¿conoces si tu software tiene vulnerabilidades?

¿ Cuántos de nosotros conocemos si el software que usamos posee vulnerabilidades ?

Es más, ¿ es importante saberlo ? Pues si, y mucho. Sobre todo si la información que se almacena en los PC’s es de importancia.

Que existen individuos que conocen estas vulnerabilidades y las usan en “beneficio” propio, no es discutible, tan sólo es necesario teclear en el buscador “vulnerabilidades” y obtendremos un listado importante de entradas que devuelven información de vulnerabilidades de diferentes aplicaciones de software. Lo más importante: vulnerabilidad = falta de seguridad, en una relación inversamente proporcional, a mayor número de vulnerabilidades en el software que usamos, mayor grado de falta de seguridad.

En cuanto al sistema operativo, la mayor parte de los mismos proporcionan la opción de consultar y descargar las diferentes actualizaciones que se publican, pero ¿ y para el resto del software …  ? Leo en esta noticia ( Herramienta de seguridad monitoriza actualizaciones de 7.000 programas ) la existencia de un software que por una parte proporciona información acerca de las posible vulnerabilidades del software usado y por otro facilita la actualización de dicho software. La herramienta: Secunia Personal Software Inspector (PSI) 1.0.

Existen versiones personales (gratuita) y para empresas (de pago). La personal, la que me he descargado, no está disponible en castellano, aunque si en Inglés. De momento tampoco tiene la posibilidad de funcionar si usamos un proxy, aunque según reza en el mesaje que aparece en esta circunstancia, está previsto incluir soporte para esta característica.

De cualquier manera, y usando este u otro software, es importante conocer en que grado  nuestra red/ordenador posee vulnerabilidades e intentar en la medida de lo posible, aunque no siempre es sencillo, reducir este grado/riesgo.

Que me hacen phishing!

… No, no, no es nada relacionado con una necesidad fisiológica. Para el que no lo sepa phishing es una técnica utilizada por los “ciberdelincuentes”, mediante la cual se suplanta la identidad corporativa de una entidad bancaria, y abusando de la confianza/desconocimiento/llámalo x, obtienen datos de acceso con los que poder estafar a clientes.

Pues bien, hasta ahora los bancos que eran suplantados no tenían ninguna responsabilidad sobre el delito, y de hecho utilizaban este tipo “uso” (acceso por internet) de sus usuarios para intentar liberarse de cierta responsabilidad (La noticia en una de tantas webs de hoy), pero al parecer este “vacío legal” que existía y que han sabido aprovechar, se les ha acabado.

A patir de ahora si has sufrido este tipo de estafa, TU ENTIDAD BANCARIA deberá “correr” con los gastos provocados. Seguro que a partir de ahora veremos muchas más iniciativas para proteger y securizar este tipo de Banca (electrónica) por parte de todas las entidades.

A veces hay que llegar a estos extremos para proteger al usuario, pues si analizamos la situación ¿quíen es el último responsable de que un cliente facilite sus datos de acceso? Yo entiendo que los bancos no. De lo que si son responsables obviamente es de poner todos los medios necesarios, para que aunque llegasen los datos de acceso a los ciberdelincuentes, estos no fuesen suficientes para acceder … un método sencillo podría ser el envío de una clave dinámica al móvil del usuario (suponiendo claro que el usuario tenga móvil), de manera que aún conociendo las claves “estáticas” de acceso (tipicamente número de identificación, pin y/o tarjetas de coordenadas) estás no fuesen suficientes.

El problema de sistemas de este tipo es que tienen un coste (el envío del sms) que obviamente no es fácilmente repercutible al cliente (al menos no muy justificable, porque luego cada entidad hace lo que le viene en gana), y de esta manera el ahorro en costes que supone no tener que disponer de oficinas físicas se minora por el coste de los sms (potencialmente muchos).