Las organizaciones dan una gran importancia a su imagen corporativa. Con el objetivo de transmitir una imagen única y fácilmente identificable, se tiende a impedir que cualquier elemento se aparte de la estética oficial. Si nos centramos en los sitios web, veremos que hay un gran empeño en que todas las webs tengan la misma apariencia.
Pero, desde el punto de vista de la seguridad informática, ¿es aconsejable este empeño?
Continue reading «Cuestión de imagen»
El ASIC ha participado activamente en las Jornadas Técnicas 2011 de RedIRIS, celebradas la semana pasada en Valladolid.
En este foro técnico, que reúne a los expertos TIC de universidades y centros de investigación españoles, el ASIC ha presentado dos ponencias:
Estas presentaciones corresponden a servicios prestados desde el ASIC que representan iniciativas pioneras en sus respectivos ámbitos.
Continue reading «El ASIC ha participado en las Jornadas Técnicas de RedIRIS»
Aunque están próximas las vacaciones de verano, en el campo de la seguridad informática no hay descanso. Es más, los ataques se incrementan en los períodos festivos, ya que los usuarios estamos más relajados y no contamos con el apoyo habitual de nuestros informáticos.
El phishing es un viejo conocido en este campo: un mensaje de correo electrónico simula ser de una organización legítima (un banco, la universidad, etc.) y contiene un enlace a una página falsa que suplanta a la auténtica. En la UPV, desgraciada e inevitablemente, hemos sufrido algún ataque de este tipo.
Los dos aspectos fundamentales del phishing son la suplantación (el hacerse pasar por otro) y la ‘pesca’ del incauto (normalmente la obtención de su usuario y contraseña).
Y nos podemos encontrar con distintos tipos de ataques que, manteniendo estas dos características, intentarán engañarnos para capturar nuestras credenciales:
Los días 9 y 10 de marzo se celebrará en la Universidad Politécnica de Valencia el IX Foro de Seguridad RedIRIS, organizado conjuntamente por la UPV y RedIRIS.
La edición de este año está centrada sobre la Seguridad en el Cloud Computing, abordando este tema desde distintos enfoques (técnico, normativo, legal, etc.) principalmente desde el punto de vista de las universidades y demás instituciones afiliadas a RedIRIS.
La computación en la nube (Cloud Computing) es un término que describe diferentes tecnologías donde los recursos informáticos (físicos y lógicos) están disponibles a través de Internet, siendo irrelevante su ubicación física y geográfica. Este modelo permite utilizar los recursos bajo demanda, de manera que únicamente se emplean, en cada momento, aquellos recursos que se necesitan.
La seguridad en el Cloud Computing engloba desde las principales amenazas que afectan a los servicios hasta la repercusión que este modelo de computación tiene en la confidencialidad, la protección de los datos, la disponibilidad y las responsabilidades de las partes involucradas.
Continue reading «La UPV organiza el IX Foro de Seguridad RedIRIS»
VirusTotal es una herramienta ofrecida por Hispasec que analiza ficheros y direcciones Web con distintos motores anti-malware.
En el ASIC hemos preparado un servicio que permite invocar a VirusTotal desde programas, es decir, sin intervención del usuario. Esta pasarela está especialmente indicada para las aplicaciones Web que permiten a los usuarios subir ficheros.
Toda la información sobre el servicio la encontrarás en:
http://www.upv.es/doc/VirusTotal
Continue reading «VirusTotal para los programadores de la UPV»
El INTECO (Instituto Nacional de Tecnologías de la Comunicación) ha publicado la Guía para el uso seguro del DNI electrónico en Internet.
Esta guía pretende promover el uso del DNI electrónico dando un repaso a sus características, explicando cómo se utiliza y qué requisitos se necesitan en el equipo del usuario y, finalmente, mostrando el uso que se puede hacer del mismo.
La guía completa está publicada en castellano y hay una reseña de la misma en valenciano y en el resto de las lenguas oficiales. Puedes descargar gratuitamente esta guía desde la sección del OBSERVATORIO de la Seguridad de la Información del INTECO:
https://www.inteco.es/Seguridad/Observatorio/manuales_es/guia_DNIe
El uso del DNI electrónico te permite autenticarte electrónicamente y firmar documentos con la misma validez que la firma manuscrita. Es importante dedicarle un breve período de documentación, para aprender a utilizarlo correctamente y entender sus implicaciones.
Te animamos a que empieces a usar tu DNI electrónico y te recordamos que puedes utilizarlo para identificarte en la Intranet de la UPV.
Microsoft ha desarrollado la herramienta EMET (Enhanced Mitigation Experience Toolkit) para que el usuario pueda proteger su equipo añadiendo capas de seguridad a las aplicaciones. Aunque se puede considerar una herramienta para técnicos, todo usuario puede utilizarla siguiendo indicaciones precisas para casos concretos.
A medida que se desarrollan nuevas técnicas de seguridad (DEP, ASLR, etc.) los fabricantes de software han de ir incorporándolas a sus productos para evitar los frecuentes ataques informáticos. Sin embargo, por inercia, muchas aplicaciones no aplican las nuevas técnicas y siguen siendo vulnerables a distintas amenazas.
EMET (disponible para las versiones de Windows actuales: XP SP 3, Vista, W7, 2003 y 2008) permite añadir las nuevas técnicas a cualquier aplicación, sin necesidad de contar con el código fuente ni recompilar con distintas opciones.
Como ejemplo, vamos a ver cómo utilizar EMET para protegernos de las últimas vulnerabilidades de Adobe Reader. Estas vulnerabilidades no están solucionadas por el fabricante y se tiene constancia de ataques activos que se aprovechan de las mismas.
Para tener nuestro ordenador al día es muy importante mantener todas las aplicaciones actualizadas, tanto el Sistema Operativo como los distintos programas que tengamos instalados.
Los fabricantes desarrollan continuamente parches que corrigen errores y aumentan la seguridad de las aplicaciones informáticas, pero, en muchas ocasiones, es responsabilidad del usuario el aplicar estas actualizaciones o actualizar la versión de los programas.
Vamos a repasar brevemente cómo podemos tener actualizado nuestro equipo.
Continue reading «Actualizaciones de software»
En los próximos días vamos a realizar algunos cambios en la red inalámbrica que podrían ser de su interés.
Actualmente la UPV dispone de 4 redes inalámbricas:
UPV-INFO, UPVNET, UPVNET2G y eduroam.
La Wi-Fi UPVNET fue la primera que se desplegó y es una red sin cifrado que exige el establecimiento de un túnel VPN (red privada virtual) para acceder a los servicios de la UPV y a Internet. El túnel VPN garantiza la identidad del usuario y ofrece la seguridad necesaria en la red inalámbrica.
Para mejorar la seguridad y facilitar a los usuarios la conexión a la red Wi-Fi, el 5 de julio la red inalámbrica UPVNET va a desaparecer durante unos días y cuando reaparezca será una red cifrada similar a UPVNET2G.
Si usted se conecta habitualmente a UPVNET2G, no se preocupe. No tendrá ningún problema.
En cambio, si usted se conecta a la red Wi-Fi UPVNET (no confundir con el dominio UPVNET de inicio de sesión) y luego hace el túnel VPN para acceder a Internet, le recomendamos que cambie su configuración Wi-Fi y se conecte desde hoy mismo a UPVNET2G. Si su equipo no soporta los protocolos que requiere esta red (WPA/WPA2 Enterprise y PEAP), podrá seguir utilizando el túnel VPN pero sobre la red Wi-Fi UPV-INFO.
El objetivo final es disponer de estas redes Wi-Fi:
Las redes UPVNET y UPVNET2G serán prácticamente idénticas. Dejaremos UPVNET2G durante unos años para mantener a los usuarios que ahora la utilizan, pero a largo plazo, todos los miembros de la UPV utilizarán la nueva red UPVNET.
Tiene más información y todas las instrucciones en http://wifi.upv.es.
Disculpe las molestias que este cambio le pueda ocasionar.
Estos días estamos renovando todos los certificados digitales que utilizan los servidores corporativos de la UPV.
Mediante los certificados digitales se garantiza la identidad de los servidores y se posibilita el cifrado de las comunicaciones a través de la red. Este mecanismo permite que los servicios de la UPV sean de uso privado y confidencial, a la vez que dificulta los ataques de tipo phishing.
Continue reading «Nuevos certificados digitales para los servidores de la UPV»