Archivo de la categoría: Seguridad

Las Claves de la Supervivencia Digital

Deja un comentario

Los próximos 18 y 19 de noviembre tendrán lugar, respectivamente en Barcelona y Madrid  sendos seminarios sobre seguridad de la información en la empresa y en los organismos públicos, que patrocinamos desde Albalia Interactiva, junto con otras entidades. Se denomina «Las claves de la supervivencia digital» e interesa a entidades de la administración pública que estén trabajando activamente en la administración electrónica y en el cumplimiento con la Ley 11/2007 (Ley de Acceso) y cualquier entidad privada o pública que sigue en la digitalización de sus procesos de flujo de trabajo no sólo internamente, sino también con clientes, proveedores y ciudadanos, así como con el cumplimiento de las directivas europeas 1999/93/EC de la firma electrónica,  2001/115/CE de 20/12/2001 de la factura electrónica,  elos  estándares CAdES, XAdES y PAdES de ETSI, la Ley de Medidas de  Impulso de la Sociedad de la Información (LMISI), entidades que gestionan pagos con tarjeta (PCI-DSS ) y todas las adectadas por la normativa de protección de datos.

Para acceder al programa de la convocatoria e inscribirse haga clic aquí,  llame al 93 656 74 00 o envíe un correo electrónico a .  El espacio es limitado, por lo que es recomendable inscribirse con la mayor celeridad posible.

Sedes

Ponentes:

  • Pete Herzog  es el co-fundador de ISECOM, una organización internacional sin ánimo de lucro dedicada a la mejora de la seguridad  que certifica a miles de profesionales en todo el mundo cada año en OSSTMM (Open Source Security Testing Methodology Manual) siendo también su creador. Sus métodos se han convertido en el estándar para muchas corporaciones incluyendo el ejército Norteamericano, el CERN,  la NASA, la National Security Agency de los EE.UU, Walmart e incluso el Vaticano.
  • Roberto Boya, responsable de los productos servidor de Adobe Ibérica, compartirá su experiencia y conocimiento sobre el intercambio ágil y seguro de documentos con clientes y socios entre departamentos gubernamentales y empresas privadas, garantizando, bajo las normas actuales, la longevidad de los documentos digitales de manera segura, afianzando su integridad y confidencialidad.
  • Julián Inza, Presidente del Grupo Interactiva y uno de los principales expertos en España en procesos de negocio digital y firma electrónica, hablará sobre la necesidad de adoptar sistemas integrales de firma electrónica para cumplir con las normas nacionales y de la Unión Europea asegurando la interoperabilidad de los documentos digitalmente firmados a largo plazo.  
  • Raúl Saurez, consultor de seguridad informática de SafeNet, empresa líder en protección de datos  corporativos,  discutirá sobre la importancia de disponer de sistemas de protección de las claves de firma para garantizar la validez de todas las transacciones electrónicas dentro de entornos con  procesos heterogéneos del negocio electrónico.

ENISE

3 respuestas

La semana que viene se celebra ENISE en León, convocado por INTECO. Mi participción es el dia 28 aunque estaré por allí también el 27 y el 29

Me hubiera gustado estar también el 26 en el evento de eSec, pero me coincide con un seminario de administración electrónica en el INAP, en Madrid, en el que soy ponente.

Un tema que me parece interesante es la presentación de cajeros con DNI electrónico de Caixa Galicia:

Las aplicaciones del DNIe para realizar transacciones bancarias a través de internet empiezan a divulgarse, siendo cada vez más los bancos y cajas que ofrecen esta opción. Menos frecuente aunque ya en funcionamiento en algunas entidades es la realización de transacciones con el DNIe directamente en cajeros automáticos.

Como muestra de esta novedosa realidad en la Zona DNIe los asistentes al congreso tendrán a su disposición un cajero de Caixa Galicia que permite el acceso a sus servicios a través de DNIe.

zBackTrust, firma electrónica para System Z

10 respuestas

Acaba de incluirse en la oferta de INSA la solución desarrollada por Albalia Interactiva zBackTrust, que permite desarrollar el soporte a la firma electrónica desde las plataformas corporativas más avanzadas basadas en equipos System z de IBM.

En su continuo empuje por los sistemas Mainframe, IBM tiene planeado el lanzamiento de unas 30 mejoras de software para la plataforma System z, las cuales se irán introduciendo a lo largo del 2009.

12 de ellas ya se han puesto en el mercado y están relacionadas con las herramientas de desarrollo Rational Software, la administración de los datos de InfoSphere y Cognos, las ofertas de gestión de transacciones de WebSphere y los servicios TI de Tivoli.

El Gigante Azul ha hablado durante años del resurgimiento de los sistemas Mainframe para dar respuesta a las nuevas cargas de trabajo. El aumento de los MIPS (Millones de Instrucciones por Segundo) y el creciente interés de los ISV (Vendedores de Software Independientes) por estos sistemas así lo confirma.

No en vano y según la compañía, durante el año pasado más de 150 ISVs se han pasado a la plataforma System z y se han añadido más de 1.000 aplicaciones que pueden ser ejecutadas en los mainframes.

Los analistas indican que buena parte de este resurgir de la plataforma se puede atribuir a los nuevos motores de procesado que IBM ha construido para hacer más fácil la ejecución de tareas Linux y Java en los System z.

Otros vendedores también están ayudando a este crecimiento. Es el caso de los desarrolladores de software CA o BMC Software, que siguen mejorando sus soluciones para la gestión de los mainframes. Por su parte Unisys lanzó a finales de mayo nuevos equipos basados en la plataforma de IBM.

Los sistemas z son excelentes entornos de ejecución Java, tanto operando sobre sistema operativo z/OS como zLinux, por lo que permiten la adopción de las tecnologías más avanzadas en un marco de ejecución de alto rendimiento corporativo.

Referencias:

Nueva oleada de phishing

1 respuesta

phishing-AEATAprovechando el retorno vacacional que hace que estemos un poco despistados, los delincuentes «pescadores» (de «phishing», juego de palabras con «password fishing» en inglés) han intensificado sus campañas al inicio de septiembre.

El ‘phishing’ es una estafa que consiste en en el envío de correos electrónicos que simulan provenir de organismos, empresas privadas o entidades financieras (entidades públicas o privadas que pudieran tener algún acceso a datos financieros) y proponen que se acceda a páginas web falsas que simulan ser del organismo suplantado, y en las que se propone la actualización de datos o el acceso al servicio.

Al acceder a tales páginas los incautos ceden sus datos financieros, tales como identificador (usuario) y password, número de cuenta bancaria o de tarjeta de crédito.

Uno de los aspectos que hace que los incautos sigan «picando» es que los mensajes de atención que se dan desde entidades financieras y organismos afectados son confusos. En efecto, es frecuente leer la frase «la entidad XXX no le pedirá sus datos financieros o información confidencial por internet». Y la confusión creada es que los mensajes de los criminales no «piden» información: la «ofrecen». Por ejemplo diciendo: «acceda a su cuenta a través de este enlace y compruebe la información del sistema». Es decir, no hay conciencia de estar cediendo datos confidenciales cuando uno accede a una página web y teclea su password (clave) porque es lo que hace cuando accede de forma correcta a su entidad financiera.

En la última campaña se están utilizando remitentes como PayPal o la Agencia Tributaria, que efectivamente pueden tener información financiera del usuario. En estos contextos se baja la guardia porque los usuarios están aprendiendo a deconfiar cuando el mensaje aparenta ser de una entidad financiera.

Los mensajes falsos que aparentemente proceden de la Agencia Tributaria (AEAT) se identifican con el remitente impuestos@aeat.es

La propia AEAT advierte en una nota sobre estos ataques de phishing y explica que esos mensajes hacen referencia a un reembolso de impuestos  inexistente. Supuestamente, para poder disponer del dinero hay que acceder a una dirección web en la que se deben aportar datos de cuentas bancarias. Dicha web es falsa, y su finalidad es proporcionar a los intrusos la información que allí introduzcan las víctimas del fraude, con la que accederían a las cuentas bancarias reveladas.

Lo cierto es que va llegando la hora de que las entidades financieras eliminen los sistemas de usuario/password que hacen sus servicios tan vulnerables y exponen a sus clientes a estos riesgos. Una buena oportunidad para que el Banco de España ejerza su función supervisora, exigiendo la adopción de las mejores prácticas, o simplemente el cumplimiento del artículo 2 de la Ley 56/2007.

Las tres redes españolas de tarjetas de crédito premiadas internacionalmente

Deja un comentario

Noticia del 6 de mayo de 2009.

Las redes de tarjetas españolas ServiRed, Sistema 4B y Euro 6000 recibieron el premio a la “Mejor Iniciativa sobre Riesgo/Seguridad” durante la reunión de miembros que Visa Europe organiza cada dos años y cuya edición más reciente se acaba de celebrar en Berlín

Las tres redes de tarjetas españolas han trabajado en estrecha colaboración para crear el SNCP (Sistema Nacional de Cifrado de Pistas), una innovadora solución técnica que permite a los comercios acometer a la vez el cumplimiento con la normativa PCI DSS y a la migración a chip EMV, con el consiguiente ahorro de costes.

La implantación de los requisitos de seguridad PCI-DSS en toda la infraestructura de pagos con tarjeta (que tiene el objetivo de asegurar la confidencialidad de los datos y de protegerlos de cualquier manipulación fraudulenta) puede suponer un doble desafío: no sólo a nivel de las tres redes de tarjetas (ServiRed, Sistema 4B y Euro 6000) y los tres centros procesadores (SERMEPA, REDY y CECA) sino también para aquellos comercios que son propietarios de sus sistemas de aceptación de tarjetas, que gestionan su propios terminales punto de venta.

La solución SNCP permite la encriptación de los datos desde su captura en el PIN-pad del punto de venta hasta que éstos son recibidos por el adquirente o procesador, con lo cual se asegura la encriptación “extremo a extremo” de todos los datos sensibles de la tarjeta, a excepción de los dígitos del BIN, que indican el número de identificación del banco. El adquirente o procesador es el que se encarga de descifrar los datos con claves criptográficas custodiadas exclusivamente por el propio adquirente o procesador, que son desconocidas para el comercio. La mayoría de los grandes establecimientos han completado el proceso de certificación y ya están empezando a desplegar la SNCP en sus puntos de venta.

Los ganadores de los premios de Visa Europe han sido anunciados en la reunión de miembros “Insights 09” organizada por Visa Europe en Berlín a finales de abril. Distintos participantes en la industria de los medios de pago de toda Europa presentaron más de 130 candidaturas a los citados premios.

Los Premios que concede Visa Europe en cada edición a las entidades financieras miembro de la asociación, se organizan en siete diferentes categorías. Bancos y cajas compiten tanto con proyectos desarrollados para el sector de los sistemas de pago, como con proyectos de patrocinio y responsabilidad social corporativa.

Stanley Skoglund, Vice Presidente Senior de Cumplimento de Normativas de Visa Europe, señala “Desde el principio confiamos en esta iniciativa y hemos apoyado a las tres redes españolas con el objetivo de certificar la solución SNCP. Visa Europe y las tres redes españolas ha considerado siempre como una prioridad este tipo de soluciones técnicas con el fin de garantizar la seguridad de las transacciones de tarjetas para los comercios, los consumidores y las entidades financieras.”

Declaración de Luis Furnells , Consejero Delegado, ServiRed

«Estamos muy satisfechos tanto con el reconocimiento de Visa Europa a nuestro trabajo y a nuestro valor añadido, como con el apoyo recibido de Visa durante todo el desarrollo del proyecto. Los tres sistemas de pago españoles, reconociendo los retos específicos del mercado español, unimos fuerzas para ayudar al sector del comercio y desarrollar una solución técnica de encriptación «extremo a extremo» que permite, al mismo tiempo y con ahorros significativos: i) reducir el riesgo de compromiso de datos de tarjeta, en el caso de ataques informáticos a los sistemas y a las bases de datos de los comercios y ii) migrar a EMV la infraestructura de aceptación de tarjetas que es propiedad de dichos comercios.»

Declaración de Alfonso de la Viuda – Director General, Sistema 4B

“Este premio es el resultado de una cooperación muy exitosa de los Group Members españoles de Visa y un afán por mejorar la seguridad en nuestra industria, en un compromiso compartido con nuestras entidades miembro y sus clientes comerciantes”

Declaración de Santiago Ballesteros, Director General, Euro 6000

«Estoy encantado con el reconocimiento de Visa Europe a nuestra SNCP. Espero que Visa promueva la utilización de SNCP como estándar mundial de «cifrado de extremo a extremo» que resuelva definitivamente los riesgos de fraude por compromiso de datos de tarjetas.»

Referencia en Inglés

ServiRed, Sistema 4B and Euro 6000, Spain SNCP (standardised solution to cipher track data) programme

Objective

The Spanish PCI DSS implementation programme (whereby sensitive account data is protected from potential compromise) faced a range of challenges: not only does the market comprise of three card networks (ServiRed, Sistema 4B and Euro 6000) and three processing centres, but the larger merchants (who own their own EPOS systems) are simultaneously connected to all three processors. The successful implementation of PCI DSS would therefore have to be a closely co-ordinated, multi-party endeavour which took full account of many different stakeholders – including merchants, processors, and the entire vendor community.

Outcome

The three card networks worked closely together to create the SNCP programme – an innovative technical solution which enables large merchants to simultaneously undertake both PCI DSS compliance and EMV chip migration, with significant cost savings. It represents an end-to-end encryption solution that can be implemented whenever a systems change needs to be undertaken. Once deployed it means that all account data other than the bank identification number (BIN) is fully encrypted across the entire transaction flow from the PIN-pad to the processor/acquirer, where it is decrypted with keys only known to the processor/acquirer. The majority of large merchants have completed the certification process and are starting to implement it across their outlets.

SeTI: Grupo de Seguridad de las Tecnologias de la Información y de las Comunicaciones

1 respuesta

Dirigidos por Arturo Ribagorda, en la Universidad Carlos III de Madrid, se trata de un Grupo Universitario que desarrolla lineas de investigación relacionadas con la seguridad y colabora con las empresas en proyectos concretos.

En Albalia ya hemos tenido ocasión de colaborar en el pasado y lo seguiremos haciendo.

Pon «Aa» (Avisar a..) en la agenda de tu móvil

7 respuestas

El Ministerio del Interior y la Cruz Roja han lanzado una campaña para concienciar a la población de que incluya en la agenda del móvil el contacto «Aa» (Avisar a..) con el teléfono de la persona a la que se debe contactar en caso de urgencia.

De esta manera, si sufrimos un percance, dejamos pistas para que los servicios de emergencia y los cuerpos de seguridad puedan avisar a la persona indicada con la mayor rapidez  ya que dicha entrada aparece en el primer lugar de la agenda de teléfonos.

«Lo primero que sucede es que hay que avisar a los familiares, algo que a veces tiene una importancia definitiva para tratar el supuesto, para ver cómo se aborda el problema», dijo el ministro del Interior, Alfredo Pérez Rubalcaba, en rueda de prensa en Madrid para presentar la iniciativa.

La campaña se enmarca dentro de la estrategia de prevención de accidentes de Cruz Roja «Prevenir es vivir» y contará con diversos materiales divulgativos como un anuncio de televisión, cuñas radiofónicas, carteles y marcapáginas para intentar concienciar a la población de la necesidad de incluir el contacto «Aa».

Más de tres millones de personas sufrieron algún tipo de emergencia en España como accidentes domésticos, laborales o de circulación, según datos del ministerio.

Además este contacto es  es util si perdemos el móvil, ya que quien lo encuentre tiene una pauta para contactar con alguien con interés en que recuperemos el móvil.

Actualización  17.07.2009

Al parecer esta noticia tiene su origen en otra más antigua, que he leído en Microsiervos: ICE: In Case of Emergency, el número para emergencias en teléfonos móviles

En diferentes blogs y noticieros se habla de la actual campaña del Ministerio del Interior y de la Cruz Roja  y los comentarios dan para todos los gustos. Una idea integradora, en mi opinión es la que he visto que proponen algunos comentaristas: Aa ICE 1 casa, Aa ICE 2 padres, …

En esta variante, se recoge el mensaje principal de la cruz roja, se coloca como una de las primeras posiciones el destinatario de la llamada Aa, se respeta el código internacional y además se aclara el tipo de destinatario de la llamada. Y se pueden poner más de uno.

EADTrust, en la Escuela Banespyme-Orange

1 respuesta

Banespyme - OrangeOrange, la Fundación Banesto Sociedad y Tecnología y el IE Business School están llevando a cabo la 8ª Edición del Concurso Escuela Banespyme-Orange.

EADTrust, la spin-off de Albalia Interactiva especializada en Servicios de Confianza de la Sociedad de la Información,  ha sido seleccionada en la primera fase.

El proceso del Concurso es el siguiente:

Selección inicial de las veinte mejores ideas de negocio para la puesta en marcha de aquellas iniciativas empresariales en el ámbito de las tecnologías Innovadoras, consistentes en acceso a una fase de formación y tutoría personalizada para el desarrollo de Planes de Negocio.

Posterior selección de los diez mejores proyectos de entre los veinte anteriormente preseleccionados que optan a una segunda fase de formación especializada y presentación ante un Panel de Inversores.

Selección final de dos proyectos ganadores de entre los diez que hayan superado la segunda fase y que pasarán a la fase final de incubación de sus proyectos.

Los servicios que prestará EADTrust vienen avalados por el modelo testado por Albalia Interactiva y se destinan a empresas de toda Europa.

El pasado 23 de mayo se desarrolló la primera sesión en el Instituto de Empresa (para los participantes de Madrid)

Boletín ENISA sobre eID

Deja un comentario

enisa_logo_RGBRecomiendo la lectura del boletín «ENISA Quarterly Review Vol. 4, No. 3, Jul-Sept 2008»

Algunos de los artículos interesantes:

  • Electronic Identity Cards and Citizens’ Portals
  • Common Criteria Protection Profiles for the Spanish eID-related Applications
  • eID Interoperability: the Key to  Success in Europe
  • Privacy and Capability Management for the European eIDM Framework
  • ENISA’s Activities on eID – an Update

INTECO difunde lo perfiles de protección Common Criteria del DNI electrónico

2 respuestas

ccra_logoEl Instituto Nacional de Tecnologías de la Comunicación (Inteco) difunde. con el apoyo del Centro Criptológico Nacional del Centro Nacional de Inteligencia, la certificación de seguridad de los perfiles de protección del DNI electrónico, cuatro documentos que recogen los requisitos técnicos esenciales para el desarrollo seguro y uso de aplicaciones del DNIe, en el marco de Common Criteria, ISO 15408.

Dichos perfiles han sido certificados con fecha del 23 de febrero y publicados en el Boletín Oficial del Estado (BOE) del 14 de abril, con lo que están disponibles para su uso por desarrolladores de aplicaciones certificables en el entorno del DNIe.

Actualmente más de diez millones de ciudadanos españoles disponen de esta tarjeta de identificación electrónica que contiene en su «chip» los mecanismos necesarios para permitir acreditar la identidad y llevar a cabo la firma electrónica de los ciudadanos por medios electrónicos.

Los requisitos técnicos, elaborados por Inteco en una encomienda de gestión del Ministerio de Industria, Turismo y Comercio, a través de Red.es, se reconocen internacionalmente como Perfiles de Protección o ‘Protection Profiles’ y en ellos se recogen los requisitos de seguridad estándar según la normativa internacional de referencia Common Criteria, que consiste en  un marco normativo aprobado como estándar internacional por ISO (CCv3.1) en 1999.

Entre las principales ventajas que se obtienen de la certificación de estos perfiles de protección se encuentra la posibilidad por parte de los usuarios de disponer de aplicaciones seguras y certificadas para el uso del DNIe como dispositivo de firma electrónica, lo que fortalece su confianza en este dispositivo en los trámites electrónicos con la administración o con el sector privado. En particular cumplir el requisito que impone el certificado de firma del DNI electrónico respecto al «content commitment», lo que significa que la aplicación informática de firma electrrónica debe cerciorarse de que «lo que se ve es lo que se firma» («what you see is what you sign»).

Del mismo modo, la industria desarrolladora de aplicaciones tendrá a su disposición los medios para diseñar, certificar y comercializar servicios seguros bajo una normativa o estándar reconocido.

Por otra parte, para garantizar la protección del usuario en la utilización del DNIe, en el grupo de expertos para la elaboración de estos perfiles de protección han estado representados la Dirección General de la Policía, la Agencia Española de Protección de Datos, el Centro Criptológico Nacional y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, así como las principales asociaciones de la industria española, como ASIMELEC.

Inteco, mediante un laboratorio acreditado (Epoche & Espri), ha elaborado cuatro documentos de perfiles de protección para aplicaciones de creación y verificación de firma electrónica con el DNIe: dos para plataformas TDT, PDA y dispositivos móviles y otros dos para ordenadores personales con sistemas operativos de propósito general.

Para cada entorno se han certificado (a través de LGAI-Applus), a su vez, dos perfiles para que el desarrollador pueda optar a dos niveles de garantía de seguridad diferentes en cuanto a su certificación, denominados EAL1 y EAL3. El primero está dirigido a todo tipo de desarrollos, mientras que el segundo está diseñado para aquellos desarrollos que quieran obtener un nivel superior de garantía de seguridad.

Con la intención de facilitar a los desarrolladores y a la industria en general la adopción de estos perfiles de protección, como referente para el diseño y desarrollo de sus aplicaciones de firma con el DNIe, el Instituto Nacional de Tecnologías de la Comunicación ha elaborado unas guías para la aplicación de los perfiles de protección en la elaboración de aplicaciones certificables de creación y verificación de firma con DNI electrónico.

Adicionalmente, el próximo día 20 de abril, Inteco presentará en su sede de León los perfiles de protección, conjuntamente con las guías de aplicación a la industria, las asociaciones sectoriales y a todos los desarrolladores interesados en estos documentos, su contenido y su aplicación.

 Estos perfiles, denominados técnicamente como PPSCVA-T1-EAL1, PPSCVA-T1-EAL3, PPSCVA-T2-EAL1 y PPSCVA-T2-EAL3, además de impulsar el desarrollo de aplicaciones seguras en el entorno del DNIe, son las herramientas básicas para difundir la cultura de la certificación entre desarrolladores y la cultura en el uso de herramientas seguras entre los usuarios de estas aplicaciones. Dichas guías y perfiles de protección estarán disponibles en la página web de la entidad: www.inteco.es y en la del Organismo de Certificación del Centro Criptológico Nacional.