De acuerdo a la información publicada por Sheldom Malm, director senior de estrategia de seguridad de Rapid7, los boletines agendarán nueve actualizaciones para Windows 2000, ocho para Windows XP, seis para Vista, nueve para Windows Server 2003, ocho para Windows Server 2008, cinco para Windows 7, cinco para Windows Server 2008 R2, dos para Office XP, dos para Office 2004 para Mac y una para Office 2003.

De las mencionadas, las críticas son para Windows 2000, cinco; para XP, cinco; para Vista, tres, para Windows 7, cinco; para Server 2003, cuatro,; para Server 2008, tres; y para Server 2008 R2, tres. Las demás están clasificadas como importantes y moderadas.

Malm dio a conocer en su blog que son dos las vulnerabilidades, conocidas por cierto, que no serán atendidas en alguno de los 13 boletines que serán liberados el martes 9 de febrero.

La primera afecta a Internet Explorer y permite a un atacante extraer información de una PC que esté conectada a Internet. Hasta el momento Microsoft se ha limitado a publicar una aviso de seguridad sobre la vulnerabilidad para prevenir a sus clientes.

La segunda está relacionada con una vulnerabilidad identificada por Malm como la del ‘ataque de negación de servicio (DoS) a las PyME” de la cual alertó Microsoft el pasado noviembre en la alerta de seguridad 977544.

“Aún están trabajando en la actualización y, como hemos hecho notar varias veces en el pasado, no se sabe si Microsoft está preparando parches para esos DoS”, comentó Malm.

Edwin Pena, un hacker venezolano de 27 años se declaró culpable de haber cometido conspiración electrónica y acceso ilícito a sistemas de cómputo a través de un fraude de voz sobre IP (VoIP), que comprometió más de 10 millones de minutos  y generó daños por 1.4 millones de dólares a las compañias atacadas.

El caso ha sido bautizado por el Departamento de Justicia de Estados Unidos (DoJ), del estado de Nueva Jersey, como el primer individuo en la historia procesado por cometer un fraude a través de tecnología de Voz sobre IP (VoIP).

La autoridad estadunidense menciona que Pena será sentenciado el próximo 14 de mayo por un corte federal de Estados Unidos y enfrenta dos cargos que le obligarían a pasar los próximos 25 años de su vida en prisión.

“Los cargos por conspiración tiene un pena máxima de cinco años en prisión y una multa de 250,00 dólares. El cargo por fraude electrónico tiene un pena máxima de 25 años en la cárcel y una multa por 250,000 dólares”, cita el documento del departamento de justicia.

Pena fue capturado luego de tres años “cacería” e investigación, que llevaron a las autoridades estadunidenses a localizar al criminal en diversos países de América del Sur y ser capturado eventualmente en México, el 6 de febrero de 2009.

“Esta investigación es el ejemplo perfecto de la habilidad de las autoridades legales para combatir y cerrar el camino a delincuentes que cometen delitos informáticos fuera de las fronteras de nuestro país”, apuntó en el comunicado Paul J. Fishman, fiscal de Nueva Jersey.

De acuerdo a información entregada por el DoJ, Pena había sido aprendido anteriormente el 6 de junio de 2006 en el estado de Florida, Estados Unidos y presentado ante la Corte de Nueva Jersey a finales del mismo mes. Sin embargo, el hacker escapó del país para evadir la sentencia mientras se encontraba en libertad condicional.

El fraude, confesó Pena, consistió en comprometer o hackear redes de proveedores de servicios de telefonía de Voz sobre IP. Una vez vulneradas las redes de estas compañías el cibercriminal creó dos empresas ilegales que comercializaban servicios similares.

Dado que el ancho de banda o minutos de llamadas que vendían Pena no pertenecían realmente a sus compañías sino que provenían de la infraestructura de las empresas vulneradas tenía la posibilidad planes de telefonía a precios irrisorios, según informó la autoridad.

En menos de un año Pena logró vender más de 10 millones de minutos a internautas y generar daños y pérdidas a una de las compañías legítimas de servicios VoIP que comprometió, con sede en Newark, por arriba de los 1.4 millones de dólares.

De acuerdo con el fiscal para ocultar “las ganancias millonaria” generadas por el fraude cibernético, Pena de 27 años compró diversos automóviles nuevos, una propiedad residencial y un bote de 40  pies, todos ellos bajo un posible seudónimo conocido como “A.G”

Un nuevo reporte reveló que las empresas aún hacen padecen la gestión de registros electrónicos al ahondar en cómo hacen las organizaciones para almacenarlos y destruirlos en tiempo.

Mientras que en 80% de las empresas que participaron en la encuesta hay cumplimiento en los principios básicos de la gestión de los registros físicos, apenas en una de cada cuatro organizaciones (23%) han sido establecidas políticas para hacerlo lo propio con los registros electrónicos.

El reporte “Benchmark de cumplimiento: mejores prácticas en la gestión de regitros” de Iron Mountain consigna que según los resultados hay un riesgo latente debido a la explosión en el crecimiento de la información electrónica, lo que trae aparejada la preocupación de los consumidores quienes se preguntan cómo son protegidos sus datos.

Reflejo de esta preocupación por parte de clientes y consumidores es el establecimiento de regulaciones en torno a la administración de registros tanto físicos como electrónicos.

Es bueno que, según el documento, 64% de las compañías tengan el propósito de mejorar sus programas de administración de registros. La encuesta encontró que todos las empresas que participaron tenían funcionando programas de administración de registros, aunque muy básicos.

El reporte comprobó que las organizaciones que tienen robustos programas de gestión de registros son las grandes empresas sometidas a regulaciones más estrictas de acuerdo al tipo de industria al que pertenecen y que están bajo la práctica de auditorías cuyas medidas correctivas podrían significar incluso pagos por penalizaciones.

Por otro lado, 54% de las organizaciones encuestadas utilizan un calendario empresarial donde se especifican los detalles de la preservación y destrucción de la información. No obstante, 48% de las empresas incluyen copias físicas y registros electrónicos en dichos calendarios.

“La ausencia de un calendario de retención de información bien logrado puede minar los mejores esfuerzos de una organización para gestionar sus información de valor, dejando expuesta a la compañía a un riesgo considerable de infringir regulaciones e incluso la ley”, indicó el documento.

Preocupante es, hace notar el reporte, que menos de un tercio de las compañías tiene funcionando métodos formales de acceso y administración de los registros electrónicos que puedan tener implicaciones legales.

Otro hallazgo relevante de la encuesta es que en apenas 37% de las orgnizaciones participantes se ejecutan entrenamientos relacionados con la administración de los registros.

De acuerdo al ranking de la firma de seguridad Bitdefender, seis son variantes de troyanos que causaron daños en computadoras alrededor del globo, mientras que dos ejemplares son gusanos y otros son ejemplares de malware ejecutables que tienen como fin explotar vulnerabilidades en Windows y en software de Adobe.

La lista la encabezó Trojan.Clicker.CM con 8.30% del número total de computadoras infectadas. Esta variante de troyano se encuentra en sitios Web, por lo regular en páginas de torrents y donde se comparten archivos y aplicaciones generalmente ilegales. El resultado de la infección de la PC con este ejemplar es que el usuario recibirá sin su autorización anuncios de diversos productos en su navegador de Internet.

La segunda amenaza que logró infectar más computadoras en el mundo (8.17%) es Trojan.AutorunInf.Gen, el cual es un mecanismo genérico para diseminar malware mediante dispositivos de memoria extraíbles como USB o discos duros externos, entre otros.

La tercera amenaza más diseminada fue el conocido gusano Win32.Worm.Downadup.Gen, responsable de 6.18% de las infecciones de PC a nivel global. Como su nombre lo sugiere, explota una vulnerabilidad de Windows y restringe el acceso a Windows Update y a páginas de compañías de software de seguridad. Este ejemplar de malware es responsable de muchos engaños de antivirus apócrifos o rogueware, también conocido como scareware.

En la cuarta posición se ubicó Exploit.PDF-JS.Gen con 5.76% del total de infecciones. Este malware manipula archivos PDF para explotar diversas vulnerabilidades halladas en el motor JavaScript de Adobe PDF Reader y así ejecutar código malicioso.

Con 4.30% de las infecciones la quinta amenaza más dañina en el mundo fue otro troyano identificado como Trojan.Wimad.Gen.1, también alojado comúnmente en sitios Web torrent. La peculiaridad de este malware es que se esconde en archivos de series televisivas o películas populares. Estos archivos de video apócrifos se pueden conectar a una dirección URL específica y descargar malware, haciendo las veces del códec apropiado que se requiere para reproducir el archivo.

Las 10 principales amenazas de enero

1. Trojan.Clicker.CM 8.30
2. Trojan.AutorunINF.Gen 8.17
3. Win32.Worm.Downadup.Gen 6.18
4. Exploit.PDF-JS.Gen 5.76
5. Trojan.Wimad.Gen.1 4.30
6. Win32.Sality.OG 2.73
7. Trojan.Autorun.AET 2.01
8. Worm.Autorun.VHG 1.69
9. Trojan.Script.254568 1.40
10. Trojan.JS.QAF 1.40
OTRAS 58.01

Según información divulgada por Twitter, el ataque provino de páginas Web de torrents, donde los usuarios acceden a índices de descargas de archivos de música, software y películas entre otros contenidos. La compañía encontró que en dichos sitios se requiere un usuario y contraseña para ingresar entrar al servicio y así descargar y compartir archivos.

Aparentemente los torrents involucrados fueron creados con el propósito específico de recolectar la información para venderla después. Como muchos internautas utilizan los mismos usuarios y contraseñas para accesar a sus cuentas de correo y de redes sociales, esto podría haber facilitado el trabajo a los cibercriminales.

“Como parte de nuestros actuales esfuerzos de monitorear nuestra base de usuarios para encontrar actividad atípica hemos detectado un incremento súbito de seguidores de unas cuentas en los últimos cinco días. Dadas las circunstancias entorno a esto, sentimos que lo mejor es resetear las contraseñas a las cuentas que siguen a estos usuarios sospechosos”, comunicó en el blog Del Harvey, director de seguridad y confianza de Twitter.

A pesar de que no especificó cuántas cuentas están implicadas en la brecha, al parecer cambiar las contraseñas es una medida que muchos otros usuarios del sitio Web podrían adoptar sobre todo si también son usuarios de torrents.

El hecho de que la  información obtenida por los hackers aparentemente podría dar acceso a dos o más cuentas de correos electrónicos y redes sociales, implicaría que más información de los usuarios afectados podría estar comprometida.

“No hemos identificado los sitios implicados… pero como regla general, si te diste de alta en un sitio de torrents creado por un tercero, deberías cambiar tu contraseña”, aconsejó Harvey.

Twitter recomendó a los usuarios tener una contraseña diferente para cada servicio al que los usuarios se dan de alta.

Si los internautas mexicanos tuvieran un temor en el Web  este sería a ser víctimas de un fraude de phishing, pues según el reporte de la firma de la firma de seguridad RSA, 75% de los consumidores en línea del país están conscientes y colocan esta amenaza como su principal preocupación.

El reporte liberado en el sitio Web de RSA analiza la respuesta de más de 4,500 clientes y usuarios de Internet alrededor del mundo, en la cual todos  los encuestados son internautas activos y, durante el mes previo a la encuesta, 92% realizó transacciones bancarias y 80% hizo  una  o más  compras en Internet.

Los datos arrojados por la encuesta mencionan que América Latina se coloca como la región con la mayor preocupación por ataques relacionados con el phishing con 59%, contra 37% de Estados Unidos y 29% de Europa.

Y si bien, casi ocho de diez internautas de México colocan al phishing como su principal preocupación, son los usuarios de Internet brasileños los que representan el mayor número de víctimas de este tipo de delitos informáticos con 41%, contra 31% de los peruanos y 30% de los mexicanos.

A escala global, el estudio de RSA muestra que el phishing se ubica como el segundo ataque más conocido entre los compradores en línea con 76%, debajo del 88% que representan los virus y por encima del 75% del spyware.

Este número representa una mayor educación o conocimiento sobre este tipo de ataques, pues de acuerdo con RSA en 2007 sólo 38% de los internautas conocían el término de phishing. Dicha cifra  casi se duplicó para 2009.

“Mientras el conocimiento sobre el phishing se ha duplicado con los años, la preocupación sobre este se mantiene entre las más altas de todo los ataques Web. De acuerdo con la encuesta 90% de los usuarios de Internet aceptó tener un nivel de preocupación por este tipo de ataques”, cita el reporte.

Sin embargo, conforme la consciencia y educación sobre el  phishing crecen, también lo hace el número de víctimas. Pues si durante 2007 únicamente 5% de los internautas aseguró haber sido víctima de un ataque de phishing, para 2009 la cifra de afectados se multiplicó seis veces para que el porcentaje de encuestados que aceptara ser víctima de este engaño alcanzara los 29 puntos.

El incremento es atribuido a la evolución y sofisticación de las estrategias de los cibercriminales, mediante el diseño de páginas de bancos apócrifas más reales, mayor cuidado en sus correos electrónicos y el nacimiento de nuevas formas de robo y fraudo muy ligadas a este fenómeno como el vishing (a través del teléfono) o el smishing (con el uso de mensajes de texto SMS), según RSA.

El talón de Aquiles de la banca en línea en Latam

Como era de esperarse los servicios de la banca en línea se colocaron como las páginas Web donde los usuarios latinoamericanos temen o se preocupan más por sufrir robo de sus datos personales (94%), seguido de las redes sociales (79%) y páginas de gobierno (75%).

Según RSA, a 90%  de los compradores en línea de América Latina les gustaría que los bancos desarrollen mejores niveles de seguridad para las transacciones en Internet y 96% mencionó estar  favor de que las instituciones bancarias monitoreen este tipo de operaciones.

El camino para lograr un mejor uso y mayor confianza en los servicios de banca en línea podría ser mediante la implementación de regulaciones  gubernamentales, toda vez que 95% de los internautas chilenos, colombianos y peruanos están de acuerdo en que el gobierno exija mayores controles de seguridad a los bancos. Dicha cifra que se reduce a 81% en el caso de los cibernautas mexicanos, indican los datos de RSA.

El lado oscuro del ser social

Aunque los fenómenos de las redes sociales como Facebook y Twitter siguen atrayendo usuarios de todo el mundo, los datos arrojados por RSA afirman que la desconfianza por compartir información personal en estas plataformas ha crecido.

“Aunque cientos de miles de usuarios se registran a diario en redes sociales, la encuesta muestra que 65% de los miembros de estas plataformas son poco proclives a compartir información personal debido a preocupación de seguridad”, cita el reporte.

Los expertos de RSA afirman que la fama de las redes sociales y su alcance masivo han atraído las miradas de los cibercriminales en busca de métodos para robo de información personal.

El puntocom californiano Google continúa en su labor para tratar de mejorar la seguridad y estabilidad de su navegador web Chrome. En esta ocasión ofrece casi 18,000 pesos por cada falla que los desarrolladores encuentren en la aplicación.

A través de una entrada en el blog de navegador Chrome, Google anunció que pagara a los programadores 500 dólares por cada bug o vulnerabilidad que localicen y hasta 1,337 dólares por cada error severo  y su manera de corregirlo que los desarrolladores localicen en Chrome.

“En el diseño de Chrome hemos trabajado arduamente por hacer del explorador lo más seguro posible. Desde fuerte mejoras a la tecnología de “caja de arena” y nuestra base de datos. Buscamos mantenernos al día con los funcionalidades de seguridad de nuestra plataforma y colaboramos de cerca con la comunidad de expertos”, cita el texto de Google en el sitio web.

Así, la firma copia uno de los modelos de trabajo de Mozilla, firma que paga 500 dólares a cada “cazador de bugs” que detecte  nuevas vulnerabilidades y errores de código en su navegador FireFox.

“Esta iniciativa experimental busca incentivar a los investigadores externos a participar en Chrome. De modo que estaremos recompensando reportes de vulnerabilidades originales  nuestra comunidad de seguridad”, explicó la compañía.

De acuerdo con la información liberada, aquellos que hayan detecto una vulnerabilidad en la plataforma Chromium deberán someter a través del programa “bug tracker”, una vez registrada la falla esta será analizada por una panel de ingenieros.

La vulnerabilidad o riesgos en la seguridad registradas pueden ser para la plataforma Chromium, el navegador  Chrome o los plug-ins como Google Gears.

De acuerdo a otros sitios especializados en seguridad IT, la iniciativa de firmas de tecnología por recompensar a los investigadores de seguridad llega, luego de que varios profesionales reclamaran la falta de reconocimiento por parte de las compañías a su trabajo.

A la fecha ni Microsoft con Internet Explorer ni Apple con Safari pagan o cuentan con programa de incentivo para su comunidad de seguridad.

Apple ha logrado, a través de su campaña de mercadotecnia convencer a los usuarios que sus productos Mac son inmunes a los códigos maliciosos y cualquier otro tipo de malware, en comparación con su competencia Windows cuya plataforma está expuesta diariamente a millones de peligros.

Sin embargo,  Intego, una firma dedicada al desarrollo de software para las plataformas de Apple demostró en su reporte “The Year in Mac Security”, que más que inmune la tecnología de la firma con la manzana y sobre todo su base instalada de usuarios apenas comienzan a llamar la atención de los cibercriminales.

Aunque los riesgos en los productos y programas de Apple aún están muy lejos de alcanzar los riesgos que enfrentan los usuarios y empresas corriendo Windows, de ninguna manera están exentos de fallas o peligros potencialmente aprovechables por los ciberdelincuentes.

• Intego detectó un troyano en la versión ilegal del iWork 2009 tras su lanzamiento, la cual logró infectar a más de 20,000 usuarios en todo el mundo.
• En los últimos 12 meses Apple liberó más de 39 actualizaciones de seguridad para su sistema operativo Mac OS X.
• Estas actualizaciones contenían más
• El año pasado la firma con el símbolo de la manzana detectó y corrigió más de 60 fallas o vulnerabilidades en su navegador web, Safari.
• El iPhone  tampoco fue inmune, pues la compañía liberó casi 50 parches de seguridad para el iPhone OS.
• Desbloquear (Jailbreaking) un iPhone remueve más del 80% de los niveles de seguridad incluidos en el sistema operativo.
• La firma detectó más de 5 amenazas para el iPhone que proveen la capacidad de comprometer, robar información o convertir al equipo en parte de una botnet.

Diversos expertos que el reciente lanzamiento de su tableta digital, la iPad también podría arrastrar problemas de seguridad o intentos por parte de usuarios y hackers por vulnerar el sistema operativo, en busca de abrirlo a la instalación de programas de terceros o, en el peor de los casos para buscar una vía para generar robo de información.

Hoy se sabe que fueron tremendamente sofisticados y que, debido a los errores de los atacantes, las consecuencias fueron de menores proporciones, aunque lograron extraer código fuente y propiedad intelectual valiosa, como las mismas empresas afectadas han divulgado.

Expertos en seguridad de la información han coincidido en que el muy potente ciberataque fue ejecutado utilizando diversas estrategias, desde el envío masivo de correos con adjuntos de PDF y de Office infectados con una gran variedad de malware  por parte de destinatarios de la misma empresa o de conocidos, hasta el acceso no autorizado a los sistemas luego de infectar una gran cantidad de máquinas, según reportes de iDefense y F-Secure.

Lo anterior fue ejecutado en combinación con el uso de vulnerabilidades de día cero, particularmente la famosa falla en Internet Explorer por la que Microsoft tuvo que liberar un parche de emergencia la semana pasada.

Hoy día los expertos en seguridad han llevado a cabo investigaciones para despejar más incógnitas. Por ejemplo, en Secureworks identificaron caracteres chinos en el código malicioso del ataque. Según Joe Stewart, director de investigación en malware de la firma, los atacantes encriptaron el código y escribienron protocolo ya existente para enviar comandos binarios lo cual es, aunque algo ya visto, con cierto grado de sofisticación que los aficionados no podrían hacer.

La sofisticación radica, coinciden los expertos, en cómo fue armado el ataque en su conjunto para penetrar objetivos específicos que en el malware y los engaños utilizados.

Las empresas afectadas junto con Google y Adobe pertenecen a una variedad de industrias como la financiera, la tecnológica, Internet, medios de comunicación y la química. Lo que hay que resaltar es cómo en un mismo ataque y de un solo golpe fueron afectadas alrededor de 30 empresas.

Una encuesta aplicada por Microsoft, muy a propósito al Día de la Privacidad de la Información, encontró que una buena cantidad de áreas de Recursos Humanos en EU han rechazado a quienes postulan por una vacante en la organización por información hallada sobre ellos en Internet.

La investigación recabó datos obtenidos al encuestar a 2,500 consumidores, reclutadores y gerentes de RH y demostró que 70% de los encuestados de áreas de RH realizaron búsquedas en Internet sobre los postulantes y descartaron a algunos debido a dichos hallazgos.

Sin embargo, de las personas encuestadas solo 7% cree que su vida en línea ha perjudicado su búsqueda de trabajo y provocado no ser contratado. Lo anterior, a pesar de que 63% reconoció preocuparle cómo su reputación en Internet podría perjudicar su vida ‘offline’.

Aunque la búsqueda Web de información sobre los postulantes podría ser considerada una práctica poco ortodoxa para algunos, en realidad se ha extendido su uso y, particularmente en Estados Unidos, ha pasado a formar parte de las políticas de contratación de muchas áreas de RH, indica el documento.

La investigación fue realizada en, además de EU, Alemania, Gran Bretaña y Francia, pero el impacto del uso de Internet en la contratación fuera del país norteamericano parece ser mucho menor.

En Alemania y Francia apenas 16 y 14% de los encuestados de RH dijo haber rechazado candidatos por motivo de información encontrada en línea sobre ellos. Gran Bretaña presentó un impacto mayor, pues 41% de los gerentes de RH dijo haberlo hecho.

La desproporción se justifica al observar que en75% de las empresas en las que laboran los reclutadores la búsqueda Web de información sobre los candidatos es parte de una política de la compañía. De manera consistente es el caso en 48% de las empresas británicas y 21% de las alemanas y francesas.

Pero no todo es negativo. La información y referencias positivas sobre los postulantes ha motivado que los reclutadores los contraten y el estudio concluye que tanto la buena reputación en línea como la negativa podría afectar en el mismo sentido las posibilidades de obtener un trabajo a cualquiera.

El furor por la nueva tableta digital de Apple, la iPad no se hizo esperar en cada rincón de la Web. Desde hace un par de días y, hasta el momento de su anuncio oficial, la noticia del nuevo dispositivo se convirtió en el tema central de diversos blogs, páginas web y redes sociales como Twitter y Facebook, pero también materia de infección y robo de información en Internet.

De acuerdo con una alerta publicada por el laboratorio de seguridad de Websense la búsquedas web a través de motores como Google y Yahoo! ya comenzaron a desplegar sitios vulnerados o que contiene inyección de códigos maliciosos.

“Conforme la gente se muestra más interesada en encontrar información sobre el nuevo  producto de Apple, los términos de búsqueda relacionados están ganando popularidad, y al mismo tiempo, los ataques Blackhat SEO están comenzando a escalar en las listas de los resultados de búsqueda”, cita la advertencia de Websense.

Según los expertos de la empresa, al acceder al sitio infectado una ventana emergente notificará a los usuarios sobre una posible infección en su equipo y solicitará la descargada de un programa de seguridad para eliminar el supuestos malware.

Este tipo de infección, mejor conocida como roguerware o scareware, pretende engañar a los usuarios haciéndoles creer que su computadora está infectada y es necesaria la instalación de un antivirus. Sin embargo, el verdadero malware se alberga en el programa de seguridad apócrifo.

De acuerdo con Websense el riesgo radica, en que este tipo de código malicioso tiene una tasa de detección de 30%, es decir que en el 70% de los casos puede pasar inadvertido incluso si el usuario cuenta con programas de seguridad instalados en su máquina.

Se recomienda que los usuarios naveguen  y busquen información únicamente en sitios web legítimos y que cuenten con un nivel de reputación adecuado y, que cuentan con sistemas de seguridad y su sistema operativo actualizados al día.

Las fugas de información y las brechas en la seguridad de las compañías se mantienen como uno de los eventos más costosos y riesgosos para la operación y permanencia de las organizaciones en todo el mundo, de acuerdo a un estudio liberado por el Instituto Ponemon.

El reporte titulado “El costo de las brechas o fuga de datos”, analizó más de 45 compañías basadas en Estados Unidos que  sufrieron la pérdida o robo de información de entre 5,000 y más de 100,000 registros en 15 industrias o sectores diferentes.

“La fuga de datos en las empresas sigue siendo uno de los eventos más costosos para las organizaciones, toda vez que el costo promedio para resolver  este tipo de brechas creció de $6.65 millones de dólares a más de $6.75 millones de dólares para 2009”, cita el reporte del Ponemon Institute.

De hecho, el reporte explica que de las brechas analizadas la más costosa rebasó los $31 millones de dólares para resolverse, mientras que la menos costosa no bajo de los $750,000 dólares, es decir casi $10 millones de pesos mexicanos.

En otras palabras, durante 2009 por cada archivo perdido o robado, las compañías deben pagar un promedio de $214 dólares, contra los $202 dólares que tenían que desembolsar en 2008.

El análisis cita que, del total de brechas o fugas de datos 42% corresponde a fallas o fallas en los sistemas de terceros o socios de negocios, 36% involucran la pérdida de una computadora portátil o teléfono inteligente y 24% son derivados de ataques cibernéticos y códigos maliciosos.

Sin embargo, en este último punto las fugas o robo de datos causados por cibercriminales y ataques maliciosos le cuestan a las empresas entre 30 y 40% más, que los generados por negligencia humana, es decir $215 dólares por malware contra los $156 dólares que las organizaciones deben pagar por cada archivo cuando sus empleados pierden datos accidental o intencionalmente.

El Instituto Ponemon también señala en el estudio que el promedio de archivos perdidos también se incrementó durante 2009, pues en 82% de los casos las empresas reconocieron haber perdido más de 1,000 archivos con datos personales de sus clientes, empleados o proveedores.

Gastar en procesos no en soluciones mágicas

Si bien, se cree que las plataformas tecnológicas deben ser el primero paso para resolver la fuga o robo de información 67% de los encuestados mencionó que a las compañas de concientización como la herramienta más efectiva para reducir las brechas de seguridad.

Educación seguida de mejoras en los procesos de control y acceso (58%), aumento en el uso de tecnología de encripción (57%), soluciones de identificación  y administración de acceso (49%) y tecnología de DLP (42%), de acuerdo a los datos publicados.

Pensar antes de informar

Contrario a lo que se podría pensar sobre la velocidad o tiempo que las empresas deben tomar antes de notificar a sus clientes y usuarios sobre la pérdida o robo de sus datos, el reporte del Instituto Ponemon, afirma que es más barato tomarse su tiempo antes de avisar sobre la brecha de seguridad.

“Moverse muy rápido en la notificación de una brecha de seguridad puede aumentar los costos en el proceso, sobre todo ante la omisión de proceso forense durante una etapa temprana de detección”, cita el análisis.

Así, las empresas que analizan y notifican con más detenimiento sus brechas de seguridad pueden ahorrarse hasta 12% del costo promedio por registro perdido, es decir, $196 dólares contra $219 dólares.

CISO más un puesto más

El reporte del Ponemon Institute también afirma el peso que tiene para la organización la figura del CISO al momento de sufrir una brecha de seguridad o robo de información.

“En algunos casos las empresas que afirmaron contar con responsable de seguridad como CISO o cargo similar, pueden disminuir las brechas en su infraestructura hasta en 50%, contra las que únicamente manejan al CIO como responsable de toda el área de IT”, cita el estudio.

Así, las empresas que contaban con un CISO alcanzaron un promedio de costo por archivo perdido de $157 dólares, contra los $236 dólares en promedio que pagaron quienes solamente contaban con un gerente o directos de sistemas.

Esto, según el estudio, se debe a que los CISO manejan un estrategia únicamente enfocada en torno a la seguridad de la compañía, lo que les permite responder a los incidentes mucho más rápido.

Hotz aseguró que la “hazaña” esta vez le llevó cinco semanas consumarla y que publicará en Internet los detalles pronto, aunque no especificó cuándo.

Los usuarios de la consola de Sony podrán reproducir videojuegos piratas y correr software ”artesanal”, como simuladores. El PS3 era la única consola que aún no era hackeada, a pesar de que lleva tres años en el mercado.

Hotz dijo en su blog que continuará trabajando en hackear toda la consola para estar en condiciones de publicar su método y requerimientos.

Las consolas hackeadas también podrán reproducir videojuegos del PS2. Las primeras PS3 daban esta posibilidad, pero las versiones recientes fueron modificadas por Sony para evitarlo.

Para ampliar la oferta HP Security Advantage, construida sobre las capacidades adquiridas con EDS, la compañía reforzó con 90 nuevos servicios áreas como administración del riesgo, control de accesos y cumplimiento regulatorio. La oferta también incluye consultoría y entrenamiento

Para la administración del riesgo, la compañía introdujo HP Security, Compliance and Continuity Services, los cuales integran consultoría, entrenamiento y servicios administrados de seguridad.

Este portafolios tiene la finalidad de ayudar a las organizaciones a manejar el riesgo, proteger infraestructura crítica, mantener al negocio operando y mejorar el cumplimiento regulatorio.

Además, introdujo HP Access Control Printing Solution Suite, HP Scanjet Enterprise 7000n Document Management Workstation Series para evitar borrar del disco opciones y encripción del escaneo a PDF, así como HP Business Service Automation (BSA) Essentials Network,el cual permite la administración y el reporteo de los últimos estándares de cumplimiento regulatorio en un mismo tablero de control, entre otros servicios.

En respuesta al llamado al gobierno chino por parte de la Secretaria de Estado Hillary Clinton  a investigar los ciberataques denunciados por Google, un vocero del Ministerio de la Industria de las Tecnologías de la Información local dijo que las acusaciones no tienen fundamento.

La agencia de noticias gubernamental, Xinhua, citó al funcionario de quien no proporcionó su identidad. Google, a través de su abogado general David Drummond, dio a conocer hace dos semanas que los ciberataques que la compañía sufrió en su infraestructura fueron originados en China.

China no ha mostrado disposición para ejecutar tales investigaciones. Por el contrario, el vocero mencionado por Xinhua dijo que el gobierno local se opone tajantemente a las afirmaciones de Google y de Estados Unidos.

Un vocero del Ministerio de Asuntos Foráneos, Ma Zhaoxu, aseguró que el Internet chino es abierto y que las políticas del régimen en esta materia han sido transparentes y consistentes.

Dichas declaraciones han tensado más la relación entre EU y China, luego de que Google anunciara que abandonaría sus operaciones en el país asiático si persistía la censura en sus resultados de búsqueda en Internet y de que Clinton anunciara que pediria una investigación formal.

A raíz de estos hechos Google suspendió el lanzamiento de su teléfono inteligente Nexus One en China y comenzó una investigación entre sus empleados de la filial local.

En un discurso de Clinton ofrecido el jueves, la funcionaria llamó a los países del mundo que fueron afectados por los ciberataques a oponerse a estos hechos y a emprender medidas.