Control de autorizaciones en aplicaciones web: vulnerabilidades típicas

Dentro de las vulnerabilidades de las aplicaciones web, algunas de las más frecuentes se encuentran asociadas al modo en que la aplicación decide si un usuario está autorizado a ejecutar una determinada función o acceder a un determnado recurso (ej: un documento). El escenario de mayor riesgo es cuando un atacante es capaz de explotar […]

Estimación de la probabilidad de infección por virus informáticos: Una aplicación de las redes Bayesianas (parte 2)

En este artículo vamos a poner a prueba el modelo de red de creencias Bayesiano que desarrollamos en la anterior entrega. El objetivo del modelo es estimar la probabilidad de que un equipo de usuario corporativo resulte infectado por un programa malicioso. El modelo (que es tan sólo un borrador inicial) ha sido desarrollado con […]

Infección por virus informáticos: Una aplicación de las redes Bayesianas (parte 1)

Este es el primero de una serie de 2 artículos en los que vamos a desarrollar un modelo basado en redes Bayesianas con el que intentaremos estimar la pobabilidad de que un equipo de usuario resulte infectado por un programa malicioso. En un artículo anterior ya introdujimos este concepto y vimos algún ejemplo. ¿Qué es […]

Detección y prevención de software no autorizado

En nuestro anterior artículo sobre la detección y prevención de dispositivos no autorizados en la red, vimos como uno de los elementos básicos de cualquier programa de seguridad de la información es el establecimiento de un inventario del software y hardware de la organización, lo que nos permitirá tener una idea clara de aquello que debe ser protegido. En este […]

Métodos cuantitativos y análisis del riesgo tecnológico

El análisis y gestión de riesgos en el ámbito de la tecnología es considerado por muchos profesionales casi como un arte. Comparto en gran medida esta opinión. En este campo, las dificultades para disponer de series de datos históricas hacen que el uso de modelos estadísticos predictivos, con larga tradición en otros dominios de riesgo, sea […]

Métodos para la instalación de una puerta trasera (backdoor) en un sistema

En este artículo vamos a hacer un breve repaso de los distintos métodos para instalar una puerta trasera en un sistema de información. El objetivo no es enseñar de manera detallada como hackear un sistema (para esto ya hay otros sitios), sino dar al analista de riesgos, auditores o responsables de seguridad el contexto básico que le […]

Integridad de la Información: marco de referencia

En las últimas décadas del sigo XX, la tecnología fué el factor fundamental en la transformación de los procesos de producción y comerciales. Hoy en día; sin embargo, la tecnología se ha convertido en una “utility” (como pueda ser la electricidad o el gas), debido principalmente a la reducción de costes y consiguiente democratización de […]