30 ene 2011

Phishing a Banamex

Se esta dando una nueva campaña de spam que en esta ocasión va dirigida a los clientes del Banco Nacional de México (Banamex).

El mensaje es el siguiente:

Estimado Cliente de Banamex,

Banamex le informa que se han hecho cambios en el esquema de autentificación Netkey.
Por ello, es necesario sincronizar su dispositivo Netkey. Es necesario realizar esto solamente una vez, simplemente fírmese en su cuenta y el sistema sincronizara su clave automáticamente.
Este cambio ha sido realizado, para ofrecerle un esquema de seguridad adicional al ya disponible, recuerda que esta sincronización NO AFECTA de ninguna manera tus Saldos u Operaciones.

Para personas:

Si usted no ha ingresado a su cuenta en la ultima hora, es necesario que usted sincronice su Netkey Banamex, de lo contrario, su Usuario será suspendido y tendrá que acudir a la sucursal de apertura de su cuenta para reactivar su acceso.

El texto es plano, sin ninguna imagen e incluya una liga cuyo destino es completamente diferente al del banco.

Como siempre les recordamos estar muy atentos a este tipo de correos cuya única finalidad es robar los datos de los usuarios incautos.
Mantengan sus antivirus actualizados

Se encuentra vulnerabilidad en archivos .zip, .7zip, rar

Una serie de vulnerabilidades permitirían esconder malware en formatos de archivos .zip, .7zip, .rar, .cab y .gzip que los productos antivirus no detectarían.

Investigadores de seguridad han descubierto fallas en formatos de archivo comunes, incluidos los .zip, que se pueden utilizar para pasar malware a los equipos evitando la detección de los antivirus.

Ocho fueron las vulnerabilidades encontradas en el formato .zip, soportado por Microsoft Office, además de otras siete en los formatos de archivo .7zip, .rar, .cab y .gzip. Al menos es lo que confirmó Mario Vuksan, presidente de ReversingLabs durante la conferencia Black Hat que esta semana se celebra en Barcelona.

Las vulnerabilidades podrían utilizarse por parte de los atacantes para esconder malware que podría superar al software antivirus a través de un adjunto de correo electrónico para comprometer una PC. Según Mario Vuksan, los archivos pasan a través de Gmail o Hotmail porque son formatos de confianza y los “antivirus no pueden ver el malware escondido, que se adhiere al sistema una vez que el archivo es abierto”.

Vuksan también afirma haber informado a los vendedores de seguridad respecto a los agujeros para que actualicen sus productos y no sean vulnerables a los ataques. Por otra parte, junto con sus colegas en la investigación, presentaron una herramienta llamada NyxEngine que las compañías pueden utilizar para explorar los archivos de la red en busca de atributos sospechosos que pudieran indicar si hay malware escondido.


19 ene 2011

Factura Electrónica en México 2011

Lineamientos para el 2011

Puntos interesantes a considerar para quienes tienen duda de la Factura Electrónica
  • Todos los contribuyentes podrán seguir usando durante 2011 facturas impresas por imprentas certificadas, mientras dure la vigencia de sus folios.
  • Si en  2010
    • Si el contribuyente opto por el esquema 2010 (CFD),
      • Y lo hace por medios propios, podrá seguir durante todo 2011.
      • Si lo hace a través de terceros, podrá hacerlo hasta el 30 de junio de 2011.
  • A partir de enero 2011:
    • Es obligatoria la Facturación Electrónica (CFDI).

¿Qué es una Factura Electrónica?

Es un mecanismo alternativo de comprobación de ingresos, egresos y propiedad de mercancías en traslado por medios electrónicos. Es una solución tecnológica al alcance de la mayoría de los contribuyentes sin importar su tamaño. Utiliza tecnología 100% digital en su generación, procesamiento, transmisión y almacenamiento de datos. Definición del SAT

Características

  • Íntegra. Garantiza que la información contenida está protegida y no puede ser alterada.
  • Auténtica. Permite verificar la identidad del emisor y del receptor del documento.
  • Verificable. Gracias al uso de folios registrados, cadenas originales de datos y sellos digitales, el emisor no podrá negar la generación del documento.
  • Única. Cada folio, su número de aprobación y la vigencia del certificado de sello digital con que se selló el documento, pueden validarse contra el informe mensual e información publicada por el SAT en Internet.

Diferencias con la factura tradicional en papel

  • Seguridad. La Factura Electrónica cuenta con elementos superiores de seguridad.
  • Versatilidad. A diferencia de las facturas tradicionales de papel, las Factura Electrónica son creadas, enviadas y almacenadas por medios electrónicos y opcionalmente se pueden imprimir.
  • Legalidad. Los folios y series en las Factura Electrónica, los proporciona el SAT o terceros certificados de manera digital.
  • Flexibilidad. En las Factura Electrónica, aún cuando sean cientos de partidas por facturar a un mismo cliente, se utiliza sólo un folio.
  • Legibilidad. En las Factura Electrónica, el sello digital sustituye a la cédula fiscal del contribuyente, elemento a veces no muy legible.

Quienes inicien en 2011

Facturación con CBB

Se crea una nueva clasificación de contribuyentes. Aquellos cuya facturación no excede de los 4 millones de pesos anuales.
Este grupo de contribuyentes podrá utilizar facturas impresas de la forma siguiente: Utilizando su FIEL, solicitarán al SAT permiso para imprimir sus facturas, el SAT les enviará sus folios y un Código de Barras Bidimensional (CBB), que usarán para sellar las facturas que imprimirán.
Pasos:
  1. Tramitar la FIEL
  2. Registrarse en el SAT bajo este esquema
  3. El SAT Envía folios y CBB
  4. El Contribuyente imprime sus propias facturas.
Facturación con CBB (Código de Barras Bidimensional)
Requerimientos para la emisión de Comprobantes Fiscales Impresos con CBB :
  • Clave CIEC.
  • Fiel vigente
  • Solicitar aprobación de folios vía internet
  • Incorporar Código de Barras Bidimensional (CBB)
  • Impresión de los comprobantes por medios propios del contribuyente o bien a través de un tercero.

Facturación con CDFI

Los contribuyentes que facturan más de 4 millones de pesos anuales.
Deberán adoptar el esquema 2011 (CFDI) que incluye el concepto de timbre o sello fiscal digital, que se obtendrá a través de un Proveedor Autorizado de Certificación (PAC).
Pasos:
  1. Registrarse en el SAT bajo este esquema
  2. El SAT proporcionará un certificado de sellos digitales
  3. Contribuyente genera factura y la envía a un Proveedor Autorizado de Certificación (PAC)
  4. PAC valida, certifica, asigna folio e incorpora sello
  5. El PAC devuelve factura selladas al emisor
  6. Emisor envía factura al destinatario
Requisitos para emitir facturas electrónicas con CFDI.
  • Contar con Firma Electrónica Avanzada vigente (FIEL).
  • Tramitar al menos un Certificado de Sello Digital.
  • Contar con un sistema informático para la generación de las Facturas  Electrónicas 2011.
  • Enviar a validar las facturas electrónicas al Proveedor Autorizado de Certificación.
El documento válido es el .XML cuando se emite Factura electrónica, si les entregan el .PDF o bien impreso no es valido ante el SAT para quienes emiten factura electrónica
Recomendaciones para la facturación electrónica contar con un sistema robusto para evitar fallas así como respaldo de la información ya que el SAT solo necesitará los archivos electrónicos.
Información de la nota:
Microsip
Multicomp
SAT http://www.sat.gob.mx/sitio_internet/asistencia_contribuyente/principiantes/comprobantes_fiscales/66_19212.html

18 ene 2011

Falla de seguridad en accesos a nómina de Sistema de Salud en Nuevo León

Revisión al sistema de la dependencia revela vulnerabilidades

Una de las fallas cometidas más comúnmente en las empresas es el uso de un usuario y un solo password (muchas de las veces muy sencillo) para utilizar un sistema o acceso a información por varias personas.
Ejemplo:
Usuario: Ventas
Password: 1234
Este usuario se le otorga a 5 gentes las cuales tienen permiso de administración para el sistema, con esto pueden tener control completo del sistema además de que quien haya hecho alguna modificación o bien cometido algún error no podrá ser detectado ya que al final pudo ser cualquiera de los 5 usuarios.
Algo similar pasa en el sistema de Nominas de pago por honorarios en Servicios de Salud de Nuevo León
Esta es la nota publicada por el periódico El Norte
Por César Cepeda
Monterrey,  México (17 enero 2011).- El sistema de nómina de pago por honorarios de Servicios de Salud de Nuevo León está caduco y carece de controles y candados para evitar que sea manipulado, concluyó la auditoría a recursos humanos que realizó la Contraloría del Estado.
De acuerdo con los resultados preliminares de esta revisión, el sistema que utilizan los funcionarios de la Secretaría de Salud para el pago de honorarios profesionales y honorarios asimilados a salarios es vulnerable por la falta de claves personalizadas de acceso.
"El sistema utilizado para el manejo de nómina de honorarios estatal (profesionales y asimilados) fue desarrollado desde hace más de 10 años por el personal de los Servicios de Salud de Nuevo León, el cual carece de candados y claves personalizadas de acceso.
"Las 5 capturistas trabajan en el mismo equipo (de cómputo) y utilizan la misma clave de acceso.
"Las jefas de departamento de operación y de sistematización de pago y la analista de la nómina estatal pueden ingresar a la red y vía remota a dicha computadora con las mismas claves", establece el documento del cual EL NORTE tiene una copia.
El reporte también informa de otras fallas que los auditores hallaron en su revisión del manejo de la nómina y del proceso de altas y bajas de personal que realizan los funcionarios del área de recursos humanos de la Secretaría de Salud, que encabeza Jesús Zacarías Villarreal Pérez.
Estas conclusiones aparecen en una acta de presentación de resultados preliminares, con fecha del 29 de diciembre del 2010, que realizó la Contraloría y Transparencia Gubernamental dentro del proceso de auditoría CTG-AS-10-011.
Este proceso inició a raíz de las irregularidades detectadas en el área de recursos humanos de la Secretaría de Salud.
El documento fue firmado por parte de la dependencia por Alfredo Ortiz Caballero, responsable de la Subdirección de Recursos Humanos, y por Héctor Gregorio Alonso Salinas y Virginia Yaneth Balderas Medina, por el grupo de auditores estatales que llevan a cabo este proceso de investigación.
El 15 de diciembre, autoridades estatales, como parte de una investigación iniciada por la Contraloría, detuvieron a dos personas a las que vinculan con una red delictiva que operaba de manera fraudulenta en la nómina por honorarios del organismo descentralizado Servicios de Salud de Nuevo León.

Como corregir este problema

  • Asignar a cada persona que tenga acceso a una computadora un usuario y password
  • Usar un password seguro. Recomendamos lean la siguiente nota Como crear un password seguro
  • Cambiar de password al menos cada 90 días
No pensemos que esto no pasa en nuestra empresa o que es fácil resolverlo. Un problema de seguridad siempre acarrea perdidas importantes ya sea de información o de dinero.

5 ene 2011

La muerte de Rodrigo Medina en Twitter un problema de seguridad informática

Mensaje de Telediariomty
Sufre Multimedios Televisión ataque a su cuenta de Twitter
Esta tarde la cuenta de twiiter de Multimedios Televisión @telediariomty fue hackeada y envío mensajes sobre un supuesto atentado y muerte del gobernador de Nuevo León Rodrigo Medina.

Esta parece ser clara una falla de seguridad en sus passwords, aunque menciona la cuenta @desdelarisca que pudo ser alguien que trabaja en Multimedios (interno) quien tuvo acceso, es claro que no están utilizando passwords seguros o bien dejaron la máquina abierta y desde ahí se pudieron enviar los mensajes. 
Desde nuestro punto de vista la falla pudo comenzar por un mal uso de passwords y esto es muy frecuente cuando no existe un conmunity manager o una persona especifica que maneje las redes sociales que tenga la responsabilidad de la empresa u organización, además de un departamento de sistemas que tenga conocimiento de seguridad.
Imagen proporcionada por www.regioblogs.com agradecemos su ayuda para esta nota


Recomendaciones
  • Cambio de passwords con una frecuencia de al menos 90 días. 
  • Seguir las recomendaciones que anteriormente dimos sobre el como crear un password seguro.
  • Cerrar o bloquear tu equipo al retirarte de tu lugar.
  • Tener diferentes passwords para diferentes servicios (un password por servicio ya que si abren uno pueden abrir todos los demás servicios)
  • Contar con firewalls con IPS para evitar ataques de intrusos fuera de nuestra red.
La falla de seguridad de Multimedios además de generar rumores en twitter por más de 1 hora y el escarnio público, nos da una lección que debemos de aprender o tomar en cuenta para la seguridad en el uso de las redes sociales, la red de nuestra empresa y nuestro equipo de computo personal.

Nota por Roberto Reyes
Consultor de seguridad en Multicomp.mx