En el juego online también se hacen trampas

Esta semana Sergio Hernando ha elaborado un excelente post sobre el juego online y cómo se está utilizando para la distribución de malware que recomiendo leer.
A esto se junta la noticia que aparece hoy en DiarioTI que revela que mucho de este malware tiene como objetivo hacer trampas y estafar al jugador profesional que se mete en este tipo de plataformas.
La técnica es similar a la utilizada en los troyanos bancarios para adivinar los números de acceso: ir capturando cada poco tiempo las pantallas para enviar a un lugar esa información y que el jugador profesional acabe perdiendo la partida.

La noticia ha sido destapada por un canal de la televisión sueca que ha mostrado en un documental cómo estos estafadores ganan haciendo trampas a usuarios profesionales de poker en línea.



A veces soy demasiado repetitivo pero la vida real y el ciberespacio no se encuentran limitados por las mismas restricciones tanto de espacio como de tiempo, y por tanto, cosas que en la vida real no son posibles SI lo son en el mundo electrónico.

Un jugador profesional en una partida real sentado a una mesa puede más o menos controlar si está siendo espiado o al menos, proteger el contenido de sus cartas mirandolas cuidadosamente.

Un jugador profesional en una partida real sentado en una mesa virtual tiene que tener claro, a priori muchas cosas antes de poder dar por válida la limpieza de la mesa de juego y básicamente ello supone tener conocimiento de que su silla (en este caso su PC) es quien no va a jugarle una mala pasada y va a estar chivando sus cartas. Porque cuando sentado en tu PC miras tus cartas, las sabe el jugador y todas las aplicaciones que estén utilizando esa información para mostrar la partida. Si alguna aplicación de malware es capaz de interceptar nuestro juego, la partida está perdida si al otro lado el estafador sabe jugar.

La motivación como siempre, el beneficio económico y la facilidad con la que nuestras jovenes promesas pueden hacerse con estas cantidades de dinero. En el caso de la noticia, un joven de 16 años confiesa haber sustraído varios millones de euros. Como expresa perfectamente su confesión “No pensé mucho en lo que hacía. Entré y vi que había mucho dinero y sencillamente no puede contenerme. Era demasiado fácil". Con esa edad es dificil encontrar a gente con la madurez suficiente como para valorar la gravedad y trascendencia de este tipo de actos delictivos.

La noticia completa la podéis leer en DiarioTi:Realizan estafa millonaria contra jugadores de poker en línea

12 de febrero, Día de la Internet Segura

PROTEGELES.com realiza la actividad de promoción y sensibilización de un uso seguro de Internet por parte de los menores, mediante campañas de sensibilización dirigidas a menores, educadores y padres, así como campañas de comunicación e informativas que alcancen a los medios de comunicación y al público general. PROTEGELES desempeña la función de ser el Nodo español de sensibilización dentro de la Red Europea INSAFE . Tanto la actividad como Nodo español de sensibilización sobre un uso seguro de Internet, como la Red Europea INSAFE, son directamente promovidas y co-financiadas por la Comisión Europea.

Estas iniciativas han elaborado un par de spot publicitarios muy impactantes y significativos:
- El primer spot puede verse en la dirección Internetsegura2008.
- El segundo spot puede verse en la dirección Safenet2.com

Hoy 12 de febrero es el día internacional de Internet Segura y desde Protegeles.como se han desarrollado diferentes iniciativas que pueden ser consultadas en Día de la Internet Segura.

El PCI Security Standards Council emite un cuestionario de auto evaluación

Leo vía FinancialTech Magazine que ya está disponible un nuevo cuestionario de evaluación de PCI-DSS. Para quien no conozca de que va el tema, PCI-DSS es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de crédito (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito. Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito queda afectada por el cumplimiento de los requerimientos que establece PCI DSS. PCI DSS cataloga a estas organizaciones en comercios o merchants (super/hipermercados, autopistas, e-commerce, agencias de viajes, etc), proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) y entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).

El PCI Security Standards Council, el organismo global de normas abiertas que suministra gestión de la norma para la seguridad de la información PCI Data Security Standard (PCI DSS) y requisitos de seguridad para los dispositivos de entrada de PIN, PCI PIN Entry Device (PED), así como para la norma de seguridad de la información para las aplicaciones de pago, Payment Application Data Security Standard (PA-DSS), anunció que se encuentra disponible a partir de ahora el Cuestionario de Auto Evaluación (SAQ) para comerciantes y proveedores de servicio.

En respuesta a estos comentarios de la industria, este nuevo SAQ incorpora actualizaciones diseñadas para reflejar la última versión 1.1 de la DSS y reemplaza una versión anterior que había estado vigente desde enero de 2005. La versión 1.1 del SAQ está disponible en la web del organismo, y consta de cuatro formularios únicos para ajustarse a distintos escenarios comerciales. Estos cuatro incluyen:

• SAQ A: Está orientado a las necesidades de los comerciantes que han externalizado todo el almacenamiento, procesamiento y transmisión de la información del titular de la tarjeta.


• SAQ B: Creado para satisfacer las necesidades de los comerciantes que procesan la información del titular de la tarjeta, únicamente mediante máquinas de impresión o terminales independientes de acceso telefónico.


• SAQ C: Construido para orientarse a las necesidades de los comerciantes cuyos sistemas de aplicaciones de pago están conectados a Internet.


• SAQ D: Diseñado para satisfacer las necesidades de todos los proveedores de servicios definidos por una marca de pago como elegibles para completar un SAQ, y de aquellos comerciantes que no entran dentro de las categorías a las que se destinan los SAQ A, B, o C.

Se puede leer la noticia completa en el artículo de FinancialTech Magazine titulado El PCI Security Standards Council emite un cuestionario actualizado de auto evaluación.
Quien quiera acceder directamente a los cuestionarios de auto-evaluación(en ingles), puede hacerlo a través del enlace PCI SSC New Self-Assessment Questionnaire (SAQ).

Las empresas españolas S21sec e Internet Security Auditors proporcinan servicios en relación a este tema.

• Servicios Isecauditor- Implantación del estándar PCI DSS


• Servicios S21sec- Implantación del estándar PCI DSS

Disponible la versión 5.0 de Truecrypt.

Nacido en 1997, TrueCrypt es una de las soluciones para cifrar datos mas sólida, real y segura jamás creada para plataformas comerciales.
Además, permite un uso casi transparente para usuarios no acostumbrados al uso de este tipo de aplicaciones de seguridad como ya os comenté en el post Consejos para el uso de Truecrypt.


Tener en cuenta que si tenéis instalaciones móviles y empezáis a crear nuevos volumenes con esta versión, debereis también actualizar el ejecutable que lleváis en el pendrive para que os funcione.

La nueva versión 5 incorpora soporte para Mac OS X, una interfaz gráfico para su versión Linux y la funcionalidad de crifrar en Windows una partición de sistema completa, con autenticación antes de que el sistema se inicie (pre-boot authentication).
TrueCrypt 5 es totalmente gratuito, y siempre lo será en la dirección www.Truecrypt.org

NOTA: Ya he probado la nueva versión y da error al abrir los ficheros generados con versiones anteriores, por problemas de incompatibilidad del driver. Por tanto, antes de instalar la nueva versión, extraer de archivos cifrados el contenido protegido, instalar la nueva versión y volver a crear volumenes cifrados para de nuevo almacenar la información a proteger. Otra de las pegas que me he encontrado con Truecrypt y que me advirtió Javier Ruiz Spohr es que requiere privilegios de administrador para poder ejecutar el archivo Truecrypt en instalaciones móviles, con lo que en entornos muy restrictivos el programa no va.

Numero 15 de (In)secure Magazine

Ya ha sido publicado el número de febrero de la revista (In)secure Magazine. Los contenidos de este ejemplar son:

• Proactive analysis of malware genes holds the key to network security


• Advanced social engineering and human exploitation


• Free visualization tools for security analysis and network monitoring


• Internet terrorist: does such a thing really exist?


• Weaknesses and protection of your wireless network


• Fraud mitigation and biometrics following Sarbanes-Oxley


• Application security matters: deploying enterprise software securely


• The insider threat: hype vs. reality


• How B2B gateways affect corporate information security


• Reputation attacks, a little known Internet threat


• Data protection and identity management


• The good, the bad and the ugly of protecting data in a retail environment


• Malware experts speak: F-Secure, Sophos, Trend Micro

El ejemplar puede ser descargado directamente en este enlace.