera voluntaria su computadora a una botnet para realizar estos ataques.

Un reporte indicaba que en diciembre pasado el ejército de Anonymous había superado los 50,000 usuarios en menos de una semana.

Por otra parte, Anonymous ha estado relacionado con ataques contra los gobierno de Egipto, Zimbabwe y Túnez, Dichos gobiernos han sido señalados por el grupo de hacktivistas ya que no permiten el uso de internet de manera abierta, acusan.

BSecure

Richard Stall: El Software Libre

0 comentarios


OddJob

0 comentarios
Llegó ese momento del mes de pagar las deudas, servicios, inversiones o nómina y que mejor que hacerlo con el servicio de banca en línea de tu Banco. Así que accedes al sistema, realizas la operación bancaria, recibes el comprobante de operación  y al finalizar cierras la sesión. Más fácil imposible, pensarías, al menos hasta descubrir que esa supuesta salida del sistema nunca ocurrió y no fue sino hasta que ese otro usuario (un hacker), que logró mantener activa la conexión con el banco, lo decida.
Suena a juego de espionaje pero de acuerdo a un reporte de la firma de seguridad Trsuteer, un nuevo troyano bancario, bautizado como OddJob, tiene la habilidad de mantener abierta la sesión de banca en línea del usuario, aunque éste haya dejado el sitio o apagado el sistema.
“Aunque los clientes del servicio crean que se han desconectado de forma segura de su servicio, el troyano mantiene la sesión abierta, permitiéndole a sus controladores obtener altas cantidades de dinero o incluso vaciar cuentas enteras”, cita el análisis de Trusteer.
De acuerdo con los expertos de la firma OddJob representa un cambio sustancial en el robo de información financiera, pues el malware no necesita pasar o romper controles de seguridad, como el factor de doble autenticación del Banco, para robar dinero digital porque es el usuario quién le da acceso al sistema.
La compañía ya ha advertido a diversas instituciones financieras de Estados Unidos, América Latina, Dinamarca y Polonia, algunos de los países donde ya se ha detectado la presencia y uso del troyano.
“Los más interesante de este malware, es que se encuentra en proceso de evolución. En los últimos días hemos detectado nuevas funcionalidades, cambios o servicios agregados al programa, los cuales recibe de su Centro de Comando (C&C). Estamos seguro que OddJob continuará evolucionando para perfeccionar el robo de datos”, dicen Trusteer.
Si bien Oddjob no es un malware de distribución masiva, como lo son Zeus y SpyEye (algunos de ellso con rangos de infección cercanos a los 300,000 PC por semana), los expertos afirman que tiene la ventaja de ser más efectiva que estos dos, pues no de romper candados de cuentas comprometidas.
OddJob tiene la capacidad de robar y comprometer claves de acceso, inyectar código falso en sitios web para propagarse de forma efectiva, pero Trusteer agrega, que su mayor ventaja es aprovechar la sesión ya existente del banco para el robo de efectivo digital.

NetMedia

Anonymous asegura tener acceso a Stuxnet

0 comentarios
Anonymous, el grupo de hacktivistas que a últimas fechas se ha convertido en una especie de justiciero digital de las causas sociales, presumió tener acceso a Stuxnet.
Miembros de Anonymous han señalado que tras los ataques desplegados a principios de mes contra la firma de seguridad HBGary, han obtenido el código del único malware que tiene comandos específicos para que operar en tecnología industrial de cómputo del fabricante Siemens, según lo que hasta ahora se sabe. Stuxnet ha sido utilizado para sabotear plantas nucleares.
La compañía de seguridad informática McAfee ha catalogado a Stuxnet como el código malicioso más sofisticado e inteligente del que se tenga conocimiento.
El gerente de operaciones de Symantec, Orla Cox, señaló al diario británico The Guardian que esto no significa que Anonymous vaya a tener acceso a una planta nuclear iraní, como en septiembre pasado lo hicieran los creadores del virus, y que el grupo de hacktivistas por lo pronto representa un peligro a la seguridad, aunque deberá aprender a manejar Stuxnet antes de poder usarla.
De acuerdo con un reciente reporte de Symantec, los creadores del virus lograron violar la seguridad de la planta iraní debido a que tenían conocimiento pleno de su objetivo final. Dicha investigación reveló que para sabotear la terminal nuclear, los creadores de Stuxnet utilizaron como vía de distribución cinco plantas industriales, también de origen iraní, como trampolín hacia los sistemas de control industrial de la planta de tratamiento de uranio.
Para poder infectar las cinco industrias, los creadores tuvieron que contar con personal infiltrado dentro de cada una de éstas. El reporte detalló que la infección se dio a través de una memoria externa USB y no por medio de internet.
Por su parte, Snorre Fagerland, investigador senior de la firma de seguridad Norman, minimizó la noticia al señalar que la copia de Stuxnet obtenida por Anonymous no se trata de una versión completa del virus, por lo que el riesgo de un ataque por parte del grupo es menor.
Ha estado muy activo el grupo de hacktivistas Anonymous de manera reciente al participar en los ataques de Denegación Distribuida de Servicio a los servidores de compañías estadounidenses en pro de la causa de Wikileaks, así como a los webs de los gobiernos de Zimbabwe, Túnez y Egipto. Se sabe que entre sus planes está atacar los portales web del gobierno iraní.

Netmedia

Mitad de empresas carecen de políticas IT de uso de celulares, PDA y PC

0 comentarios
Casi la mitad de los usuarios de las áreas IT de empresas alrededor del mundo aseguran que no existen políticas en sus áreas IT con los lineamientos para el uso de teléfonos celulares, smartphones, PDA o incluso de las PC.
A pesar de ello 80% los tomadores de decisiones IT aseguran que dichas políticas sí existen, de acuerdo con el reporte global Mundo Conectado de Cisco. Tal contradicción podría indicar o que los responsables de las áreas IT mienten o que las políticas IT relativa al uso de los dispositivos móviles no han sido apropiadamente difundidas entre el personal.
“Al tiempo que este tipo de dispositivos móviles entran al ambiente empresarial, los empleados están cuestionando las políticas IT. El entorno ha creado una sensación de urgencia por utilizar dispositivos móviles y medios sociales en internet y los empleados buscarán adoptarlos a pesar de las políticas IT”, pronosticó en el reporte Nasrin Rezai, director de Cisco Security.
Con respecto a quienes sí conocen las políticas IT sobre el tema, tres cuartas partes de ellos creen que son suficientes o que requieren de alguna actualización menor.
Otro hallazgo relevante del reporte es que en 40% de la muestra los empleados aseguran que tienen restringido el acceso a sitios web de redes sociales y a mensajeros instantáneos.
Cisco encuestó a 1,300 tomadores de decisiones IT y 1,300 usuarios finales en Alemania, Australia, Brasil, China, España, Estados Unidos, Francia, India, Italia, Japón, México, Reino Unido y Rusia.
En otro reporte, Cisco preguntó a empleados de empresas de diversos países, entre ellos México, Brasil, China e India, si sienten la necesidad de estar físicamente en la oficina para trabajar apropiadamente, a lo cual 41% los encuestados de México respondieron que sí necesitan ir a la oficina, mientras 59% dijo que no. Casi 80% de los empleados brasileños dijeron que no necesitan ir a la oficina, mientras que coincidieron en esta respuesta 81% de los chinos y 91% de los indios.

NetMedia

Egipto libera a ejecutivo de Google - Negocios - CNNExpansion.com

0 comentarios
Egipto libera a ejecutivo de Google - Negocios - CNNExpansion.com

Divorciada regala £80,000 libras al amor de su vida: un defraudador

1 comentarios
Su tarjeta de crédito está sobregirada, su casa ha sido puesta en venta y le debe casi a todos los miembros de su familia. Todo para pagar las llamadas y posible “pase militar” para conocer al Sargento Ray Smith, el amor de su vida y  un solado estadounidense basado en Iraq, que en realidad resultó ser una defraudador cibernético.
De acuerdo con el sitio de seguridad Sophos y el periódico inglés The Daily Mail, Kates Roberts, divorciada, con tres hijos y residente de Leicestershire, Inglaterra, recibió en octubre de 2009 una invitación en su perfil de Friends Reunited Dating, un sitio web de citas por internet, de un “apuesto” Sargento norteamericano basado en Iraq, bajo el nombre Ray Smith que quería conocerla.
Luego de agregarlo como contacto en el sitio de citas web, Kate y “Ray Smith” comenzaron a intercambiar correos electrónicos y, posteriormente charlas diarias vía MSN.
No tardó mucho, como confianza la mujer defraudada, en que él la convenciera para mandarle cerca de $4,500 pesos más  (£225 libras) para que el solado lograra pagar servicio de telefonía y la pudiera llamar todos los días.
Y así lo hizo, durante casi un año entero, Kate y Smith intercambian llamadas telefónicas todos los días. Según comenta ella a la cadena televisiva  BBC, el solado tenía 43 años, era viudo y su hija de 11 años lo esperaba en Estados Unidos, una vez que terminara su servicio en Iraq.
 
Imagen del supuesto Sargento. Tomada de The Daily Mail
“Alguna vez llegué a tener dudas sobre la veracidad de su historia, pero todo lo que me comentaba tenía sentido y sonaba razonable”. ¿Y por qué dudar? Para ese entonces Kate ya contaba con varias fotos de Smith desde Iraq, fotos con otros amigos soldados e incluso imágenes de su hija.
Pero el dinero para la línea telefónica no bastó. Pronto Smith le pidió que lo ayudara con pagos mensuales, que rebasaban las £2000 o £3000  libras.
Para sustentar su amorío la mujer inglesa solicitó préstamos bancarios, utilizo los servicios de sus tarjetas de crédito e hipoteco su casa, particularmente después de que el Sargento le solicitara a Kate la transferencia de £20,000 libras para la compra de documentos falsos, que le permitirían salir de Iraq para visitarla.
Visita que nunca llegó y romance que culminó en tragedia para la mujer, pues  un día el teléfono dejó de sonar, la sesiones de Menssenger se acabaron y no hubo ningún  correo electrónico más.
Según los medios ingleses, ante el desaire del Sargento la mujer acudió a un centro de servicios militares de Estados Unidos en Londres para pedir informes de Ray Smith. Ni el nombre ni el soldado aparecen en los registros del personal apostado en Iraq.
La historia de romance se convirtió en fraude web, cuando la víctima acudió a las autoridades inglesas, quienes le aseguraron, que luego de rastrear la IP de los correos electrónicos y la línea de teléfono, provenían de Nigeria y no de Iraq.
“Esta historia parece increíble y absurda para muchos  usuarios web, pero la realidad es que existen muchos adultos o internautas que pueden sentirse vulnerables y, es en esos momentos cuando más eficacia tienen este tipo de fraudes”, comparte el CTO de Sophos Graham Culey en el blog de su compañía.
Según Kate Roberts divulgó su historia a los medios “para evitar que alguien más caiga en este tipo de engaños”. Al final de su falso romance web Roberts de 47 años había entregado más de £80,000 libras esterlinas (cerca de $1.5 millones de pesos).
 
Kate Roberts, la víctima. Tomada de The Daily Mail

Su tarjeta de crédito está sobregirada, su casa ha sido puesta en venta y le debe casi a todos los miembros de su familia. Todo para pagar las llamadas y posible “pase militar” para conocer al Sargento Ray Smith, el amor de su vida y  un solado estadounidense basado en Iraq, que en realidad resultó ser una defraudador cibernético.
De acuerdo con el sitio de seguridad Sophos y el periódico inglés The Daily Mail, Kates Roberts, divorciada, con tres hijos y residente de Leicestershire, Inglaterra, recibió en octubre de 2009 una invitación en su perfil de Friends Reunited Dating, un sitio web de citas por internet, de un “apuesto” Sargento norteamericano basado en Iraq, bajo el nombre Ray Smith que quería conocerla.
Luego de agregarlo como contacto en el sitio de citas web, Kate y “Ray Smith” comenzaron a intercambiar correos electrónicos y, posteriormente charlas diarias vía MSN.
No tardó mucho, como confianza la mujer defraudada, en que él la convenciera para mandarle cerca de $4,500 pesos más  (£225 libras) para que el solado lograra pagar servicio de telefonía y la pudiera llamar todos los días.
Y así lo hizo, durante casi un año entero, Kate y Smith intercambian llamadas telefónicas todos los días. Según comenta ella a la cadena televisiva  BBC, el solado tenía 43 años, era viudo y su hija de 11 años lo esperaba en Estados Unidos, una vez que terminara su servicio en Iraq.
Imagen del supuesto Sargento. Tomada de The Daily Mail
“Alguna vez llegué a tener dudas sobre la veracidad de su historia, pero todo lo que me comentaba tenía sentido y sonaba razonable”. ¿Y por qué dudar? Para ese entonces Kate ya contaba con varias fotos de Smith desde Iraq, fotos con otros amigos soldados e incluso imágenes de su hija.
Pero el dinero para la línea telefónica no bastó. Pronto Smith le pidió que lo ayudara con pagos mensuales, que rebasaban las £2000 o £3000  libras.
Para sustentar su amorío la mujer inglesa solicitó préstamos bancarios, utilizo los servicios de sus tarjetas de crédito e hipoteco su casa, particularmente después de que el Sargento le solicitara a Kate la transferencia de £20,000 libras para la compra de documentos falsos, que le permitirían salir de Iraq para visitarla.
Visita que nunca llegó y romance que culminó en tragedia para la mujer, pues  un día el teléfono dejó de sonar, la sesiones de Menssenger se acabaron y no hubo ningún  correo electrónico más.
Según los medios ingleses, ante el desaire del Sargento la mujer acudió a un centro de servicios militares de Estados Unidos en Londres para pedir informes de Ray Smith. Ni el nombre ni el soldado aparecen en los registros del personal apostado en Iraq.
La historia de romance se convirtió en fraude web, cuando la víctima acudió a las autoridades inglesas, quienes le aseguraron, que luego de rastrear la IP de los correos electrónicos y la línea de teléfono, provenían de Nigeria y no de Iraq.
“Esta historia parece increíble y absurda para muchos  usuarios web, pero la realidad es que existen muchos adultos o internautas que pueden sentirse vulnerables y, es en esos momentos cuando más eficacia tienen este tipo de fraudes”, comparte el CTO de Sophos Graham Culey en el blog de su compañía.
Según Kate Roberts divulgó su historia a los medios “para evitar que alguien más caiga en este tipo de engaños”. Al final de su falso romance web Roberts de 47 años había entregado más de £80,000 libras esterlinas (cerca de $1.5 millones de pesos).

Recuperar GRUB

1 comentarios
Con este post explicaré como recuperar Ubuntu después de instalar Windows 7. ¿Por qué he instalado Windows 7? Simplemente, hace ya algún tiempo que tenía curiosidad por probarlo, y ahora que tengo algo de tiempo libre me he decidido y lo he instalado en mi portátil.

Antes de empezar con la instalación, el portátil tenía las siguientes particiones:
  • Partición ext con Ubuntu 10.10
  • Partición swap
  • Partición con Windows XP
  • Partición de Datos
Decidí eliminar la partición de Windows XP e instalar encima Windows 7. El proceso de instalación fue todo bien (algo largo) y ya tenía instalado Windows 7 en el PC. El único problema es que Microsoft no tiene consideración por nada y borra todo el MRB por lo que perdí GRUB y todo el arranque de Ubuntu, el cual es el sistema operativo que más uso, menudo fastidio.
En fin, tras buscar un poco por Internet encontré la solución en este foro y en pocos minutos recuperé Ubuntu después de instalar Windows 7.
Los pasos para recuperar Ubuntu después de instalar Windows 7 son los siguientes:
  1. Descargar Super Grub2 Disk e instalar la ISO en un CD.
  2. Introducimos el CD en el PC e iniciamos desde CD.
  3. En el menú que nos aparece seleccionamos la opción "Detect Any OS"
  4. Super Grub2 Disk buscará todos los SO que tenemos y nos mostrará una lista. Seleccionamos Ubuntu para arrancar.
  5. Una vez iniciado Ubuntu abrimos un terminal y escribimos los siguiente:
  6. sudo grub-mkconfig sudo grub-install /dev/sda sudo update-grub
¡Listo! Ya hemos recuperado Ubuntu después de instalar Windows 7, por supuesto sin perder el recién instalado Windows 7. Si reiniciamos el PC veremos como ha vuelto GRUB y podemos elegir entre el SO que queremos arrancar.

Espionaje corporativo y terrorismo son principales causas de pérdida de datos

0 comentarios
La piratería informática continúa siendo el mayor riesgo para la pérdida de datos en las empresas, dio a conocer el Barómetro de Pérdida de Datos de KPMG.
El reporte destaca que el espionaje corporativo y el terrorismo fueron la principal motivación de los ataques provenientes de piratas informáticos.
Las cifras evidenciaron que en muchas ocasiones el principal enemigo de la compañía se encuentra dentro de ella. Los ataques generados dentro de la misma empresa representaron 4% en 2007, mientras que para 2010 la cifra aumentó a 20%, afectando a más de 23 millones de personas a nivel mundial.
La crisis económica global fue la principal causa por la cual aumentaron dicho tipo de ataques, concluyeron analistas de KPMG.
“La recesión pudo haber impulsado el crecimiento de incidentes de pérdida de datos perpetrados por personas malintencionadas de la propia empresa conforme los datos se han vuelto un bien cada vez más valioso”, declaró Roberto Cabrera, socio director de industrias y mercado de KPMG en México.
El Barómetro también reveló que el sector de servicios financieros continúa siendo el más afectado, captando 33% de los 249 millones de ataques registrados desde 2007.
En segundo sitio se encontró la industria de ventas minoristas con 31%, siendo la tarjetas de crédito y de tiendas departamentales los mayores riesgos a la seguridad.
KMPG destacó que la situación más alarmante es la que vive el sector salud, el cual  sufrió un aumento drástico en el número de ataques recibidos durante 2010. Los resultados señalaron que de 2009 a 2010 se duplicaron el número de incidentes pasando de 12 a 25%.
Cabrera señaló que el panorama para 2011 no es favorable ya que a partir de este año los ataques serán más amplios y por consecuencia más costosos.
El ejecutivo concluyó subrayando que esta situación se deberá a que las guerras informáticas se comenzarán a consolidar como amenazas, lo que llevará a los cibercriminales a buscar nuevas formas de infiltrarse en los sistemas.
El Barómetro encontró que la pérdida de datos ha afectado a 514 millones de personas desde 2007.

Netmedia

JK's Army

0 comentarios

Hace unos días pedí a gritos recibí la visita de una de las personas más importantes en mi vida, mi mejor amigo que acudió en una misión de rescate apoyo causada por una cruzada perdida, aunque realmente no fue perdida. Fue solamente mi forma de cerrar un ciclo que fué muy importante para mí, y que debió finalizarse hace casi meses, desde mi punto de vista con alguna buena razón... Pero esta fue la causa de esta agradable “visita”. En uno de estos días, precisamente después de despedirnos de dos las niñas más maravillosas que están en nuestras vidas, empezamos a comentar sobre el hecho sobrenatural de que esa noche nos encontrásemos juntos, él a 320 km de su casa, y ambos con seres divinos a nuestro lado (bueno, a nuestro lado no, iban como a 2 cuadras); todo eso me hizo reflexionar sobre las personas que durante este año han seguido a mi lado (y), las que se han ido x_x , las que llegaron y se fueron u_u , las que llegaron y son parte muy importante.

En ese orden, (las que siguen a mi lado), están mis amig@s, que sin importar el contexto me hicieron fuerte y más que eso, me hicieron invencible, ante cada reto que se presentó. Y haciendo mención de algunos...

r': este canijo ni mi amigo llega a ser, éste es mi “hermano si no de sangre, por lo menos de circuitos”, simplemente el mejor y creo que no hay palabras para poder describir a exactitud nuestra simbiosis, gracias bro!

langa: pacheco como el solo, siempre en orbitas lejanas, compañero sin igual para el complot, es nuestro mini noticiero mundial en cuanto a cultura geek se trata, pero sin duda, si tuviera un hermano loco, fumado, amante de la negra (#laperradelanga) serías tú!

Chuy: además de mi amigo, el que mas descompone su pc y todas las de la oficina jajaja, uno de mis mejores amigos!

El gordo: aunque a veces latoso, siempre que lo necesito ahí está para mantener el orden (literalmente).

Juan: A veces trabaja, pero siempre está disponible para un amigo.

jammy' Amigo incondicional, cómplice perfecto, discípulo del lado oscuro ;)

waza' Le faltan varias tuercas pero es grande, sobre todo de perfil.

Eruck: Sin duda otro de mis grandes amigos, mejor conocido como el cerillito apagado, incondicional y siempre dispuesto a arrancarte sonrisas por mal que estés.

Gina: La menos loca mas cuerda de los 4 fantásticos, es como la mujer mujer invisible, aunque siempre está presente cuando la necesitas, capaz hasta de salir a cenar en pijama y sin maquillaje por un amigo en apuros.

Gaby: La mujer elástica, no importa donde esté el pisto, siempre lo alcanza, compañera de vagancias, amiga inigualable.


Continuando con las categorías, las personas que se han ido, siempre estarán presentes. Uno de los recuerdos que más me viene a la mente, sobre todo por las fechas que acabamos de pasar, es mi 'tía María'; una mujer excepcional, siempre preocupada por la unidad de la familia, cocinera impecable, confidente silenciosa, muchos la considerarían un ángel; ella por citar un ejemplo, pero todos y cada unos de esos seres especiales que se nos han adelantado, siempre tendré un lugar muy especial mi alma para cada uno de ell@s.


Los que llegaron y se fueron, resalto per'sonas muy importantes, amores fugaces, pero significativos, muy arraigados en mi corazón pero superados, llenos de momentos hermosos que no cambiaría por nada, sueños fabulosos, miradas furtivas, tiernos abrazos, pequeños detalles pero asombrosos sentimentalmente. Desafortunadamente, aquí si tuvimos que aplicar el dicho que 'todo lo que llega, de la misma forma se va'; muchas cosas en su momento quedaron inconclusas pero siento que poco a poco las fuimos cerrando, lo único que me resta es pedir perdón por los ataques de intempestividad que me asolaron, tal vez por desesperación o impotencia dando igual el 'por que', perdón por el daño que dolor que cause, perdón por los malos ratos que hice pasar, pido perdón de corazón. Porque aunque esas personas ya no estén más en mi vida, por decisión mía o de ell@s, es inegable el impacto, cariño, simpatía, amistad, y sobre todo amor que generó en mi su sola presencia. Agradezco también por que nuestros caminos de hayan cruzado y deseo que les sea propicio la suerte y el amor.


Ésta sección es la que esperé con ansia para escribir, las personas que llegaron y son parte importante; siempre he sido de la idea de vivir lo que es real y lo único real es el instante propio en el que estamos, recordar el pasado con nuestros errores para no cometerlos de nuevo #pedrada para mi y sobre todo los momentos bonitos, fincar nuestros sueños e ilusiones en el futuro para luchar por ellos y no ser conformistas ni mediocres; Pero sin duda, redundo a lo mismo, vivir el presente de la manera mas intensa posible, sintiendo apasionadamente cada estimulo que recibimos y sin duda para mí, muchos de estos estímulos han sido causados por personitas de forma 'casual' nos topamos y a pesar de lo mamón y elitista que soy (eso me dijo el gordo jajaja) me encontraron 'el modo' y ahora, simplemente, son personas que se ganaron mi respeto, amistad, cariño y ¿por que no? Hasta mi amor. Haré un recuento también de sólo algunas de estas personas, que me han impactado positivamente en los últimos doce meses y siguen a mi lado siendo pilares imprescindibles de mi vida actual:

el': una vez me pregunto cierta persona que si por que el es mi amigo, y respondi “esta medio tarado, pero lo fiel, lo buen amigo, nadie se lo quita”, una de las personas más confiables que he conocido, no raja para nada por grande que sea el enemigo si se trata de defender a quien el considera su amigo. Gracias por todo!

jm': Inteligente y lanzado, sin medir consecuencias cuando trata de amistad, de carreta pesada, y compañero insustituible en cualquier andaba, no debe faltar en el equipo básico de amistades.

iz': esta niña simplemente está loca, de gran apoyo cuando se necesita, confiable, buena amiga, muy latosa, fácilmente trolleable, pero de corazón sencillo, se te quiere chamaca!

sc': de nuevo, como al principio, rozo con lo indescriptible, con una imaginación que rebasa los límites, con la capacidad de sorprender a cada instante al mismo JK diablo, inteligente y creativa, audaz y sin miedo a las consecuencias de luchar por lo que quiere, sincera y tierna al limite. Su descripción la encapsulo de la manera mas geek que maquino en la siguiente expresión sc' = sc'→∞. Contigo niña, me quedo corto con cualquier palabra de agradecimiento! :P;):P ({)




En conclusión 2010 para mí, fue un año de altibajos, grandes triunfos en ciertos ámbitos de mi vida, como el laboral, grandes derrotas, como un amor perdido sin explicaciones, pero absolutamente todo, TODO superado con el respaldo de grandes personas. Recordando palabras que alguien dijo: “... ya sabes que Zavala tiene un ejército a sus pies” me todo la libertad de corregir, tengo un ejército a mi lado!. La gente, los amigos, es lo que me da la fuerza, lo que me hace invencible, SIN CADA UNO DE USTEDES NADA, CON USTEDES, NO HAY IMPOSIBLES!!



GRACIAS!!!!