Norma ISO 27018, el RGPD y su impacto en los servicios prestados en la Nube

Publicado el 02/04/2018 por Rafael_L_R

rgpd_iso_nubeLa entrada en vigor del RGDP – Reglamento de Protección de Datos ha dado un impulso a la contratación de los servicios en la nube de las empresas, dado que de este modo, toda la actividad alrededor de la seguridad y la protección de datos queda derivada en el PSN – Proveedor de Servicio en la Nube (CSP – Cloud Services Provider), esta visión también es compartida por aquellas empresas quienes ya tienen contratados los servicios de aplicativos y datos en la nube.

El hecho de que las actividades de seguridad y la protección de datos sean realizadas por el proveedor de servicio, por derivación del servicio al mismo, esto no quiere decir que las empresas como propietarias de los datos que se gestionan quede exenta de responsabilidades acerca de estas actividades, de su seguridad, de cómo y dónde se están Seguir leyendo

Publicado en Buenas Prácticas, Estándares y normas, LOPD, Seguridad Informática, Todos | Etiquetado , , , , , , , , | Comentarios desactivados en Norma ISO 27018, el RGPD y su impacto en los servicios prestados en la Nube

Phishing con Dominios y URL con punto bajo

Publicado el 26/03/2018 por Rafael_L_R

Phishing punto bajoEn la definición y registro de los dominios es posible poder utilizar caracteres latinos Unicode con un punto bajo que permiten, por el tamaño del punto, el poder llevar a engaño al usuario ya que son cambios muy sutiles y  difícilmente perceptibles y, si no se pone expresa atención a ello, pasan totalmente desapercibidos.

Esta posibilidad es aprovechada por los delincuentes para crear nuevos espacios de Phishing para poder capturar a los incautos o despistados. Asimismo, para dar apariencia de legalidad, en ocasiones, estos dominios van acompañados por el icono del candado o por las siglas «https» que dan a entender que son comunicaciones seguras.

Tabla de caracteres latinos Unicode especiales de punto bajo

Estos caracteres dentro de la tabla de caracteres Unicode se encuentran entre el rango de valores del carácter Unicode «1E04» hasta «1EF5», en la siguiente imagen se pueden identificar algunos de ellos tanto mayúsculas como minúsculas. 

Seguir leyendo

Publicado en Buenas Prácticas, Delitos Informáticos, Divulgación, Evidencias, Malware, Noticias, Peritaje Informático o Tecnológico, Seguridad Informática, Todos | Etiquetado , , , , , , | Comentarios desactivados en Phishing con Dominios y URL con punto bajo

La Ciberseguridad en la Empresa

Publicado el 19/03/2018 por Rafael_L_R

CIBERSEGURIDADEl pasado miércoles 14 de marzo tuve el oportunidad de dar una charla sobre la Ciberseguridad en la Empresa a los alumnos del Máster de Compliance del ICAB.

Es esta charla se trataron y desarrollaron los temas y recomendaciones realizadas por INCIBE en su «Decálogo de Ciberseguridad para la Empresa» en el cual se abarcan aquellos puntos imprescindibles mínimos a considerar en relación a la Ciberseguridad y las medidas a aplicar en el contexto de la empresa para preservar la seguridad de los sistemas, los medios, los aplicativos y como resultado de ello la seguridad y preservación de la información.

Seguir leyendo

Publicado en Buenas Prácticas, Compliance, Divulgación, Estándares y normas, Legislación, Malware, Opinión, Pentest, Privacidad, Seguridad Informática, Todos, WhatsApp | Etiquetado , , , , , , , , , , , | Comentarios desactivados en La Ciberseguridad en la Empresa

El Técnico o Perito Informático en el Modelo de Compliance Penal de la Empresa

Publicado el 26/02/2018 por Rafael_L_R

TECNOLOGIAS TICs Y COMPLIANCECada día se pone más en relieve la necesidad de las empresas de contar con un modelo de cumplimiento Normativo (Compliance) con un adecuado diseño e implementación de un Programa de Prevención, Detección y Respuesta a los delitos que se pudieran derivar del desempeño o de las actividades desarrolladas dentro del contexto de la empresa o en nombre y representación de la misma.

Desde el catálogo de los posibles riesgos de comisión de delitos en los que pudieran intervenir las TIC’s (Tecnologías de la Información y las Comunicaciones) dentro del contexto del modelo de Compliance Penal de la empresa se podrían hacer dos clasificaciones diferenciadas:

Seguir leyendo

Publicado en Compliance, Delitos Informáticos, Divulgación, Estándares y normas, Gestión y Management, Legislación, Opinión, Peritaje Informático o Tecnológico, Seguridad Informática, Todos | Etiquetado , , , , | Comentarios desactivados en El Técnico o Perito Informático en el Modelo de Compliance Penal de la Empresa

La utilización del WhatsApp como canal de «Comunicación en el Trabajo»

Publicado el 18/02/2018 por Rafael_L_R

Whatsapp en el trabajoEl WhatsApp es un sistema de mensajería instantáneo por Internet el cual es muy práctico y fácil de utilizar como herramienta de trabajo en las actividades en las cuales existe una deslocalización entre los jefes o coordinadores y los empleados de forma que esta herramienta sirve de canal de comunicación tanto para las órdenes de trabajo, actividades como para las eventualidades o incidencias que se pudieran producir durante el desempeño de las labores u órdenes de trabajo.

Si bien la aceptación de esta herramienta de trabajo entre el trabajador y la empresa se puede consolidar de una forma tácita desde el primer momento en el cual la misma se esté utilizando de forma bidireccional para coordinar los desempeños del trabajador, siempre es conveniente formalizar el uso de la misma con un documento de «Protocolo de Uso del WhatsApp en la Actividad Laboral« en el que quede reflejada la aceptación 

Seguir leyendo

Publicado en Buenas Prácticas, Divulgación, Peritaje Informático o Tecnológico, Privacidad, Todos, WhatsApp | Etiquetado , , , , , | Comentarios desactivados en La utilización del WhatsApp como canal de «Comunicación en el Trabajo»

Difusión de Pornografía Infantil … ¡con buena intención!

Publicado el 12/02/2018 por Rafael_L_R

Pornografía Infantil pederastiaA través de un foro interno de la Asociación Stop Violencia de Género Digital me llegó una sorprendente noticia publicada por «elMundo.es» el pasado 8 de Febrero con el titular «Miles de usuarios de Facebook difunden pornografía infantil para intentar frenarla».

Llamativo el título de la noticia, pero si se lee dicho artículo, sorprende más aún su contenido puesto que la noticia refleja el comportamiento de miles de usuarios estadounidenses de Facebook que difundieron en esta red el contenido de un vídeo que consistía en un adulto que estaba siendo objeto de sexo oral por parte de una menor.

Seguir leyendo

Publicado en Delitos Informáticos, Divulgación, Evidencias, Legislación, Menores, Noticias, Opinión, Peritaje Informático o Tecnológico, Pornografía infantil y abusos, Todos | Etiquetado , , , , , | Comentarios desactivados en Difusión de Pornografía Infantil … ¡con buena intención!

Secreto de las Comunicaciones en los Medios de Mensajería Instantánea

Publicado el 04/02/2018 por Rafael_L_R

Secreto de las Comunicaciones

A raíz de la filtración y publicación por los medios de comunicación de la conversación de Puigdemont y Comín por medio de la aplicación de mensajería instantánea «Signal» se ha reabierto, de nuevo, el continuo debate sobre el derecho a la preservación del secreto o la privacidad de las comunicaciones entre las personas.

Una actuación como pudiera ser el capturar información de un dispositivo móvil sin autorización previa podría ser considerada ilícita pero… hasta qué punto la misma puede ser considerada como un delito.  Es cierto que existe una fina frontera entre ambos conceptos puesto que los términos ilegal y delito van, en muchas ocasiones, unidos y cogidos de la mano pero ello no siempre quiere decir que se mantenga este binomio inseparable como tal.

Para considerar si un hecho constituye un delito se ha de evaluar si esta acción está tipificada como tal y si es castigada por la ley con una falta o una pena.

Seguir leyendo

Publicado en Delitos Informáticos, Divulgación, Evidencias, Legislación, Opinión, Peritaje Informático o Tecnológico, Privacidad, Todos, WhatsApp | Etiquetado , , , , , , , , | Comentarios desactivados en Secreto de las Comunicaciones en los Medios de Mensajería Instantánea

La Cadena de Custodia en dispositivos informáticos dañados

Publicado el 22/01/2018 por Rafael_L_R

Custodia_Dispositivos_Dañados_pequeñoUno de los problemas que se puede presentar a la hora de realizar actuaciones de análisis y examen de dispositivos informáticos que contienen información es la de que internamente el dispositivo esté dañado y por los medios convencionales no pueda ser esta información recuperada o reparada, en dicho caso se hacer necesario acudir a los servicios de un laboratorio especializado en este tipo de actividades.

Llegada esta situación esta situación al perito se le plantea la duda sobre los siguientes aspectos:

A) ¿Cómo se ha de garantizar la Cadena de Custodia?

B) ¿Será válida la información como evidencia una vez recuperada por el Laboratorio?

A continuación se aborda ambas cuestiones especificando qué circunstancias se han de dar en cada caso para que las evidencias obtenidas pudieran ser aceptadas en una investigación o, llegado el caso, por un Tribunal.

Seguir leyendo

Publicado en Buenas Prácticas, Cadena de Custoria, Divulgación, Evidencias, Peritaje Informático o Tecnológico, Todos | Etiquetado , , , , , , | Comentarios desactivados en La Cadena de Custodia en dispositivos informáticos dañados

Capturas de Evidencias Web: Notario vs Perito Informático

Publicado el 16/01/2018 por Rafael_L_R

Perito vs NotarioEn algunos expedientes judiciales en los que se presentan evidencias en forma de capturas de pantalla de la Web se da la circunstancia de que ha intervenido un fedatario público (contratando los servicios de un notario) para realizar la recopilación de una evidencia que se muestra en la web y dar fe de su existencia, informando principalmente, de las siguientes circunstancias:

►¿Qué es la información que se está visualizando?

► ¿Dónde se localiza la información que se está recopilando?

►¿Cuándo se está visualizando/recopilando ?

Seguir leyendo

Publicado en Buenas Prácticas, Divulgación, Opinión, Peritaje Informático o Tecnológico, Todos | Etiquetado , , , , , | Comentarios desactivados en Capturas de Evidencias Web: Notario vs Perito Informático

¿Cuándo es necesario un Peritaje Informático en mi Empresa?

Publicado el 13/12/2017 por Rafael_L_R

Peritaje en Empresa_pequeñoEl martes 12 de Diciembre de 2017, he tenido el honor y placer de ser invitado por ISACA Barcelona Chapter y en representación de la ACPJT para llevar a cabo la charla divulgativa de título «¿CUÁNDO es necesario un PERITAJE INFORMÁTICO en mi EMPRESA?« en relación al Peritaje Informático y su posible necesidad en el contexto empresarial.

A raíz de la evolución de las tecnología de la información y el crecimiento de los delitos realizados por medio de la utilización de las mismas, poco a poco, está calando en la Sociedad la figura del Perito Informático y su labor, no obstante, el campo de actuación del mismo es tan amplio que en ocasiones cuesta un verdadero esfuerzo poder hacerse una idea de cuál pudiera ser la materialización de esta actividad dentro de un contexto determinado y, en este caso, en concreto dentro del contexto de la empresa, por lo que se hace necesario mostrar y explicar el ámbito de actuación de los Peritos Informáticos Forenses y los Peritos Informáticos de Gestión y Management.

Seguir leyendo

Publicado en Buenas Prácticas, Divulgación, Evidencias, Gestión y Management, Legislación, Opinión, Peritaje Informático o Tecnológico, Privacidad, Seguridad Informática, Todos | Etiquetado , , , , , , , , | Comentarios desactivados en ¿Cuándo es necesario un Peritaje Informático en mi Empresa?