20/05/2011

Las compañías carecen de protección contra ataques DDoS y fallas en DNS

photo_verybig_105541En Interop Las Vegas, Verisign destaca dos estudios que ilustran la necesidad urgente de maximizar la seguridad, la disponibilidad y el desempeño de las redes.

Un porcentaje significativo de organizaciones están mal preparadas para prevenir y responder a fallas en la infraestructura Web causadas por ataques distribuidos de denegación de servicio (DDoS) y fallas en el sistema de nombres de dominio (DNS), de acuerdo con dos nuevos estudios patrocinados por Verisign, Inc. (NASDAQ: VRSN), el proveedor confiable de servicios de infraestructura de Internet para el mundo en red.

Ejecutivos de todo el mundo se reúnen esta semana en el evento anual Interop, el cual Verisign destaca los resultados de estudios que enfatizan la urgente necesidad de una robusta protección DDoS, una infraestructura DNS confiable y segura además de inteligencia avanzadas sobre amenazas.
"Este estudio muestra los costos terribles de la protección insuficiente para la Web y las redes en empresas de todos los sectores. Cuando un ataque DDoS o falla en el DNS afecta a un sitio Web o una red, las empresas pueden perder ingresos significativos y productividad de los empleados y probablemente verán disminuir la satisfacción y la lealtad de los clientes", dijo Ben Petro, vicepresidente senior del grupo Network Intelligence y Availability de Verisign. "Las empresas enfrentan a una serie de amenazas en la economía actual. La implementación de los servicios de inteligencia y disponibilidad de red de Verisign ayudará a asegurar que los ataques DDoS y otras fallas en el DNS no se encuentran entre ellas."

Protección DDoS: Vital, ya que la frecuencia y la fuerza de los ataques DDoS deben crecer


Verisign patrocinó un estudio de mercado de Merrill Research para investigar el nivel de preocupación de los tomadores de decisión en el área de IT por la creciente amenaza de ataques DDoS en el actual ciberespacio siempre cambiante. Una encuesta online con 225 tomadores de decisiones de IT en grandes y medianas empresas de los Estados Unidos reveló que un 78 % está extremadamente o muy preocupado por los ataques DDoS y más de dos tercios (67%) esperan que la frecuencia y la intensidad de los ataques DDoS aumenten o permanezcan igual en los próximos dos años. Casi nueve de cada 10 encuestados (87%) ven la protección DDoS como muy importante para mantener la disponibilidad de sitios Web y servicios. Además, siete en 10 encuestados (71%) que informaron falta de protección DDoS dijeron que planean implementar una solución en los próximos 12 meses.

Puntos destacados en el estudio:

  • Ataques DDoS están generalizados: Casi dos tercios (63%) de los encuestados informaron haber sufrido un ataque DDoS en el año pasado y dijeron haber sufrido más de un ataque. El 11% fue atacado seis o más veces.
  • Más sitios estarán protegidos a la brevedad: De los encuestados que actualmente carecen de protección DDoS, el 71% planea implementar una solución en los próximos 12 meses – el 40% planea subcontratar su protección DDoS, el 31% planean implementar una solución interna y el 29% tiene aún dudas acerca de su enfoque de protección.
  • Dejar la infraestructura Web sin protección es demasiado: Más de la mitad (53%) de los encuestados dijeron que experimentaron paralizaciones en el año pasado y los ataques DDoS representaron un tercio (33%) de todos los incidentes de inactividad.
  • Paralizaciones afectan a los clientes y los ingresos: Más de dos tercios (67%) dijeron que sus paralizaciones afectaron a los clientes y la mitad (51%) informó pérdida de ingresos. Considerando que el 60% de los encuestados confía al menos el 25% de sus ingresos anuales a sus sitios Web, el tiempo de inactividad puede tener impactos significativos y duraderos.
  • Las amenazas se extienden más allá de los ataques DDoS: El estudio también reveló que 9 de cada 10 encuestados califican el "acceso a datos de amenazas y vulnerabilidades" como muy importante y casi tres cuartos (73%) están "preocupados con fallas DNS" -- sugiriendo una importante necesidad de inteligencia continua acerca de amenazas y servicios DNS gestionados de DNS, además de protección DDoS y mitigación.

Disponibilidad de DNS y menos sitios administrados internamente


Un estudio independiente patrocinado por Verisign destacó la necesidad de soluciones que garanticen la disponibilidad DNS -- un requisito indispensable para el funcionamiento confiable de sitios Web, servicios de red y comunicaciones online. El estudio, que se destaca en la edición inaugural del Informe da Verisign acerca de la Disponibilidad DNS encontró que, en el primer trimestre de 2011, la disponibilidad DNS fue un problema incluso para los sitios Web de comercio electrónico mejores clasificados.
Utilizando una tecnología patentada, ThousandEyes, una empresa que ofrece análisis de desempeño de aplicaciones, calculó la disponibilidad mínima, mediana y máxima de los sitios Web Alexa 1.000 en el primer trimestre de 2011 para ilustrar el estado de la disponibilidad del DNS global.

La investigación reveló algunas grandes diferencias entre sitios con DNS gestionado internamente y aquellos que emplean servicios de DNS gestionados por terceros. En particular, el estudio reveló que la disponibilidad mínima del DNS en promedio cayó a 90,13% para los sitios que poseen sus propios DNS, mientras que sitios usando servicios DNS gestionados de terceros promedió un mínimo de disponibilidad DNS de más del 98%. Al examinar la disponibilidad mínima general, la investigación demostró que algunos sitios con DNS gestionado internamente presentaron interrupciones totales, mientras que los sitios con administración DNS de terceros nunca fueron abajo del 50% de disponibilidad. Del mismo modo, el tiempo promedio de inactividad para los sitios que tienen sus propios DNS es dos veces más grande que de aquellos que usan una solución de terceros (99,7% versus 99,85%).

Esta dramática diferencia se atribuye probablemente al hecho de que más proveedores DNS de terceros utilicen un servicio de resolución Anycast, lo que significa que siempre hay un servidor disponible en algún lugar para responder a las consultas al DNS. Esto permite que los usuarios finales experimenten menos impactos, aunque unos pocos servidores físicos de Anycast fallen o estén inalcanzables. Verisign llevó la resolución del DNS un paso más allá al implementar un modelo híbrido único de resolución Anycast y Unicast en su servicio de DNS gestionado, que ofrece la óptima combinación de desempeño y fiabilidad para responder a las consultas DNS. La mayoría de las empresas no tiene recursos y experiencia para establecer estos sistemas extensivos para su DNS interno gestionado, lo que puede volverlas más vulnerables a problemas de disponibilidad.

Nota diarioti.com

16/05/2011

Botón "No me gusta en Facebook"

facebook_logo2[1]Una vez más aparece otro engaño relacionado a Facebook: esta vez se trata del botón no me gusta, que supuestamente puede ser agregado al perfil del usuario. El engaño está siendo promocionado en varios sitios como el siguiente que paradójicamente, ya tiene 253,000 "me gusta".

botonnomegusta

Como puede verse se trata de ejecutar un código en el navegador del usuario, el cual invoca el script botodeface.js en donde si se lo descarga puede apreciarse claramente lo que sucede al intentar agregar el botón. Inicialmente se envía el siguiente mensaje al muro de la víctima, con un enlace al sitio, para que todos los contactos puedan ingresar al mismo, y ser engañados:
Se trata un engaño que ejecutar un código en el navegador del usuario, el cual invoca el script botodeface.js. Inicialmente envía el mensaje al muro de la víctima, con un enlace al sitio, para que todos los contactos puedan ingresar al mismo, y ser engañados con el texto:

¡Porfin! ya se puede poner el boton -No me gusta- yo ya me lo he puesto, si quieres ponertelo para poder darle tu tambien clicka en el texto azul de abajo que pone Boton No Me Gusta.http://boton[ELIMINADO].com/pagina.html

Luego que el usuario engañado cae en la trampa, se lo redirige a una promoción con el siguiente enlace: http://boton[ENLACE].com/redirige_promo.php.Con esta última acción queda de manifiesto el objetivo del autor del supuesto botón, realizar publicidad y comercializar productos fraudulentos.

Cabe destacar que esto NO es un virus ni un gusano, como varios se empeñan en afirmar, es un script que el mismo usuario ejecuta e instala en su perfil. Una vez más vemos como se juega con el usuario y cómo este cae en las trampas.

Nota Nadia Molona de www.threatpost.com

El 28% de las PYMES en 2010 sufren ciberataques

photo_verybig_105541Un estudio reciente realizado por Symantec reveló que el 49% de las pymes dijo haber perdido información, mientras que el 28% de las compañías encuestadas afirmó haber experimentado algún ciberataque en los últimos doce meses. "Creo que las empresas están tomando con mayor seriedad la protección de la información, pero aún muchas no han logrado comprender la importancia que tiene la preparación ante desastres o ataques", aseguró Marcos Boaglio, gerente de ingeniería para la región Sur de América latina de Symantec.

"Los resultados de nuestras propias encuestas mensuales indican que el 29,5% de los usuarios no tiene la costumbre de instalar las actualizaciones de seguridad. Se les consultó cuál es el principal motivo por el cual no tienen esta costumbre, y el resultado mayoritario es la falta de licencia de software", comentó Jerónimo Varela, gerente general de ESET Latinoamérica.

Gabriel Calbosa, coordinador general de Seguridad de Trend Micro en empresas pequeñas y medianas, coincidió con Varela y agregó: "Muchas compañías no protegen sus redes o lo hacen con soluciones pirateadas. El problema de esta última alternativa es que en tanto no tiene un servicio de actualización incluido son soluciones estáticas que sólo tienen acceso a una mínima parte de la cobertura de seguridad que el software legal".

Productos disponibles

Aunque en el pasado las soluciones o suites de seguridad informática eran casi inaccesibles para las empresas más pequeñas, en la actualidad existe un abanico de productos que se adaptan a los bolsillos y las necesidades.

Symantec ofrece dos soluciones especialmente dirigidas a este sector: Endpoint Protection Small Business Edition , para servidores, portátiles y equipos de escritorio, y Protection Suite , una solución todo-en-uno que protege los activos empresariales clave.

"Además nuestra empresa anunció, recientemente, un nuevo enfoque para que las pequeñas y medianas organizaciones protejan los datos a través de nuevos modelos de entrega que incluyen Backup Exec.cloud , así como una versión mejorada del software Backup Exec 2010 . De esta forma, por primera vez una empresa podrá aprovechar los beneficios de las copias de seguridad de Symantec como software o servicio de nube", dijo Boaglio.

La firma ESET ofrece sus productos Cybersecurity para Mac , NOD32 Antivirus 4 para Linux Desktop , Mail Security 4.3 para Microsoft Exchange , Mobile Security y Remote Administrator 4 . "Todos estos productos son funcionales tanto para pymes como para grandes corporaciones, y su costo depende de las estaciones de trabajo y las plataformas por proteger", explicó el gerente general de ESET Latinoamérica.

WebSense ha lanzado su suite Web-Sense Triton Enterprise que ofrece la posibilidad de tener todos los componentes de seguridad actuales bajo una plataforma de seguridad unificada. Esa suite incluye las tecnologías con control de contenido para la Web 2.0, el control de fuga para correo y la protección de datos en el nivel de estaciones de trabajo.

Por su parte, Trend Micro lanzó Worry Free Business Security , que admite protección para empresas de cualquier tipo, entre 3 y 250 usuarios. También tienen una solución llamada Hosted Email Security, que permite filtrar los correos electrónicos que puedan contener un virus, tengan archivos adjuntos o sean categorizados como spam. Por último esta empresa lanzará la solución Trend Micro SafeSync for Business , un servicio de backup en Internet.

Kaspersky tiene dos soluciones de seguridad informática dirigidas al sector corporativo: Kaspersky Small Office Security y Kaspersky Open Space Security . "Ambas permiten a los empresarios proteger su información y datos confidenciales, y reforzar políticas de uso de Internet por parte de los empleados en horas hábiles", comentó Alejandro Musgrove, vicepresidente de ventas para América Latina y el Caribe de Kapersky Lab.

Tendencias delictivas

"Los atacantes saben que las medianas empresas podrían tener menos protección para sus transacciones financieras y su información, por lo que se han vuelto un blanco principal para dichos ataques", reveló Boaglio.

Por otro lado, la presencia por parte de las pymes en las redes sociales también hace necesario que éstas deban prepararse y comprender cómo proteger y administrar estas aplicaciones.

Por su parte, Varela destacó: "Es clave complementar la gestión de seguridad con una adecuada educación de los usuarios".

Lukas Alarcón, ingeniero en ventas de WebSense, resaltó la unificación de las tecnologías de seguridad. "Esto permitirá que desde una sola consola se pueda gestionar la seguridad Web, la seguridad de correo electrónico y la seguridad de datos", detalló, y agregó que una buena solución de seguridad "debe ser capaz de detener las amenazas del día cero, las amenazas persistentes, tradicionales y debe tener flexibilidad para respetar los flujos internos de la organización".

CONSEJOS PARA REDUCIR RIESGOS

  • Los expertos en seguridad informática recomiendan:
  • Educar a los empleados
  • Usar tecnologías de seguridad
  • Proteger la información importante
  • Instrumentar un plan de copias de seguridad, respaldo y recuperación de datos
  • Actualizar sus aplicaciones y sistemas operativos
  • Instrumentar un modelo de seguridad en capas, con distintos controles
  • Proteger el correo electrónico y los activos Web
  • Medir las inversiones en seguridad
  • Siga buenas prácticas: contraseñas fuertes, copias de respaldo y definición de políticas de seguridad, entre otras

Por: Cintia Perazo

Más de 7.5 Millones de usuarios en Facebook tienen menos de 13 años

3495302347_96c7ee5a3eSiete millones y medio de usuarios de Facebook ignoran la regla que prohíbe a menores de 13 años suscribirse a la red social.


Niños que aún no han cumplido trece años, pero que desean sumarse a la gigantesca red social Facebook sencillamente mienten al registrarse, indicando una edad superior a la real.

Aunque diariamente Facebook expulsa a 20.000 menores de edad, la medida parece no tener mayor efecto.

Cinco millones aún no cumplen 10 años

Según la organización estadounidense de consumidores Consumer Reports, 7,5 millones de usuarios de Facebook no cumplen el requisito de edad impuesto por Facebook. De ese total, 5 millones ni siquiera ha cumplido 10 años.

En los casos observados, el control parental es mínimo. En la mayoría de los perfiles donde el usuario tiene menos de 10 años, éste maneja su cuenta en Facebook sin el consentimiento de sus padres, o sin que a estos le interese el tema.  Aunque también existen los padres que bajo su supervisión dan de alta a sus hijos falseando la información para que estos puedan accesar, sin saber el daño que causan, al desconocer las reglas de acceso a menores de 13 años

Consumer Reports expresa preocupación, en el sentido que los menores pueden verse expuestos a timadores o, en el peor de los casos, a pedófilos. Considerando que Facebook es incapaz de solucionar el tema por cuenta propia, la organización insta a los padres a poner mayor atención a las actividades de sus hijos en Internet y a eliminar su cuenta en Facebook si tienen menos de 13 años.

Foto: hoyasmeg

Inseguridad en la nube, ahora toco a Dropbox

dropbox

Empleados de Dropbox tienen acceso a los archivos y passwords de los usuarios.

Richard Stallman menciono: no confíes en la nube, no delegues tus datos a terceros. Anteriormente se ha visto como es el manejo de la privacidad en sitios como Facebook o Google. Ahora le toca a Dropbox un sitio el cual permite tener información en la nube replicada en los diferentes dispositivos que el usuario maneje este es un servicio de almacenamiento en línea. En una reciente denuncia por prácticas comerciales engañosas se presenta esta ante la FTP y por consiguiente el inicio de una investigación. En esta denuncia se menciona que los empleados de Dropbox puede acceder a los archivos y passwords de los usuarios.

Se pone en duda la privacidad uno de los servicios de almacenamiento  y sincronización de archivos más populares en la nube, al igual como la honradez de sus responsables al haber, supuestamente, engañado a todos sus usuarios con la política de protección de datos de la que hacía gala la empresa.

Entonces como quedamos los usuarios cuando en diferentes sitios la privacidad queda expuesta a personas que no deberían tener acceso a ella. Debemos de confiar en servicios en la nube para publicar o almacenar nuestra información.

Nota. Por Roberto Reyes

11/05/2011

Descubre Kaspersky más de 70 tipos de códigos maliciosos para Android

green_team_logo_redesign_final_jpg_13155Kaspersky dio a conocer que ha detectado más de 70 tipos diferentes de códigos maliciosos Android el mes pasado. Algo que representa un crecimiento, ya que en septiembre de 2010 solamente encontró dos.

La carrera entre Android e iPhone está alcanzando cuotas similares a las que, en su momento, enfrentaron a Windows con Mac. De un lado, el sistema operativo utilizado por la mayoría de los fabricantes. Del otro, una plataforma cerrada y cara. En cualquier caso, según la firma de seguridad, Android gana a Windows de un modo más siniestro, pues se está convirtiendo en un campo de juegos para los creadores de malware.

Kaspersky ha reconocido 70 tipos diferentes de malware el mes pasado, tal y como explicó su responsable de tecnología, Nikolay Grebennikov. En septiembre del año pasado, Kaspersky solamente detectó dos. Es cierto que debemos tener cuidado cuando una empresa intenta vendernos una solución a un problema, pero si es verdad, estas cifras indican un crecimiento explosivo.

Al parecer, conseguir que el código malicioso ataque a los teléfonos Android es fácil. Una vez que un desarrollador se ha dado de alta en el Android Marketplace, lo que tiene un costo de tan solo 25 dólares, pueden empezar a publicar software directamente y no hay más controles sobre las aplicaciones que crea. Esto contrasta claramente con la política de la App Store, en la que cada programa disponible es escrutado individualmente por un ingeniero de Apple antes de su publicación. Además, impone una tasa de participación de 99 dólares, que hace de filtro para muchos “aficionados”.

En cualquier caso, Google ha puesto en marcha una serie de sistemas de protección como que las aplicaciones se ponen en marcha en un entorno sandbox, que las prueba para comprobar si pueden comprometer a los dispositivos.

Adicionalmente, las aplicaciones vendidas a través del Google Marketplace pueden ser eliminadas remotamente por Google, que deberá demostrar más tarde que realmente son código malicioso.

En tercer lugar, siempre que un software se instala en el teléfono de un usuario, se informa al mismo de qué componentes de hardware del teléfono se utilizarán con el software. Una aplicación puede necesitar utilizar la conexión a Internet y provocar que el teléfono vibre, por ejemplo, y el usuario deberá estar de acuerdo con esto.

En cualquier caso, todo esto aún no está claro del todo. El mes pasado, los creadores de código malicioso se las ingeniaron para infectar a más de 400 mil teléfonos con el malware DroidDream.

En ese caso, no tuvieron ni tan siquiera que gastar un euro en crear una nueva aplicación. Como apuntó un participante de la página web social Reddit, los creadores de código malicioso simplemente robaron varias aplicaciones existentes, las renombraron y añadieron el exploit antes de hacer que estuvieran disponibles con otros nombres. Marketplace no tiene protección contra este tipo de piratería.

Uno de los desarrolladores originales de una aplicación robada, CodingCaveman, estaba al tanto de que su aplicación había sido sustraída, pero no fue capaz de conseguir una respuesta de Google. Solamente después de que se publicara el problema le respondieron.

Básicamente, la diferencia entre Google y Apple con sus tiendas de aplicaciones es que Google asume la responsabilidad de la seguridad del teléfono y su usuario, mientras que Apple intenta prevenir que la seguridad llegue a ser un problema para sus consumidores.

06/05/2011

La muerte de Osama Bin Laden sirve para filtrar virus a través de búsquedas en internet

PD*26245836Algunos hackers aprovechan para dirigir a usuarios hacia programas maliciosos que instalan antivirus falsos en las computadoras

Existe correo infectado que promete un video de la muerte del líder talibán. Incluso ya circula un video en la red social de Facebook que infecta a quien oprime el botón a la liga.
La búsqueda masiva de noticias e información en Internet sobre la muerte del líder del grupo terrorista Al Qaeda, Osama Bin Laden, está siendo aprovechada por delincuentes informáticos para insertar diferentes tipos de virus en las computadoras de los cibernautas.
Así lo advirtieron hoy los investigadores de la empresa de seguridad informática Kaspersky Lab, quienes han detectado estafas en diversas páginas de Internet.
"(Los criminales) toman términos de búsqueda populares y los usan para dirigir a las personas hacia programas maliciosos, a través de los cuales se instalan antivirus falsos. Han envenenado los resultados de búsqueda en Google Imágenes", afirmaron.
Al respecto, explicaron que seleccionar algún resultado de la búsqueda, sea texto o imagen, el usuario es redirigido a un "dominio" malicioso que puede infectar su computadora con algún virus.
Una modalidad de estafa referida a la muerte del líder de Al Qaeda es la que se viene ejecutando mediante anuncios publicitarios en las redes sociales como Facebook.
"Promueven ofertas tras la muerte de Bin Laden como entradas gratis, en algunos casos. Al hacer clic en los anuncios, los usuarios serán redirigidos varias veces solicitándoles información", advirtieron.
A través de esta modalidad de estafa cibernética, los criminales cibernéticos recopilan información confidencial o direcciones de correos electrónicos a donde luego podrían enviar virus informáticos.
Ante la necesidad de conocer las últimas noticias sobre la muerte de Osama Bin Laden, los especialistas de la mencionada empresa recomendaron ingresar directamente a las páginas de los medios de comunicación para evitar las estafas por Internet.
"Tenga cuidado en la búsqueda de información sobre noticias de última hora. También debe considerar que los anuncios que parecen demasiado buenos probablemente no lo son", sugirieron.
Entre otros consejos, los especialistas señalaron que los usuarios deben asegurarse de que su computadora se encuentre con todas las actualizaciones de seguridad.
FBI advierte de correo infectado, que promete video de Bin Laden
Según esa oficina, los mensajes podrían contener un virus informático capaz de sustraer información personal de los usuarios o de infectar una computadora.
En un comunicado, el FBI advirtió que ese software maligno puede ser incluso enviado por un familiar o amigo, sin que él lo sepa.
El FBI instó a los usuarios a ajustar sus configuraciones de privacidad en los sitios de redes sociales, a fin de dificultar el que la gente publique material en sus páginas.

05/05/2011

Casi 160,000 niños tratan de visitar páginas de adultos cada hora

Casi 160,000 niños tratan de visitar páginas Web con contenido erótico cada hora. Por lo menos eso es lo que asegura Kaspersky Lab, quien además afirma que los niños tratan de conectarse a partir de las 11 de la noche.
Según datos de Kaspersky Lab, casi 160,000 niños tratan de visitar páginas de adultos cada hora. Además, y según información del sistema que dispone para detectar el uso que los niños hacen de Internet, la mayoría de los intentos se produce a partir de las 11 de la noche.
De hecho, “el sistema de control parental, en específico el de pornografía, de nuestros productos domésticos de Kaspersky Lab son activados alrededor de 4 millones de veces por día a nivel mundial”, afirmó Kaspersky Lab.
“Las madres que se preocupan por la seguridad 2.0 de sus hijos, deben tener muy en cuenta los sistemas de control parental, diseñados para proteger a los niños frente a las amenazas en Internet. Es más, gracias a estos sistemas se puede restringir el tiempo que los niños pueden usar su computadora, el tipo de archivos que se descargan de Internet, regular el acceso a determinadas webs y monitorear el uso que hacen los niños de programas de mensajería instantánea y redes sociales”, recuerda Kaspersky Lab.

Si bien algunos podrían considerar esta vigilancia como exagerada o como violación a la intimidad, también es cierto que las redes sociales están siendo utilizadas por secuestradores, pedófilos y para el Bullying, por lo que no está de más poner atención sobre lo que hacen nuestros hijos en internet.

Nota: PC Word

Foto: http://www.flickr.com/photos/bionicteaching/

02/05/2011

Cómo mantener seguros los datos de la empresa en los dispositivos personales de los empleados

Algunos pasos para mantener la información segura de la empresa.

Como recordarán, hace algunos años los empleados de las empresas utilizaban sus equipos de cómputo sólo en el trabajo. No hace falta decir que estos equipos eran propiedad de la empresa y eran administrados exclusivamente por el departamento de sistemas.


Con la llegada de las laptops cada vez fueron más los empleados que las utilizaban y, algunas de éstas, podían pertenecer a la empresa o al mismo empleado, lo que dio como resultado que el personal de sistemas tuviera que instalar VPNs y diferentes tipos de software de seguridad.
No obstante, en la actualidad las cosas son muy diferentes. Debido a que equipos, como los teléfonos celulares inteligentes - conocidos como smartphones - son cada vez más rápidos y más accesibles, los empleados traen consigo poderosas computadoras de bolsillo, las cuales son utilizadas tanto para asuntos personales, como para asuntos relacionados con el trabajo, lo cual representa nuevos retos y consideraciones para los departamentos de sistemas.


Hoy en día los smartphones permiten descargar aplicaciones de uso personal, pero a la vez ofrecen la posibilidad de almacenar datos corporativos, con lo cual, si el equipo llega a perderse la información sensible que contiene representa una grave vulnerabilidad para la compañía. Y esto no es un caso exclusivo de los teléfonos, pues lo mismo aplica para las netbooks o la nuevas tabletas.


Cabe señalar que se estima que a nivel mundial durante 2010 se vendieron alrededor de 297 millones de smartphones - 72% de crecimiento con respecto a 2009 -, lo cual representa el 19% de las ventas totales de teléfonos. Y se espera tener un crecimiento por encima del 20% para 2014.
Con tantos empleados teniendo acceso a datos corporativos, desde diferentes lugares y en cualquier momento, desde sus dispositivos personales ¿cómo pueden los departamentos de sistemas administrar adecuadamente la seguridad de estos equipos de forma efectiva? ¿Qué tan delicado es este asunto?


Como una tendencia la compra de smartphones y tablets (considerados como smartphones de mayor tamaño) está siendo impulsada por los empleados que adquieren este tipo de dispositivos para uso personal como juegos, redes sociales, fotos, videos, etcétera y, como se mencionó, buscan usarlos también para manejar cierto tipo de información del trabajo. No obstante, son pocas las empresas que están realmente evaluando las características de seguridad de los diferentes tipos de smartphones que existen en el mercado, con la finalidad de encontrar el más adecuado a las necesidades de la empresa y empleados y del cual puedan tener un mejor control.


Existen un gran número de riesgos asociados a este tipo de equipos, empezando por el más común que es la pérdida del dispositivo y con esto la pérdida de toda la información - personal y laboral -; en segundo lugar, está la gran cantidad de aplicaciones que se pueden instalar (se estima que en 2010 se vendieron 10.9 billones de aplicaciones y se espera que para 2014 esta pueda crecer a 76.9 billones) ya que los controles y filtros que existen son muy limitados.


Por lo anterior, es muy importante que los usuarios tengan acceso a su información a través de un acceso remoto seguro, el cual pueda proteger el tipo de información que el usuario está consultando mientras accede a los recursos corporativos como ERPs, CRMs, correo electrónico, aplicaciones desarrolladas por las empresa, etcétera, y que estos usuarios puedan ser identificados como aquellos que tienen los accesos y permisos correspondientes para hacer uso de estos dispositivos. Estos usuarios normalmente se encuentran en las aéreas de ventas, ingeniería, soporte, dirección y cuentas por cobrar, aunque no esta limitado a estos departamentos específicos.


Las principales recomendaciones que se pueden hacer a los departamentos de sistemas, para mantener segura la información cuando las empresas dan acceso a los usuarios móviles, son:

  1. Tener un sistema de Acceso Remoto Seguro (VPNs de SSL) para que la información este protegida en el aire.
  2. Obligar el uso de contraseñas para bloquear los equipos; así en caso de pérdida o robo, la información no estará disponible para la persona que tiene el equipo.
  3. Instalar un sistema para poder borrar el dispositivo de forma remota.
  4. Tener un sistema de encripción de la información para el smartphone o tableta.
  5. El departamento de sistemas debe poder administrar cualquier dispositivo que tenga acceso a las redes de empresa y los datos. Esto debe hacerse, por supuesto, respetando la privacidad del usuario.
  6. La compañía debe aplicar las políticas habituales de uso de la Web a los dispositivos personales, cuando estén siendo utilizados en el trabajo.
  7. La empresa debe ser capaz de controlar el uso, cuando el dispositivo se esté utilizando en la red de la compañía o en sus oficinas. También debe tener la opción para restringir el acceso a los datos corporativos si es necesario.


Algo que se debe tomar en consideración es que no todos los smartphones son iguales, por lo que cada fabricante tiene sus propios procesos para asegurar sus equipos - a veces de una manera más fácil o compleja - , por lo que es importante evaluar a detalle, cada dispositivo, sus funciones y así poder elegir la mejor opción.


A los empleados móviles se les recomienda que ya sea por política corporativa o simplemente por estar a la moda con el nuevo smartphone del mercado, tengan perfectamente identificadas las aplicaciones de uso corporativo y de uso personal e instalen aquellas que provienen de sitios 100% recomendados por el fabricante, ya que estos aplican algunos filtros o pruebas para evitar que algún tipo de malware se agregue a estas aplicaciones. Es recomendable proteger el dispositivo con una contraseña, para que de esta forma no se comprometa la información, en caso de extravío.


También es de vital importancia utilizar contraseñas diferentes para las aplicaciones o accesos
a recursos personales o corporativos, que sean complejas - pero que sean fáciles de recordar -, usando mayúsculas, minúsculas y números, de esta forma serán más difíciles de adivinar, y así dejan como única opción para reutilizar el smartphone o tablet, el borrado total de la información del dispositivo. Recordemos en todo momento que una vulnerabilidad, por pequeña que sea, puede poner en riesgo la operación total de la empresa.

Nota Por Jesús García, director de Canales para la Zona Norte de América Latina en SonicWALL