¿Cuándo debo sospechar de un mensaje de correo y cómo debo actuar?

¿Cuándo debo sospechar  de un mensaje de correo electrónico?

 

Las pautas que te ofrecemos son pistas para detectar el phishing, pero no garantizan que se pueda identificar al 100%. Hay que tener en cuenta que cualquiera de los puntos siguientes puede servir para alertarnos, sin necesidad de que concurran todos.

 

  • Es un correo que no esperas ni tiene ninguna relación con tu actividad profesional o personal. No lo abras.
  • El mensaje te pide datos personales (cuentas bancarias, iniciar sesión, número del móvil…). No proporciones nunca datos personales en respuesta a un correo sin cerciorarte antes de que la petición es real.

  • La dirección de correo que envía el mensaje es extraña (direcciones con letras y números mezclados, dominios poco habituales o no relacionados con nuestra actividad…). No lo abras.

 

  • Contiene un enlace cuyo texto no coincide con la dirección a la que apunta cuando pasamos el ratón o contiene un botón que al pasar el cursor por encima apunta a una dirección extraña, como en la imagen. No lo abras. 

 

  • Está muy mal redactado (es una mala traducción o no tiene sentido en algunos fragmentos)

  • Te ofrece ventajas o beneficios inverosímiles o te amenaza.

En todo caso, ante la menor duda, ponte en contacto con el Servicio de Informática, escribiendo a soporte@ua.es. Si nos reenvías el correo lo podremos analizar y detectar campañas de ataque. Así podremos tomar medidas preventivas para el resto de comunidad universitaria. 

Fuentes: 

Kit de concienciación. Phishing, Incibe y CRUE.

Conoce a fondo qué es el phishing, OSI.

¿Cómo reconocer un mensaje de tipo phishing?, OSI.

Herramientas para comprobar que un enlace es seguro: Virus Total y Getlinkinfo

¿Cómo podemos verificar si una página web es segura?

Podemos utilizar Virus Total, servicio gratuito a través de una página web, que permite analizar archivos y URL sospechosas, facilitando la detección de todo tipo de malware. Virus Total comprueba, con prácticamente todos los antivirus del mercado, si esa página es o no fiable.

www.virustotal.com

Entre las tres opciones que nos ofrece, vamos a seleccionar la revisión de URL (Search or scan a URL).

Continue reading “Herramientas para comprobar que un enlace es seguro: Virus Total y Getlinkinfo”

Campaña de correos maliciosos con ficheros .doc adjuntos

Durante unos días se ha registrado una intensa campaña de ataque con correos maliciosos que adjuntaban un fichero con formato .doc

El SI ha filtrado durante unos días estos correos para evitar que nuestros usuarios pudieran infectarse con el malware contenido en los ficheros.

Si quieres conocer con más detalle este ataque y cómo prevenir daños te recomendamos que leas este artículo de la OSI.

 

Campaña de phising

 

 

Intento de suplantación de correo en la UA

Recientemente, un profesor de la Universidad se puso en contacto con nosotros, porque varios compañeros le informaban que estaban recibiendo mensajes suyos “raros”. En primer lugar, pensamos que habían capturado su usuario y contraseña y que estaban enviando spam desde la misma, pero aún así le pedimos que nos enviara una copia del correo para investigar qué podía estar pasando. Descubrimos que el intento de engaño era más sofisticado, y sobre todo, que este tipo de engaño puede utilizarse en más ocasiones. Vamos a analizar cuál ha sido el “modus operandi” del mismo.

Una persona recibe de un compañero de departamento un correo electrónico, sin asunto, con un mensaje muy simple:

Mensaje de correo con supuesta firma

Continue reading “Intento de suplantación de correo en la UA”

Las tarjetas con tecnología NFC, una ventaja o un potencial peligro

Prácticamente  todas las tarjetas bancarias, e incluso nuestra TIU, utilizan NFC (Near Field Communications), comúnmente conocido como contactless. Esta tecnología permite, basándose en el sistema RFID (Radio-Frequency Identification), la lectura de dicha tarjeta simplemente por aproximación a un lector que soporte también NFC. Eso hace posible que podamos pagar, en la mayoría de los casos, por importes inferiores a 20€ en multitud de comercios o que las puertas del gimnasio se abran al acercar nuestra tarjeta.

Las tarjetas que soportan la tecnología NFC se puede reconocer fácilmente por llevar unas ondas, similares a las que podemos ver con las conexiones WiFi

 

NFC

 

Por ejemplo, en la TIU se sitúa en la parte central izquierda de la tarjeta, en alguna tarjeta bancaria la podemos encontrar en la parte superior derecha, etc.

 

TIU

 

Esta tecnología, en teoría positiva, también tiene su lado oscuro, ya que, si alguien tuviera un dispositivo receptor, podría leer datos de nuestra tarjeta si se acercara lo suficiente. En principio, sí, pero no hay que alarmarse, ya que el que se pueda hacer no quiere decir que sea sencillo. Vamos a intentar describir los puntos débiles de esta tecnología y cómo evitar problemas.

 

Tal y como hemos mencionado, la tecnología NFC nos permite una agilidad en operaciones sencillas de identificación o pago, ya que simplemente acercando la tarjeta a menos de 10 cm de un lector NFC hace que se realice la transferencia de información entre ambas para autenticar la operación. Simplificando mucho, lo que hay detrás del chip son unas pequeñas antenas que se alimentan con las ondas emitidas por el lector y las envía al chip que, a su vez, con la energía que consigue a partir de ellas envía sus datos al lector. Es por ello que la distancia entre la tarjeta y el lector debe de ser muy corta y sin interferencias.

 

Veamos entonces qué nos puede pasar si no tenemos cuidado con este tipo de tarjetas. En primer lugar, ante una pérdida, en algunos comercios no piden DNI cuando el pago es inferior a 20€ por lo que alguien con este tipo de tarjetas podrá pagar hasta 5 veces sin que le pida PIN el lector (si no lo ha pedido el cajero o cajera antes) y, como hemos dicho, no más de 20€ ya que en importes superiores automáticamente se solicita el PIN. Por tanto, hay que tener la precaución de dar de baja la tarjeta inmediatamente al detectar su pérdida.

 

Ciertas entidades bancarias tienen Apps que permiten la comunicación inmediata de todas las compras, así como el bloqueo de la tarjeta desde la propia App. Ante una notificación de una compra desconocida o detectar la pérdida de la tarjeta, es una forma ágil de bloquearla casi inmediatamente.

 

Otra posibilidad es que nuestra entidad nos obligue a poner el PIN siempre cuando hagamos operaciones bancarias.

 

Pero vayamos ahora a la preocupación de que alguien se nos acerque con un lector de tarjetas, por ejemplo, en el metro, y nos haga cargos de menos de 20€. ¿Esto es así de fácil? Sí, porque se ha demostrado que puede realizarse, pero la normativa permite que sea fácilmente localizable el “caco”. Para que dicho lector sea operativo, hay que darlo de alta en el sistema de pagos de tarjeta, y, además, vincularlo a una cuenta corriente. Tirando del hilo sería muy sencillo localizar al ladrón.

 

Otro miedo, este algo más delicado, es el robo de datos personales. Con un móvil que soporte NFC y con una App que nos podemos descargar en Google Play, algunas de ellas gratuitas, podemos leer información de la tarjeta. Por ejemplo, es posible leer el número de cuenta y la fecha de caducidad de la misma. Es cierto que no podemos acceder al número CVV, imprescindible en casi todas las páginas para hacer compras por Internet, pero puede haber páginas que no soliciten dichos datos, y es más, solo el que puedan acceder a dicha información ya es para preocuparse.

 

Es posible saber a qué datos podrían acceder, y es posible, como hemos comentado antes, instalando en nuestro móvil si soporta NFC la App Scheckkartenleser (EMV) o la AppEMV Card Reader, ambas gratuitas, y saber exactamente qué datos pueden estar accesibles.

 

Y ahora volvemos a tranquilizar un poco a los usuarios, ya que como hemos comentado antes, casi todas las tarjetas tienen NFC y la mayoría de las personas tiene más de una. Si alguien acercara, por ejemplo, un lector a nuestra cartera, habría interferencias con la información de ellas y los datos no serían legibles. Pero aún así, existen carteras y/o fundas con una pequeña protección metálica que evita la lectura de la tarjeta si no se extrae de la misma.

 

Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.

 

 

¿Cómo cambiar mi contraseña de la UA?

¿Cómo cambiar mi contraseña de la UA?

 

En esta página encontrarás toda la información necesaria para gestionar tus contraseñas.

 

Reglas para la creación y uso de contraseñas Normativa de la U. de Alicante para la creación y uso de contraseñas.

    • Mínimo 8 caracteres
    • Utilizar caracteres de, al menos, 3 de estos grupos: mayúsculas, minúsculas, signos y números
    • No utilizar caracteres idénticos consecutivos
    • No reutilizar ninguna de las últimas 5 contraseñas
    • No deben estar basadas en datos propios (nombre, apellido, cumpleaños…)
    • Debe cambiarse cuando quede comprometida
    • Debe cambiarse obligatoriamente cada 6 meses

 

 

Creació i ús de contrasenyes / Creación y uso de contraseñas

La Universitat d’Alacant ha publicat la normativa per a la creació i ús de contrasenyes.

A partir del 3 de juny, tots els comptes de la UA que no hagen canviat la contrasenya en els 6 mesos anteriors perdran l’accés als comptes.

Trenta dies abans que caduque la teua contrasenya, t’apareixerà un avís en UACloud. Ací t’expliquem com la podràs canviar. Et recomanem incorporar una adreça electrònica alternativa si encara no ho has fet. La necessitaràs en cas que et caduque la contrasenya o la perdes.

Si tens problemes amb el canvi de contrasenya, consulta l’ajuda o posa’t en contacte amb el Centre d’Assistència a l’Usuari (96 590 9393)

__________

La Universidad de Alicante ha publicado la normativa para la creación y uso de contraseñas.

A partir del 3 de junio, todas las cuentas de la UA que no hayan cambiado la contraseña en los 6 meses anteriores perderán el acceso a las cuentas.

Treinta días antes de que caduque tu contraseña, te aparecerá un aviso en UACloud. Aquí te explicamos cómo la podrás cambiar. Te recomendamos incorporar una dirección electrónica alternativa si aún no lo has hecho. La necesitarás en caso de que te caduque la contraseña o la pierdas.

Si tienes problemas con el cambio de contraseña, consulta la ayuda o ponte en contacto con el Centro de Asistencia al Usuario (96 590 9393).

Normativa de la UA per a la creació i ús de contrasenyes

El passat 28 de febrer el Consell de Govern va aprovar la “Normativa de la UA per a la creació i ús de contrasenyes“. En la mateixa data es va publicar en el BOUA.

És necessari que les i els usuaris creen contrasenyes robustes, basant-se en regles que dificulten la seua vulnerabilitat.

Aquesta normativa regula:

  • les regles per a la creació de contrasenyes.
  • les regles per al canvi de contrasenyes.
  • les conductes que cal observar en l’ús de les mateixes.

 

Article 3. Regles per a la creació de contrasenyes segures

«a) Les contrasenyes hauran de tenir una longitud igual o superior a
vuit caràcters.
b) Les contrasenyes hauran de tenir, com a mínim, un caràcter del
menys tres d’estos quatre grups: majúscules, minúscules, signes i
xifres, i no hauran de de tenir caràcters idèntics consecutius.
c) Les contrasenyes no hauran de ser igual a cap de les cinc últimes
contrasenyes usades.
d) Les contrasenyes no hauran d’estar basades en dades pròpis que
una altra persona puga endevinar o obtenir fàcilment, com ara nom,
cognoms, data de naixement, número de telèfon i similars.»

 

Article 4. Regles per a l´ús de les contrasenyes

«a) Les contrasenyes no poden ser anotades en paper ni de cap altra
manera que puga comprometre’n la seguretat.
b) Les contrasenyes han de ser secretes. No han de ser lliurades ni
comunicades a ningú.
c) Ningú està autoritzat a accedir als serveis interns de la Universitat
d’Alacant utilitzant el nom d´usuari i la contrasenya d´altra persona
usuària.
d) Les contrasenyes hauran de ser diferents a les usades en serveis
d´altres proveïdors externs a la UA.»

 

Article 5. Canvi de contrasenya

«1. Les contrasenyes hauran de ser canviades immediatament sempre
que la persona usuària entenga que ha quedat compromesa.
2. Sense perjudici d’això, en tot cas, les contrasenyes hauran de ser
canviades cada sis mesos.»

 

En el termini de tres mesos s’hauran d’adaptar les contrasenyes al que es disposa en aquesta normativa. És a dir, abans de l’1 de juny totes les usuàries i usuaris dels sistemes d’informació de la UA hauran d’actualitzar la seua contrasenya.

 

Consells per a una bona contrasenya

Intent de phishing suplantant la UA

 

El dimecres 21 de novembre es va rebre en la UA una onada de missatges fraudulents que intentava confondre els usuaris perquè facilitaren les seues credencials. En aquests casos, mai ha de facilitar-se cap dada.

El Servei d’Informàtica va bloquejar l’adreça dins de la xarxa corporativa quan es va detectar l’atac.

Els usuaris que es van confondre i van facilitar les credencials han de canviar com més prompte millor la contrasenya.
Si rebeu algun missatge que genere qualsevol dubte, us recomanem que contactes amb el Servei d’Informàtica: 965 90 93 93, soporte@ua.es.
Vicerectorat de Campus i Tecnologia

Intento de phishing suplantando a la UA

 

El miércoles 21 de noviembre se recibió en la UA una oleada de mensajes fraudulentos que intentaba confundir a los usuarios para que facilitasen sus credenciales. En estos casos jamás debe facilitarse ningún dato.

El Servicio de Informática bloqueó la dirección dentro de la red corporativa en cuanto se detectó este ataque.

Aquellos usuarios que se confundieron y facilitaron sus credenciales deben cambiar cuanto antes su contraseña.

Si recibe algún mensaje que genere cualquier tipo de duda, recomendamos que contacte con el Servicio de Informática: 965 90 93 93soporte@ua.es

Vicerrectorado de Campus y Tecnología

Lloc de treball net i equip bloquejat

 

L’Esquema Nacional de Seguretat, regulat pel Reial decret 3/2010, de 8 de gener, determina la política de seguretat que s’ha d’aplicar en la utilització dels mitjans electrònics. Ha de ser aplicat per les administracions públiques per a assegurar l’accés, integritat, disponibilitat, autenticitat, confidencialitat, traçabilitat i conservació de les dades, informacions i serveis utilitzats en mitjans electrònics que gestionen en l’exercici de les seues competències.

Tant l’Esquema Nacional de Seguretat (mesura de protecció mp.eq.1), com la ISO 27002 (A.11.02.09) exigeixen una política de lloc de treball net per al compliment dels estàndards mínims de seguretat TI. A més, una directriu obliga a recordar periòdicament la necessitat de mantenir el lloc de treball net.

La informació i els actius que tenim en la nostra zona de treball estan en un lloc molt vulnerable i poden ser sostrets amb relativa facilitat si no s’adopten una sèrie de mesures fàcils de complir:

1. Adopta una cultura “sense paper”. Minimitza l’ús de paper, tant per una qüestió de seguretat com mediambiental.

2. No deixes damunt de la taula cap document confidencial o amb dades de caràcter personal quan t’absentes lloc de treball. Guarda aquests documents sota clau.

3. No guardes les contrasenyes d’accés en un post-it al costat de la pantalla.

4. A l’hora d’imprimir, retira de la safata d’eixida els documents de forma immediata.

5. Sigues acurat amb els documents que llances a la paperera. Utilitza una destructora si contenen dades confidencials o de caràcter personal.

6. Els dispositius d’emmagatzematge removibles (DVD, memòries USB, discos portàtils) han de tenir un tractament similar al paper: no els deixes damunt del teu lloc de treball si l’abandones, guarda’ls sota clau, no els deixes connectats a l’ordinador quan no estigues present…

7. Configura el protector de pantalla perquè s’active automàticament despre´s d’un període d’inactivitat en l’ordinador (15 minuts).

8. Activa manualment el protector de pantalla si t’absentes del teu lloc de treball.

Infografia: Pautes de seguretat per al lloc de treball.

Cupones de grandes marcas con regalos desagradables

Es habitual, por desgracia, recibir muchos mensajes considerados como SPAM en nuestras cuentas de correo. Algunos de estos, sin embargo, parecen enviados por empresas más o menos conocidas y nos ofertan cupones de descuento, premios, etc. por las causas más diversas. Aunque pensemos que se trata de una oferta publicitaria, detrás está una práctica cada vez más utilizada por los piratas informáticos para conseguir nuestros datos personales, y en algunos casos incluso nuestro dinero. Vamos a ver uno de los ejemplos más comunes y cómo actúan.

Todo empieza por un mensaje a nuestra cuenta. No necesariamente tiene que ser igual al del ejemplo, pero el patrón sí que es similar.

 

Ejemplo de mensaje fraudulento

 

Simplemente observando que se envía desde una cuenta de hotmail debería de ser suficiente para dudar de este mensaje, aunque este detalle también puede trucarse. Después, una dirección abreviada debe de hacernos pensar que la cosa sigue haciéndose más oscura. En cualquier caso, una buena medida preventiva es averiguar qué dirección se encuentra detrás del enlace abreviado. Hay muchas herramientas, pero se puede utilizar esta: https://www.unshorten.it/

Si no tiene nada que ver con la empresa en cuestión, ya sabemos que no debemos de seguir, pero consideremos que somos muy curiosos, y pinchamos (mal, pero es un ejemplo).

 

Ejemplo de mensaje fraudulento

 

Pues parece que sí que es cierto que se trata de una oferta… pero no. En la ventana superior no aparece ningún enlace de la empresa, y además, nos pide un correo, que con toda seguridad ampliará la lista negra de correo para Spam.

La siguiente ventana ya debería ser la definitiva para confirmar que es un timo de manual.

 

Ejemplo de web fraudulenta

 

Si nos piden datos personales, económicos, etc. es ya un claro síntoma de que es un timo (o Scam) de correo electrónico. En estos casos, NUNCA hay que poner este tipo de información, aunque la excusa sea la mejor del mundo (que necesitan los datos para hacer el ingreso, que lo pide la agencia de protección de datos, etc., etc.) En todos los casos, el único motivo es el de conseguir tus datos personales.

 

Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.

Fuente: blogs.protegerse.com

Aprovecha el verano para cuidar tu privacidad y tu seguridad en internet

 

La Agencia Española de Protección de Datos (AEPD) y la OSI han desarrollado una sencilla y didáctica guía sobre “Privacidad y seguridad en internet”.

 

Además han creado videotutoriales para configurar las opciones de privacidad de las principales redes sociales y aplicaciones de mensajería instantánea.

 

Descárgate la guía completa o las fichas individuales en esta dirección: https://www.osi.es/es/guia-de-privacidad-y-seguridad-en-internet

 

Privacidad y seguridad en internet

 

Recomendaciones para un puesto informático seguro

Como sabrás, el pasado fin de semana se produjo un ciberataque a nivel mundial que ha afectado a empresas, administraciones y particulares. Desde el Servicio de Informática hemos elaborado una pequeña guía básica de precauciones a seguir en nuestros hábitos de trabajo para prevenir y minimizar daños en caso de incidente.

Lo puedes consultar en:

https://si.ua.es/es/servicios/seguridad/seguridad-en-el-puesto-de-trabajo-informatico.html
Vicerrectorado de Campus y Tecnología

 

Recomendaciones para un puesto informático seguro

 

 

Nueva medida para evitar la difusión de malware por medio del correo electrónico

Se ha producido un incremento significativo del correo spam que recibimos con ficheros adjuntos que contienen malware.

Para evitar la infección de los dispositivos de nuestros usuarios, se va a proceder a la eliminación automática de los ficheros que tengan extensiones potencialmente peligrosas.

 

Aquellos mensajes en los que el fichero adjunto sea bloqueado, mostrarán la nota informativa que se muestra en la imagen

 

Mensaje de aviso de que ha sido eliminado un fichero adjunto

El usuario que necesite recibir alguno de estos ficheros deberá acordar con el remitente otra vía de intercambio.

Decálogo de seguridad para la navegación web – CCN-CERT

«En una época en la que cualquier usuario accede a su cuenta bancaria, realiza transacciones o compra todo tipo de productos a través de la Web no es de extrañar que los ciberdelincuentes hayan focalizado sus ataques en el navegador Web. Por este motivo, el CCN-CERT ha hecho público un nuevo informe de Buenas Prácticas, CCN-CERT BP-06/16, con el que concienciar al usuario sobre las técnicas más utilizadas por los cibercriminales para realizar ataques a través de los navegadores, al tiempo que se ofrecen recomendaciones de seguridad para paliar estos ataques, así como un conjunto de pautas para mejorar la privacidad durante la navegación Web.

El CCN-CERT BP-06/16 describe los componentes y tecnologías de seguridad del navegador para, a continuación, explicar cómo los cibercriminales pueden explotar sus vulnerabilidades y los tipos de ataque más comunes: ejecución de código dañino a través de exploits, robo de sesiones o ataques con JavaScript. En los últimos apartados se recoge, de manera detallada, recomendaciones de seguridad y privacidad con ejemplos prácticos.

El informe incorpora a modo de conclusión un decálogo de pautas básicas de seguridad en el uso de navegadores Web, que enumera diez medidas que los usuarios pueden aplicar fácilmente, como asegurarse de que el navegador y los plugins estén actualizados, hacer uso de HTTPS (SSL/TLS) frente a HTTP o no almacenar contraseñas de manera predeterminada.»

Recomendaciones para una navegación web segura.

 

Decálogo para una navegación web segura

La web de la UA cambia de http a https

Se cierra ahora el proceso de cambio de la web de la UA, que pasa a estar al 100% bajo el protocolo https.

Las ventajas de usar https se resumen en dos aspectos:

  • Mejorar la seguridad y la privacidad del sitio web.
  • Mejora el posicionamiento del sitio web.

Cuando los datos viajan bajo el protocolo http lo hacen en claro, por lo que serían accesibles en el caso de que alguien interceptase la comunicación. En cambio con el protocolo https los datos viajan cifrados (conexión segura mediante cifrado SSL), por lo que aumenta notablemente la seguridad del sitio.

Los motores de búsqueda valoran positivamente la seguridad de los sitios a la hora de indexar recursos, por lo que una mayor seguridad repercute en un mejor posicionamiento a medio plazo.

 

No cedas tu blog a terceros

La UA pone a disposición de los miembros de la comunidad universitaria la plataforma blogs.ua.es. Regularmente se revisa el contenido de estos blogs para verificar que se cumplen las Condiciones  de uso y con frecuencia se procede al bloqueo de algunos usuarios. El motivo más frecuente para bloquear un blog es el uso con fines comerciales o publicitarios.

Aunque ya lo suponíamos, ahora hemos podido confirmar que algunos usuarios ceden sus blogs a terceros a cambio de un pequeño pago.  Una alumna nos ha facilitado la siguiente propuesta que le ha llegado a través de su perfil en facebook:

«Hola te agradecería si me hicieras este favor, no te demoras un minuto en hacérmelo y te pago u$20.
te cuento, me gusta todo lo relacionado a las paginas web y el SEO. quería escribir un articulo acerca de mi web en la plataforma de blogs de la universidad de alicante, pero como pensaras no soy estudiante alli y para crear un blog necesito confirmarlo con un correo de la universidad.
Quería saber si tu me puedes abrir el blog, lo unico que tu necesitas hacer es confirmar en tu correo universitario que creaste el blog, no es mas . Tu me indicas tu correo de la UA, yo lo pongo aca https://blogs.ua.es/wp-signup.php y tu solo confirmas que te parece?
Acerca del pago te podria enviar el pago por paypal, por western union o como tu quieras.
Lo unico que necesitas hacer es confirmar la creacion del blog y te ganas u$20, asi de sencillo.
Ya he comprado otros blogs y no he tenido ningun problema espero tu respuesta, saludos»

Advertimos a los usuarios de la UA del riesgo extraordinario que entraña ceder su identidad electrónica a terceros. Hasta ahora solo hemos registrado incumplimientos leves de las condiciones de uso, pero podrían darse actuaciones delictivas (divulgación de información falsa  o difamatoria, publicación de pornografía infantil, delitos de amenazas, etc.).

 

Blogs.ua.es

 

 

Informe del CSIRT sobre la seguridad en internet de las cosas

«Cada vez son más los dispositivos conectados a Internet, destacando aquellos que hasta hace poco tiempo no disponían de ningún tipo de conectividad: hoy en día no suena raro que neveras, hornos, lavadoras y lámparas, entre otros muchos objetos cotidianos, tengan conexión a Internet y que puedan ser controlados de forma remota desde la web o desde otros dispositivos.

El crecimiento del número de dispositivos conectados a Internet ha hecho que aumente la preocupación por la seguridad de la información que estos dispositivos puedan manejar. Muchos nos hacemos preguntas  como, ¿hasta qué punto está nuestra información expuesta en Internet? ¿Quién puede tener acceso a este tipo de dispositivos conectados en una red? ¿De qué manera podrían acceder a ella? ¿Puedo tomar alguna medida para no exponer la información de la que dispone mi dispositivo? A estas y otras muchas preguntas, el equipo de CSIRT-CV intenta responder en el informe que hoy publicamos.»

Seguridad en internet de las cosas. Estado del arte (CSIRT, 41 págs., 1524 KB).

 

Seguridad en internet de las cosas

Uso seguro de la banca electrónica

La Oficina de Seguridad del Internauta continúa publicando excelentes materiales enfocados al usuario. La seguridad en el manejo de las nuevas tecnologías no es una cuestión técnica, sino que requiere que los usuarios mantengan una actitud proactiva y de permanente atención.

Con estos consejos básicos es improbable convertirse en víctima de situaciones como esta: Un caso de phising muy elaborado.

 

Uso seguro de la banca electrónica

 

Consejos para un uso seguro de la banca electrónica, 5/9/2014.

 

Un caso de phising muy elaborado

Recientemente, un compañero comentó que su banco habitual le hacía unas preguntas muy extrañas, solicitándole una serie de datos que nunca antes le había pedido. La recomendación inicial fue que no diera ningún dato, ya que se debía de tratar de un caso de phising. Este compañero aseguraba que no debía ser un ataque de phising, ya que seguía el consejo de localizar el enlace correcto en un buscador, no pinchando en los enlaces que vienen en los correos.

Le pedí que volviera a realizar dicha búsqueda para analizar si  era un intento de phising o no. Continue reading “Un caso de phising muy elaborado”

Gestión y uso de dispositivos móviles en administraciones públicas

El Centro Criptológico Nacional ha editado la Guía de seguridad (CCN-STIC 827) “Esquema Nacional de Seguridad – Gestión y uso de dispositivos móviles” (64 pp., PDF, 1077 KB).

CCN-CERT

«El objetivo de esta Guía es ayudar a los organismos en la gestión segura de los dispositivos móviles desplegados en la organización o que puedan ser usados para acceder a recursos, informaciones o servicios de la organización. Incluye, por tanto, a los dispositivos móviles propiedad de la organización, como aquellos otros, propiedad de los usuarios (comportamiento conocido como BYOD), y en ambos casos para el desempeño total o parcial de las labores de los usuarios en relación con sus competencias profesionales en el seno del organismo de que se trate.»

Se presta especial atención a los riesgos derivados de la movilidad, el uso de dispositivos no-confiables, el uso de redes inseguras, el uso de aplicaciones no-confiables, la interconexión con otros sistemas, el uso de contenidos no-confiables y el uso de servicios de localización.