Informática & Derecho WikiBlog

ISO/IEC TS 27110:2021. Tecnología de la información, ciberseguridad y protección de la privacidad - Directrices para el desarrollo del marco de ciberseguridad

Prólogo


La ISO (Organización Internacional de Normalización) y la CEI (Comisión Electrotécnica Internacional) forman el sistema especializado de normalización mundial. Los organismos nacionales miembros de la ISO o la CEI participan en la elaboración de las normas internacionales a través de los comités técnicos establecidos por la organización respectiva para ocuparse de determinados campos de actividad técnica. Los comités técnicos de la ISO y la CEI colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con la ISO y la CEI, también participan en los trabajos.


Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, cabe destacar los diferentes criterios de aprobación necesarios para los distintos tipos de documentos. Este documento se ha redactado de acuerdo con las normas de redacción de las Directivas ISO/IEC, Parte 2 (véase www.iso.org/directives).


Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO y la CEI no se responsabilizan de la identificación de ninguno o de todos esos derechos de patente. Los detalles de cualquier derecho de patente identificado durante el desarrollo del documento aparecerán en la Introducción y/o en la lista ISO de declaraciones de patentes recibidas (véase www.iso.org/patents) o en la lista IEC de declaraciones de patentes recibidas (véase patents.iec.ch).

Continuar leyendo
  2928 Hits

¿Pagar ransomware es la peor estrategia?

Dada la enorme presión que la pandemia ha ejercido sobre los proveedores de servicios, los ataques cibernéticos han aumentado considerablemente, siendo el ransomware una forma de ataque particularmente popular. De hecho, se estimó que el 51% de las empresas fueron atacadas por ransomware en 2020, con un costo global de alrededor de $ 20 mil millones.

De hecho, como ilustran los investigadores de la Cambridge Judge Business School, con la tasa de condenas por delitos cibernéticos tan baja, los ataques de ransomware son asuntos de riesgo bastante bajo, lo que quizás explique por qué más de una cuarta parte de las víctimas pagan para recuperar sus sistemas o datos. En muchos casos, este es en realidad el curso de acción recomendado por las empresas de ciberseguros.

Tal vez no sea sorprendente que las raras ocasiones en las que los delincuentes de ransomware son realmente procesados ​​se conviertan en eventos tan notables, como en 2019 , cuando un ciberdelincuente nigeriano fue procesado en los Estados Unidos, o el reciente enjuiciamiento por parte de funcionarios franceses y ucranianos de los atacantes de ransomware Egregor .

Continuar leyendo
  3065 Hits

Ransomware en cifras: reevaluación del impacto global de la amenaza

Kaspersky ha estado siguiendo el panorama del ransomware durante años. En el pasado, hemos publicado informes anuales sobre el tema: ransomware de PC en 2014-2016 , ransomware en 2016-2017 y ransomware y cripto mineros maliciosos en 2016-2018 . De hecho, en 2019, elegimos el ransomware como la historia del año , al notar que la conocida amenaza estaba cambiando su atención hacia los municipios. En la década de 2010, con campañas como WannaCry y NotPetya, el ransomware se convirtió en la principal noticia. Sin embargo, a partir de 2018, comenzamos a notar algo más: las estadísticas para el número total de detecciones de ransomware estaban en un fuerte descenso. ¿Que estaba pasando? ¿Era el ransomware, de hecho, una especie de malware en vías de extinción?

Para cualquiera que esté siguiendo las noticias en la comunidad de seguridad de la información, esto parecía poco probable. En 2019 y 2020, las historias de ataques de ransomware aparecieron en los titulares de primera plana, desde Maze atacando a LG hasta el infame grupo APT Lazarus que agregó ransomware a su arsenal. Solo en los Estados Unidos en 2020, el ransomware afectó a más de 2,300 entidades gubernamentales, centros de salud y escuelas, según la compañía de seguridad Emsisoft .

Continuar leyendo
  2655 Hits

Prueba digital en el juicio laboral.

El 20 de diciembre de 2020, a partir del Decreto N° 297/2020, dictado por el Poder Ejecutivo Nacional (“Aislamiento Social Preventivo y Obligatorio”, en adelante “ASPyO”), podría pensarse como un punto de inflexión en nuestra forma de vida y, sobre todo, en nuestra forma de trabajar.

 

En el ámbito del derecho, nos vimos obligados a “aggionarnos” y a intentar promover un cambio de mentalidad sobre la manera de interactuar entre empleadores y empleados (ya no desde lo “presencial” sino desde lo “virtual”) para prevenir situaciones de conflicto entre las partes en un contexto de incertidumbre.

 

Específicamente, en el fuero del trabajo, donde prima el orden público laboral, y frente a los principios protectorio, de irrenunciabilidad, continuidad de la relación laboral y demás presunciones legales establecidas en favor de los empleados, es recomendable aprender a utilizar la tecnología para evitar contingencias.

Continuar leyendo
  2281 Hits

La ley de Virginia prohíbe el uso de la tecnología de reconocimiento facial por parte de la policía local

El estado de Virginia promulgó recientemente una  ley prohibir que los departamentos de policía locales y los departamentos de policía del campus utilicen tecnología de reconocimiento facial. La tecnología de reconocimiento facial se define como un "sistema electrónico para registrar, capturar, extraer, comparar y hacer coincidir los datos faciales geométricos de una persona para identificar a las personas en fotos, videos o en tiempo real". La ley establece que ninguna agencia local de aplicación de la ley debe comprar o implementar tecnología de reconocimiento facial a menos que dicha compra o implementación de dicha tecnología esté expresamente autorizada por ley. La ley establece además que dicho estatuto requerirá que cualquier tecnología de reconocimiento facial comprada o implementada por la agencia local de aplicación de la ley se mantenga bajo el control exclusivo de dicha agencia local de aplicación de la ley y que cualquier dato contenido por dicha tecnología de reconocimiento facial se mantenga confidencial. ,no se divulgará ni revenderá, y será accesible únicamente mediante una orden de registro.

Continuar leyendo
  2342 Hits

Las 10 Claves del Éxito (en la ciberseguridad doméstica)

Cada día que pasa son más las corporaciones, pymes o administraciones públicas que sufren un ciberataque en su red de datos, en el mejor de los casos la empresa se queda sin poder operar durante unas horas o días, en el peor, los datos nunca van a poder ser recuperados y la empresa desaparecerá. ACTUALIZACIÓN: Comencé a escribir este artículo el domingo 18 de abril, hoy es sábado 24 de abril, durante esta semana en España se han producido al menos cinco ciberataques graves contra empresas privadas y administraciones públicas, prácticamente un ataque por día. De ahí la importancia de aplicar políticas de ciberseguridad en nuestras redes, será caro hacerlo (que tampoco lo es tanto), pero mas caro es no hacerlo.

En este artículo no os voy a contar como protegeros de un WannaCry, NotPetya, Ryuk, Cobalt Strike, Mirai y del resto de animales del zoológico ciber o quizás sí, tampoco os voy a decir que instaléis un antivirus, me imagino que ya lo habéis hecho. Es cierto que podemos englobar los ciberataques actuales en dos grandes bloques, las APT (Amenazas Persistentes Avanzadas), es decir, un ataque en el que se su objetivo se centra en una única empresa o corporación y hasta que no lo consiga, no parará, por suerte no son los más comunes. El segundo tipo de ciberataque son los del tipo indiscriminado, es decir, un grupo de cibercriminales lanza su ataque de forma global a miles de usuarios sabiendo que un pequeño porcentaje de ellos se convertirá en víctimas, estos si son los más habituales hoy en día.

Continuar leyendo
  3602 Hits

12 herramientas gratuitas en línea para analizar las vulnerabilidades y el malware de seguridad de sitios web

Una de las charlas más populares en tecnologías de la información es la seguridad web. Hoy en día existen cientos de vulnerabilidades web, y por debajo de algunas de las más comunes.

 

edgescan-report

 

A menudo prestamos atención al diseño de sitios web, SEO, contenido y subestimamos el área de seguridad. Como propietario de un sitio web, la seguridad web debe tener más importancia que cualquier otra cosa.

 

Hubo muchas preguntas sobre cómo escanear para la seguridad del sitio web, vulnerabilidades de las aplicaciones móviles, así que aquí tienes. Este artículo enumerará algunas de las mejores herramientas para escanear su sitio en busca de vulnerabilidades de seguridad, el malwarey amenazas en línea.

Continuar leyendo
  3177 Hits

La gran semana contra la IA sesgada: la UE y EEUU empiezan a regular

La Unión Europea ha publicado su tan esperado conjunto de regulaciones sobre inteligencia artificial, con restricciones sobre la vigilancia masiva y la manipulación. Por su parte, la FTC ha anunciado que empezará a perseguir a las empresas que utilicen y vendan algoritmos sesgados.

Está siendo una semana extraordinaria para el rechazo gubernamental al mal uso de la inteligencia artificial (IA). El miércoles, la Unión Europea (UE) publicó su tan esperado conjunto de regulaciones sobre la IA, cuyo primer borrador se filtró la semana pasada. Se trata de un reglamento es amplio, con restricciones sobre la vigilancia masiva y el uso de IA para manipular a las personas.

Pero la declaración de intenciones de la Comisión Federal de Comercio de Estados Unidos (FTC, por sus siglas en inglés), descrita el 19 de abril en una breve publicación de blog de la abogada Elisa Jillson, podría tener más impacto en el futuro inmediato. Según la publicación, la FTC planea perseguir a las empresas que utilicen y vendan los algoritmos sesgados.

Puede que la noticia haya puesto nerviosas a varias empresas, opina el profesor de la Universidad de Washington (EE. UU.) Ryan Calo, especializado en tecnología y derecho. Y afirma: "En realidad, no es solo esta publicación de blog, es un ejemplo muy claro de lo que parece ser un cambio radical".

Continuar leyendo
  2352 Hits

¿Qué es un ataque Man-In-The-Disk?

 

Así es como ha bautizado Check Point a este tipo de ataque, inspirado en Man-In-The-Middle, un tipo de ataque en el que un proceso malicioso se coloca en medio de la comunicación, interceptando todos los datos. Aquí el atacante no se coloca realmente en medio, sino en el disco, donde espera pacientemente la oportunidad para llevar a cabo el ataque, y de ahí el nombre.

El concepto es en realidad bastante sencillo. Según los permisos de Android, una aplicación puede acceder al almacenamiento externo después de que le otorgues el permiso apropiado, y una vez le has otorgado ese permiso, es barra libre. En el almacenamiento no hay distinción entre los datos que han sido guardados por una app y los de otra, como sí sucede en el almacenamiento interno.

Mitd2

 

Este tipo de ataque implica que una aplicación de apariencia ofensiva logre engañarte para que le otorgues acceso al almacenamiento externo. Esto realmente no es complicado, pues es necesario otorgarlo por ejemplo para leer las fotos del móvil y en ocasiones lo otorgamos casi sin querer. Después, la app se quedaría a la espera de poder modificar datos en el almacenamiento externo.

Continuar leyendo
  2594 Hits

Bug de Whatsapp vulnerable a ataques Man in the Disk

WhatsApp ha tenido que abordar recientemente dos vulnerabilidades que afectaban a su aplicación para Android. Podrían haber sido explotadas para ejecutar código malicioso de forma remota e incluso comprometer las comunicaciones cifradas. Este bug afecta a los dispositivos que utilizan versiones de Android iguales o inferiores a la 9 , llevando a cabo lo que se conoce como un ataque  «Man in the disk«. Este tipo de ataque comparte similitudes con la conocido «Man in the middle«, habiendo ciertas diferencias entre ellos.

Entonces, ¿Qué es un ataque man in the disk?

Lo primero que se debe saber es que Android cuenta un almacenamiento compartido llamado “Almacenamiento externo”. Una aplicación debe solicitar permiso al usuario para acceder a este almacenamiento. Estos privilegios no se suelen considerar como peligrosos y casi todas las aplicaciones los solicitan.
Sin embargo, el hecho de que se comparta esta zona de almacenamiento entre las aplicaciones podría ser útil para el atacante.

Continuar leyendo
  2892 Hits

Vulnerabilidades one-click detectadas (VLC y Telegram entre algunas otras)

Fabian Bräunlein y Lukas Euler han descubierto mútliples vulnerabilidades one-click en aplicaciones de escritorio. Afectadas VLC, Telegram o Mumble entre otras.

diagrama de flujo del manejo de una URI
Flujo del manejo de una URI. Fuente Positive Security

A diferencia de una vulnerabilidad zero-click, en este caso se trata de múltiples vulnerabilidades one-click. Esto quiere decir que se necesita la interacción del usuario para que se produzca la explotación.

La falta de validación de las entradas de usuarios es causa común de estas vulnerabilidades. La gestión de URLs por parte de las aplicaciones hace que estas sean interpretadas finalmente por el sistema operativo. Al no estar suficientemente validadas esto provoca que la ejecución arbitraria de código sea posible.

La metodología para estudiar estas vulnerabilidades one-click varía según el SO y el tipo de aplicación. A continuación podemos ver un esquema del proceso seguido por los investigadores.

Continuar leyendo
  2201 Hits

Cómo el FBI finalmente se metió en el iPhone del tirador de San Bernardino

La administración Biden avanza en una lista cada vez mayor de iniciativas políticas, la Casa Blanca emitió sanciones esta semana por una serie de fechorías rusas, incluida la interferencia en las elecciones de 2020, el envenenamiento del disidente Aleksey Navalny y la ola de piratería de SolarWinds que barrió al gobierno de los Estados Unidos. agencias y muchas empresas del sector privado. Sin embargo, el movimiento de represalia es complicado cuando se trata de SolarWinds , porque comprendía el tipo de operación de espionaje que normalmente caería dentro de las normas geopolíticas.

iphone 5c
Fotografía: Stephan Lam / Alamy

En otras partes del gobierno de EE. UU., El Departamento de Justicia tomó un paso drástico esta semana para detener una ola de piratería china al autorizar al FBI a obtener una orden judicial y luego eliminar directamente la infraestructura de piratería de los atacantes de los sistemas internos de cientos de víctimas. Muchos en la comunidad de seguridad elogiaron el esfuerzo, pero la medida también avivó cierta controversia dado el precedente que podría sentar para futuras acciones del gobierno de los Estados Unidos que podrían ser más invasivas.

Continuar leyendo
  2860 Hits

Ciberincidentes: lineamientos para respuesta y recuperación - Comunicación A7266

 

El Banco Central de la República Argentina (BCRA) estableció una serie de lineamientos para la respuesta y recuperación ante ciberincidentes con el fin de limitar los riesgos en la estabilidad financiera e impulsar la ciberresiliencia del ecosistema en su conjunto, en línea con las recomendaciones del Consejo de Estabilidad Financiera (FSB, por su siglas en inglés) incluidas en el trabajo Prácticas efectivas para la respuesta y recuperación ante incidentes cibernéticos, informe final.

 

Estos lineamientos están dirigidos a entidades financieras, proveedores de servicios de pago que ofrecen cuentas de pago e infraestructuras del mercado financiero. Sin embargo, por su carácter general, pueden ser también adoptados por cualquier institución del sistema financiero, proveedores de servicios de tecnología informática y de comunicación, entre otros.

Continuar leyendo
  2955 Hits

Cuatro formas de adelantarse a la curva de fraude de IA

Sesión sobre deepfakes en la Reunión Anual del Foro Económico Mundial 2020 en Davos, Suiza. El columnista de hoy, Robert Prigge de Jumio, ofrece cuatro formas de bloquear el fraude de IA, comenzando con la identificación de deepfakes. WorldEconomicForum CreativeCommons Crédito: CC BY-NC-SA 2.0

 

A medida que las organizaciones han adoptado IA para minimizar su superficie de ataque y frustrar el fraude, los ciberdelincuentes también utilizan IA para automatizar sus ataques a gran escala. El nuevo mundo virtual impulsado por la pandemia de COVID-19 ha brindado a los malos actores la oportunidad perfecta para acceder a las cuentas de los consumidores al aprovechar la inteligencia artificial y los bots para cometer fraude como nunca antes.

Continuar leyendo
  2834 Hits

Padrón con datos biométricos es un riesgo latente: INAI (México)

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) advirtió que el Padrón Nacional de usuarios de Telefonía Móvil (PANAUT) con datos biométricos es un riesgo latente para la protección de datos personales.

Tras la aprobación en el Senado de la minuta que crea el PANAUT, el INAI considera imprescindible limitar al máximo la recolección de datos biométricos que pudieran revelar información sensible de las personas, así como obtener y utilizar únicamente los que sean necesarios, adecuados y no excesivos para las finalidades con las que serán recabados.

foro jurídico padrón de telefonía móvil

Continuar leyendo
  2383 Hits

El FBI hackeó los servidores Microsoft Exchange de diversas empresas para protegerlas de los cibercriminales.

El Buró Federal de Investigaciones de E.U. (FBI) recibió recientemente una autorización legal para eliminar los shells web de múltiples servidores Micrsoft Exchange comprometidos por un grupo de actores de amenazas identificados como HAFNIUM, todo esto sin tener que esperar la aprobación de las organizaciones comprometidas. Este riesgo de seguridad fue eliminado en una serie de actualizaciones lanzadas por Microsoft a inicios del mes de marzo.

 

Las fallas corregidas fueron identificadas como ProxyLogon y habían sido explotadas por los hackers a inicios de 2021 para instalar software malicioso en los servidores de Exchange afectados. Los shells web instalados brindaban a los atacantes acceso remoto a los servidores, lo que permitía extraer información confidencial.

Continuar leyendo
  2837 Hits

Los sistemas de la compañía de seguros afectados por una violación cibernética

Compañía de seguros

Un ciberataque golpeó las redes informáticas en Pan-American Life Insurance Group, con sede en Nueva Orleans, el mes pasado, paralizando las comunicaciones desde entonces, según un informe de The Times-Picayune.

La situación ha dejado a los asegurados con solo un correo electrónico de emergencia y un servicio telefónico para preguntar sobre su salud y otros beneficios.

En un comunicado, la aseguradora dijo que desconectó sus sistemas después de detectar actividad sospechosa y solicitó la ayuda de expertos para investigar la brecha de seguridad y hacer que sus sistemas vuelvan a funcionar.

"Tomamos la seguridad de los datos que mantenemos con el mayor grado de seriedad y nuestra investigación está en curso", dijo la compañía en un comunicado obtenido por The Times-Picayune. "Tomaremos los pasos apropiados una vez que tengamos información suficiente y significativa para permitir esos pasos".

Continuar leyendo
  2315 Hits

Poder Judicial automatiza la emisión de copias certificadas de resoluciones firmadas digitalmente.

Justicia Córdoba Estamos más Cerca 2021 04 14 11.54.52 01
Justicia Córdoba Estamos más Cerca 2021 04 14 11.55.22 02

El Sistema de Administración de Causas ya cuenta con su propio certificado de firma digital. Los PDF Certificados de documentos firmados por los tribunales podrán presentarse ante terceros.

El Sistema de Administración de Causas (SAC) del Poder Judicial de Córdoba ya dispone de su propio certificado de firma digital, expedido por la autoridad de registro AR Central, la misma que otorga los certificados actualmente vigentes a magistrados y funcionarios judiciales. De esta manera, todos los operadores podrán obtener un PDF Certificado, emitido por el mismo SAC, de todas las resoluciones, autos, sentencias o actuaciones, en general, que hayan sido previamente suscritas con firma digital en el SAC. Estas copias digitales certificadas se emiten para ser presentadas ante terceros.

Los PDF Certificados emitidos por el Poder Judicial de Córdoba cuentan con todas las garantías que las leyes otorgan a los documentos firmados con firma digital:

• Autenticidad: El documento ha sido obtenido desde SAC con todas las medidas de seguridad necesarias.
• Integridad: Desde la obtención del documento no se han producido alteraciones al mismo.
• No repudio: Se puede garantizar el origen del documento y su autoría. Es susceptible de verificación ante terceros.

El certificado ha sido emitido por la Autoridad Certificante De Firma Digital (Subsecretaría De Tecnologías De Gestión, Secretaría De Gestión) para el Sistema De Administración De Causas – Justicia Córdoba.

En el siguiente enlace encontrará una guía para la validación de un documento PDF Certificado por SAC.: https://www.justiciacordoba.gob.ar/PortalEE/Pages/FirmaDigital.aspx

 
 
 
 
 
 

  2470 Hits

'Tenemos tu colección de porno': la nueva forma de extorsión favorita en Internet

Se cuelan en tu equipo y buscan cualquier contenido comprometedor para luego extorsionarte, siendo la pornografía su principal objetivo

'Tenemos tu colección de porno': la nueva forma de extorsión favorita en Internet

Lo que cada uno haga en su vida privada sólo le importa a dicha persona, siempre y cuando no se rompa ninguna ley. Y del ámbito privado, la sexualidad puede que sea una de las partes más privadas que existe.

De ahí que muchos hackers estén intentando chantajear a altos ejecutivos por sus hábitos de consumo de pornografía online. O pagas o nos chivamos de lo que has estado viendo en tus momentos de intimidad.

Continuar leyendo
  3420 Hits

Deepfakes, el fin de la realidad?

La izquierda quería transformar la realidad. La tecnología ha ayudado a burlarla. La inteligencia artificial ha permitido que un político de la India hable idiomas que no habla, ha conducido a la creación de videos pornográficos falsos de celebridades mundiales y hasta ha colaborado a que en Gabón (donde se dio por enfermo al presidente) se produzca un fallido golpe de estado. A través de los deepfakes, Internet está diseminando una nueva amenaza fantasma: que, a través de la imitación de rostros y sonidos de las personas, nunca más sepamos qué es verdad. La realidad está siendo hackeada.

El fin de la realidad  ¿Qué son los «deepfakes»?

En menos de seis años, el desarrollo de la inteligencia artificial puso a disposición de casi cualquiera la posibilidad de crear imágenes falsas indistinguibles de la realidad. Del negocio del porno a un golpe de Estado en Gabón, la internet está diseminando una nueva amenaza fantasma: que nunca más sepamos qué es verdad.

Continuar leyendo
  3336 Hits

Aporte reciente al blog

10 Febrero 2024
  Un nuevo método de estafa está proliferando a través de WhatsApp, llegando al punto de poner en alerta a las autoridades, que advierten de su peligro a los usuarios. En este caso se trata de las llamadas desde números desconocidos extranjeros, los ...
16 Noviembre 2023
PORTAL UNICO “DOCUEST” Y "PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS” Fecha de sanción 03-11-2023 Publicada en el Boletín Nacional del 07-Nov-2023 Resumen: APROBAR LA IMPLEMENTACION DEL PORTAL UNICO “DOCUEST” Y EL “PROCEDIMIENTO PARA LA C...

Suscribirme al Blog:

Novedades

El Dr. Dalmacio Vélez Sársfield asiste a una clase por zoom (test). Deepfake en un ciberjuicio o audiencia usando IA. Los riesgos cibernéticos derivados del uso de las nuevas tecnología dentro de un proceso judicial y la necesidad de incorporar seguros de riesgos cibernéticos a las organizaciones que brindan servicios públicos esenciales. Click para ver el video.
 

Buscar
Red Social de Informática & Derecho - Algunos derechos reservados © 2007-2024. Vías de contacto: