InfoSecMan Blog

Este es uno de los principios básicos de la seguridad: cada persona (o usuario 😉 ) debe conocer y saber todo lo necesario, pero nada más que lo necesario (no más), para llevar a cabo adecuadamente su trabajo. El proporcionar más información de la necesaria puede hacer que una amenaza pueda explotar alguna vulnerabilidad existente […]

Joseba Enjuto publica un interesante artículo sobre la gestión de perfiles realizando no una aproximación técnica basada en producto o tecnología, sino desde el concepto puro de perfil de usuario y lo que supone. Un esfuerzo muy interesante sobre la abstracción de los conceptos y puntos claves de la seguridad desligándolos de las aplicaciones o […]

Enlazando con el post anterior, y continuando la “saga” de los últimos días, leo en las noticias de mis amigos de ISO27000.es que Gary Hinson actualiza periódicamente un documento muy interesante sobre este tema. Insisto, muy muy interesante, con referencias, opiniones, ejemplos, casos reales, etc. sobre concienciación en seguridad (Security Awareness). Podeis acceder al artículo completo aquí. […]

Como casi todos sabéis, vivo (o procuro vivir) en Gijón, lo que tiene como parte positiva la excelente calidad de vida que podemos disfrutar los que vivimos en esta preciosa ciudad cuando estamos en ella, y como negativa, lo mucho que tenemos que viajar aquellos que tenemos reuniones, clientes, proyectos, etc. fuera de la provincia […]

Siempre comentamos en este foro que los ataques y las amenazas que más nos deben preocupar son aquellas que son dirigidas y con intención. Esto es una realidad puesto que al existir intención se emplean más recursos en la utilización de una técnica más elaborada en el tipo de ataque. El phishing es un tipo de […]

Errata Security publica un artículo bastante interesante sobre la actitud de los profesionales de la seguridad de la información a la hora de presentar sus ideas o defenderlas ante un determinado foro (generalmente directivo). El autor presenta en este artículo el conocido “problema” de los “técnicos” (geeks) intentando presentar y defender una idea, y es […]

Hablando con mi hija ayer me quedaba la cara a cuadros (más que de costumbre) cuando me comentaba cómo era común entre el grupo de amigas el compartir sus passwords de acceso a sus espacios web (concretamente a sus “FotoLogs”) para “actualizarse” unas a otras sus contenidos. Esto que de por sí ya es impactante […]

Una imagen (en este caso un vídeo) vale más que mil palabras. Ya lo había visto hace tiempo pero ahora Bruce Schneier me lo ha recordado en su Blog 🙂

Hace un tiempo, en uno de los cursos a los que asistí, el formador (estadounidense) me comentaba lo sencillo que era aún hoy en día suplantar la identidad telefónica, el identificador de llamada, en una llamada telefónica. La posibilidad de realizar esto es especialmente interesante para realizar ataques de ingeniería social llamando por ejemplo a […]

De todos es ya conocida mi afición a todo lo que tiene que ver con el comportamiento humano y su relación con la seguridad de la información, la ingeniería social y posibles métodos de “ataque” no tecnológicos. Pues bien, muy recientemente hemos asistido a un experimento que demuestra cómo, sin ningún tipo de avance tecnológico […]