web analytics

RSA SecurID reemplazara los tokens y admitio brecha en el sistema y en RD nadie dice nada

Casi tres meses después de RSA Security fue violada por piratas informáticos, la compañía ha anunciado que reemplazará a los tokens de seguridad de casi todos sus clientes SecurID, pero aun en Republica Dominicana no se dice nada. e5c4c_rsa-securid.jc.top

La medida, anunciada en una carta a los clientes el lunes, llega después de conocerse que el contratista de defensa Lockheed Martin fue violada presuntamente por los piratas informáticos con los duplicados de las llaves de SecurID de RSA que había emitidas el contratista.

Otros contratistas de defensa, como la L-3 , al parecer, también han sido objetivo de los hackers con la información aparentemente robada de los SecurID de RSA,.


Cómo funciona SecurID?

Funciona al añadir una capa adicional de protección a un proceso de entrada al exigir a los usuarios introducir un número de código secreto que aparece en un llavero, o en los programas, además de su contraseña al iniciar sesión en sus redes. El número es generado criptográficamente y cambia cada 30 segundos.

RSA-TokenRSA y su compañía matriz EMC anunció el pasado marzo que los hackers habían logrado robar información relacionada con su sistema de SecurID.  Pero según EMC los datos robados no podían ser utilizados para hackear directamentea los clientes y por lo tanto no tenía necesidad de sustituir sus equipos. En su lugar, aconsejó a los clientes de EMC aumentar la longitud del PIN del empleado o contraseñas que se utilizan en combinación con el sistema SecurID.

Pero en su carta a los clientes el lunes, la empresa reconoció que los datos robados, se había utilizado para penetrar a Lockheed Martin y también reveló que desde que SecurID fue violada en marzo pasado, RSA había estado trabajando en silencio con el contratista militar y el gobierno para reemplazar sus dispositivos SecurID. La compañía dijo que lo hizo después de un análisis forense del hack a RSA el cual mostró que los atacantes buscaban obtener información específica que podría utilizar para violar los contratistas de defensa.


Una explicación muy vaga

Extraemos unos párrafos de la carta escrita por Arte Coviell, presidente ejecutivo de RSA

"Ciertas características del ataque contra RSA indicó que el motivo más probable del autor era obtener un elemento de seguridad especifico que podría ser utilizado para registrar los secretos de defensa y conexos de propiedad intelectual, en lugar de ganancias financieras”.

"Por esta razón, trabajamos con agencias gubernamentales y empresas del sector de la defensa para reemplazar sus dispositivos en un calendario acelerado, como medida de precaución adicional."

Ahora yo pregunto, si un ladrón entrara a una bóveda llena de dinero y joyas, solo se llevara el efectivo porque las joyas pesan mucho? No lo creo Mr Coviell, que el target primario haya sido la supuesta búsqueda de información con fines militares, no quita que los mismos métodos usados para obtenerla no sean codiciados por otros para fines más vánales.

En República Dominicana, desde hace ya varios años la banca adopto dichos dispositivos para fines de proteger a sus clientes cuando realizan transacciones electrónicas y cientos son sus usuarios, pero como todo en nuestro país, cuando ocurren incidentes como estos o como el Recall de los vehículos, las empresas tienden a quedarse callada a esperar si algo explota, envés de tomar una actitud activa, advertir a sus clientes y tomar las medida de lugar.

Como hasta ahora, continuaremos dando seguimiento a este caso y a las reacciones de las empresas que lo usan y los mantendremos enterados.

[Vía: Wired]


¿Por qué no dejar un comentario más abajo y seguir la conversación, o suscribete a mi servicio de feedy recibir artículos como este entregados automáticamente cada día a tu lector de feeds.

Trackbacks & Pingbacks

[…] raíz de nuestro artículo de ayer sobre que RSA SecurID reemplazaria los tokens luego de admitir que tuvieron brecha en el sistema, […]


Comments

Leave a comment

Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)