tag:blogger.com,1999:blog-7056256247610895812012-02-16T18:49:09.099-06:00Comentarios, experiencias y tips sobre seguridad de la información.Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.comBlogger451100tag:blogger.com,1999:blog-705625624761089581.post-29750326851630292902011-11-18T12:34:00.001-06:002011-11-18T15:38:40.669-06:00

No deja todavía de ser un tema para discusiones apasionadas (aunque muchas veces sin beneficio) el buscar tercerizar responsabilidades de seguridad de la información junto con todo tipo de servicios tercerizados, incluyendo los servicios de nube (que ahora están de moda). Al César lo que es del César... No han faltado algunos rápidos pistoleros quienes de inmediato han buscado trasladar

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-11016127587099258802011-10-01T09:27:00.002-05:002011-10-01T09:27:34.408-05:00

OpenSSL v.1.0.0e Tenemos nueva versión de OpenSSL, de septiembre de 2011. Está la versión para desarrollo en Windows, con binarios generados con MinGW, documentación en html, y encabezados para desarrollo: OpenSSL-1.0.0e OAHR

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-25033227826627875152011-09-21T09:34:00.000-05:002011-09-21T09:35:46.351-05:00

"La educación autodidacta es, creo firmemente, el único tipo de educación que existe." "Yo no soy un lector rápido. Soy un entendedor rápido."   - Isaac Asimov Ser o no ser Hace algunas semanas participé en una discusión muy interesante con algunos colegas que inició cuestionando el valor real de las "mejores prácticas" en seguridad. El caso concreto era ISO 27001, y se cuestionaba cómo

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-42093679072218449882011-09-18T12:37:00.000-05:002011-09-18T12:41:50.658-05:00

Mucho twitter y poco blogging, ya es hora de ponernos al corriente :-). Esta ocasión me gustaría compartir algunas reflexiones que discutí hace unas semanas con colegas sobre el caso de RSA y el problema de la dependencia de su seguridad al comprar dispositivos de autenticación con clave dinámica que dependen de una semilla preconfigurada por el fabricante.  Lo cierto es que al menos las

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-16023780229230628292011-03-21T18:14:00.000-06:002011-03-21T18:14:55.678-06:00

Aprovechando el tema de RSA y el incidente que potencialmente pone en riesgo la autenticación con tokens SecureId de esta marca, voy a retomar la buena costumbre de publicar mensualmente un ártículo. EspantapájarosPrimero que nada me gustaría dejar en claro que no es nada nuevo. Me refiero a que todo mundo sabíamos (o debíamos saber) que tarde o temprano iba a suceder algo así, y claro, al que le

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-8797809044211379592010-11-29T09:21:00.000-06:002010-11-29T09:21:46.197-06:00

Recientemente tuvimos una discusión interesante en los foros de la "Cloud Security Alliance" (CSA) sobre el tema de seguridad en los aplicativos. Al principio el tema propuesto no había generado mucha polémica y la gente se limitaba a repetir recetas tradicionales de seguridad para responder a la pregunta de cómo debemos proteger los aplicativos en la nube.  Pero bastó con que uno de los

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-36401344654369023032010-10-24T19:16:00.003-05:002010-10-24T19:39:47.570-05:00

De regreso con uno de mis temas favoritos: la seguridad para cómputo en la nube. ¿Por qué cómputo en la nube?Además de ser un tema de moda (al menos como "buzzword"), el cómputo en nube realmente no tiene nada de nuevo. Se trata simplemente de una evolución natural de la operación de TI que está siendo habilitado por tecnologías que han madurado lo suficiente, como es el caso de la virtualización

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-31411871880468190902010-09-18T13:37:00.000-05:002010-09-18T13:37:49.467-05:00

He implementado varios sistemas de gestión de seguridad de la información (SGSI) "alineados" con ISO 27001, pero es la primera vez que realizo un proyecto de implementación con miras a certificación (completo y express además; en menos de 1 año). La prueba de fuego para el proyecto es la certificación en sí, la cual esperamos se lleve a cabo a finales de este 2010, pero hoy que estamos en la

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com2tag:blogger.com,1999:blog-705625624761089581.post-59058625568170342462010-07-25T20:24:00.001-05:002010-07-25T20:45:27.152-05:00

Hace algunos meses Pete Herzog, creador del estándar OSSTMM, sorprendió afirmando que la nueva versión del estándar no incluirá más un proceso de análisis de riesgos (Ending the Security Business of Guessing). La visión de Pete tiene sentido en cuanto a que los análisis de riesgos actuales no sirven de mucho, pero en lo personal creo que su enfoque de solución es incorrecto. A diferencia de Pete,

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-11190312754576538802010-06-18T07:57:00.000-05:002010-06-18T07:57:55.787-05:00

Parece ser el tema de moda. Todo mundo habla de cómputo en la nube y han surgido ya cuestionamientos en temas de seguridad de la información que debemos discutir. La tendenciaCloud computing va a ser una situación inevitable. Las ventajas en costo y flexibilidad en la operación ee implementación de soluciones informáticas lo convierten en un esquema ideal para la mayoría de los negocios.  Si bien

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-74241688417702804282010-05-30T21:15:00.000-05:002010-05-30T21:15:01.039-05:00

Tenemos nueva versión de OpenSSL, de marzo de 2010. Como es costumbre aquí están la versiones para desarrollo en Windows, con binarios generados con VC++ 2008 Express y MinGW, documentación en html, y encabezados para desarrollo:  OpenSSL 1.0.0 Nota: la versión MinGW se generó a partir de scripts de configuración en MSYS (los batch para compilación desde el Shell de Windows ya no están soportados

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-69908051589641935912010-05-02T22:23:00.000-05:002010-05-02T22:23:45.378-05:00

Hace algunas semanas se dieron algunas discusiones en el foro pentest de securityfocus sobre las características de un "pentester experto". Tristemente he de decir que muchos de los profesionales de esta área viven en el pasado, buscando glorificar un arte que en su forma actual ya no cubre las necesidades de las organizaciones. Sin menospreciar la capacidad técnica de nuestros colegas y

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com3tag:blogger.com,1999:blog-705625624761089581.post-43075682760436839842010-03-15T11:24:00.000-06:002010-03-15T11:24:34.101-06:00

Hace tiempo que tengo en mente este artículo para compartir lo que el ajedrez me ha enseñado para poner en práctica en seguridad de la información. Siempre he sido un apasionado de este juego y llegué a practicarlo con frecuencia durante la universidad, teniendo incluso la fortuna de contar con 2 maestros internacionales como mis mentores. No es que el ajedrez por sí solo tenga un valor didáctico

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com5tag:blogger.com,1999:blog-705625624761089581.post-89868080491032685662010-02-21T14:54:00.001-06:002010-02-28T18:27:17.637-06:00

Tenemos nuevas versiones de OpenSSL del 20 de enero de 2010. Como es costumbre aquí están la versiones para desarrollo en Windows, con binarios generados con VC++ 2008 express y MinGW, documentación en html, y encabezados para desarrollo: OpenSSL 0.9.8m (beta 1) y OpenSSL 1.0.0 (beta 5). Para ser versiones beta son muy estables. La compilación presentó algunos problemas (sobre todo con MinGW)

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-45879703711301704772010-02-14T21:20:00.005-06:002010-05-06T07:41:07.978-05:00

Indicadores clave de desempeño No se puede evaluar lo que no se puede medir, y para poder medir un proceso se debe contar con algún tipo de indicadores. Los KPI ("key performance indicators", o indicadores claves del desempeño) son métricas orientadas a cuantificar el grado cumplimiento de un objetivo de negocio, por parte de un proceso. La mayoría de las métricas que se utilizan en seguridad

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-76963234927273048172010-01-24T12:01:00.006-06:002010-02-28T18:27:03.939-06:00

Se ha vuelto una costumbre el hacer predicciones para todo en cada inicio o fin de año, así que aprovecharé este tema para escribir de un largo periodo de tiempo de ausencia. Como es de esperarse, hay una cantidad enorme de sitios Web en la red que tienen este tipo de predicciones, donde la calidad del análisis y los argumentos varían mucho, pero que en esencia se basan en los puntos de vista y

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-66102666202881841662008-10-02T18:11:00.005-05:002010-02-28T14:53:15.634-06:00

Tenemos nueva versión de OpenSSL y como no podía faltar, aquí está la versión para desarrollo en Windows, con binarios generados con VC++ 2008 express y MinGW, documentación en html, y encabezados para desarrollo: OpenSSL 0.9.8i. Se resuelven algunas vulnerabilidades descubiertas en la versión 0.9.8h: http://www.openssl.org/news/secadv_20080528.txt. OAHR ----- (Cambio en enlace de descarga

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-56502079288472782032008-09-22T10:18:00.011-05:002010-02-28T14:37:59.967-06:00

Hace ya tiempo que publiqué la primera versión de este manual en Virusprot. La liga para la versión más reciente al manual está aquí: MAPSI v.3.9 (es del 2005, ~ 17 MB). Por cierto, van a necesitar Linux Knoppix (una versión de Linux que corre desde un CD o DVD), si es su primer contacto con Linux también les puede servir para aprender (sobre todo porque no tienen que modificar nada en el disco

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-21182424052414696772008-09-04T17:13:00.081-05:002011-11-11T18:50:17.990-06:00

Todos los involucrados en seguridad nos topamos con algún tipo de análisis de riesgos tarde o temprano, y a pesar de que hay muchas metodologías disponibles sigue siendo una de las tareas más difíciles de realizar. La principal dificultad radica en la naturaleza subjetiva de este tipo de análisis, pero hoy en día me parece que tenemos las herramientas necesarias para modificar nuestros procesos

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com6tag:blogger.com,1999:blog-705625624761089581.post-89048841416301423602008-08-17T08:49:00.008-05:002008-08-17T10:16:09.335-05:00

En mi publicación sobre Procedimientos de Desencripción Dinámica en Código Malicioso hablo sobre un problema serio en la detección de este tipo de programas. ¿Cómo determinar si un programa es malicioso o no, si sus rutinas principales están encriptadas y su desencripción depende de situaciones del entorno donde se ejecuta? Sin embargo, el uso de la criptografía para fines cuestionables no es

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-1856854206691655892008-08-05T12:42:00.007-05:002010-02-28T18:27:36.466-06:00

Otro paper que también tenía en inglés y donde varias de las referencias que existían en Internet han desaparecido (incluye código de demostración de concepto en C). A continuación la liga y el abstract: DYNAMIC DECRYPTION PROCEDURES IN MALWARE "Reverse engineering is regarded as one of the most trusted techniques to gather information about malware. It has been considered by many as a

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com2tag:blogger.com,1999:blog-705625624761089581.post-31445317719648085282008-08-05T12:30:00.007-05:002010-02-21T15:54:47.170-06:00

Hace ya unos 6 años publiqué un paper sobre una metodología gráfica de análisis de riesgos. Las referencias todavía están por ahí en Internet pero los sitios donde estaba almacenado el paper ya no parecen estar en línea, así que aquí dejo una liga y el abstract para quien le interese: Graphical Risk Analysis (GRA): A Methodology To Aid In Modeling Systems For Information Security Risk analysis

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-41161558110466856592008-08-01T19:55:00.014-05:002008-08-03T18:26:32.454-05:00

Después de haber perdido varios días reinstalando mi máquina tras una catastrófica "falla del sistema" (uno de esos casos cuando uno agradece haber invertido una hora a la semana en sacar respaldos), estoy de regreso. Naturalmente algunos temas que tendrían segunda parte van a tener que esperar, pero hablemos hoy de la sensibilización del personal en materia de seguridad.Lo que se solía hacer...

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-47028087164927481642008-06-16T19:27:00.009-05:002008-06-16T21:48:35.982-05:00

Me tocó desempolvar de nuevo los apuntes sobre estadística y no puedo decir que en esta ocasión haya sido cosa fácil, pero ya está la primera parte del análisis que quería presentarles.ObjetivoLa intención era verificar cómo responden los programas antivirus contra caballos de Troya de distribución nacional. En este caso todos los troyanos analizados estuvieron dirigidos a habitantes de México de

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-21403864757006902202008-06-08T10:33:00.004-05:002010-02-28T14:53:33.276-06:00

Bueno, me he retrasado en mis artículos pero por una buena razón, hay un análisis que quiero compartirles sobre caballos de troya y la recolección de datos se lleva algo de tiempo. Mientras tanto pongo a su disposición la versión compilada para Windows de la versión 0.9.8h de OpenSSL (18,497 KB) que acaba de salir hace unos días. OAHR ----- (Cambio en enlace de descarga hacia versiones más

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com2tag:blogger.com,1999:blog-705625624761089581.post-7929925731961558442008-04-27T18:10:00.015-05:002010-02-28T14:52:25.484-06:00

Normalmente escribo mucho sobre aspectos de seguridad para empresas, pero en esta ocasión me voy a enfocar en configuraciones y herramientas de seguridad para el hogar. Controles básicos para el acceso a Internet en el hogar Los controles que yo recomendaría tener en cada computadora del hogar con acceso directo a Internet son los siguientes:Firewall personal de red Sistema de prevención de

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-85210291833329200712008-02-16T10:31:00.013-06:002010-02-28T14:56:26.708-06:00

Hace algún tiempo un amigo me preguntaba cómo puede hacer un carrera en el área de seguridad de la información y me pidió algunos tips y sugerencias con base en mi experiencia. El entorno ha cambiado radicalmente desde que yo inicié mi carrera en el área y al pasar de los años me he enfocado en diferentes especialidades durante momentos distintos, pero trataré de resumir aquí algunos consejos

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com16tag:blogger.com,1999:blog-705625624761089581.post-52672008970698701072008-01-19T12:02:00.000-06:002008-01-20T20:12:36.360-06:00

Desde hace algunos años han aparecido en el mercado diversas soluciones de seguridad para limitar los malos manejos y las fugas de información en las empresas. Las soluciones van desde controles aplicados a dispositivos de almacenamiento para restringir el copiado y la extracción de información, hasta controles lógicos en aplicativos y formatos de documentos, que limitan ciertas acciones como la

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com2tag:blogger.com,1999:blog-705625624761089581.post-8461828210290275072007-12-15T10:57:00.001-06:002008-08-17T10:22:12.442-05:00

Conforme evoluciona una disciplina y empieza a manifestarse cierto grado de especialización tendemos a olvidarnos de los orígenes y objetivos de la disciplina misma y a enfocarnos más en los detalles que en los fundamentos.La seguridad no es la excepción y por eso quiero recordar uno de los principios fundamentales de esta disciplina: la confianza (y lo que genera la falta de la misma).Sabemos

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com1tag:blogger.com,1999:blog-705625624761089581.post-69224181438452644282007-12-02T08:13:00.000-06:002007-12-02T18:09:34.181-06:00

Hay varias razones por las cuales las empresas grandes y medianas necesitan contratar servicios de penetration testing. Si bien las profecías de la muerte de este tipo de servicios nunca se cumplieron (¿alguien recuerda cuando Gartner Group predijo la muerte de los IDS, el dominio absoluto de los IPS y el despegue de las PKI hace algunos años? Bueno, aún seguimos esperando), lo que sí es un hecho

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com1tag:blogger.com,1999:blog-705625624761089581.post-22920186800193342102007-11-21T19:55:00.001-06:002010-02-28T14:59:18.914-06:00

Uno de los problemas más difíciles de resolver es el de las contraseñas en aplicaciones. Aún si encriptamos la contraseña, al final la aplicación o script tendrá que tener guardado en algún lugar otro secreto que le permita desencriptar esta contraseña. No hay manera de resolver este problema de forma sencilla aunque me sorprende que la mayoría de los textos sobre seguridad aplicativa o

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-40569751841722462312007-11-03T20:50:00.000-06:002007-11-24T18:51:48.101-06:00

Este tema lo conozco bastante bien pues ha sido uno de los puntos de discusión que suelo tener con algunos colegas en instituciones financieras (y no todos opinan lo mismo que yo, he de decirles).El problemaEl problema de los ataques Man-in-the-Middle era algo que se veía venir y sólo era cuestión de tiempo antes de que los tokens tradicionales sucumbieran ante ataques más complejos (como

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com7tag:blogger.com,1999:blog-705625624761089581.post-42684628800171589732007-10-27T14:37:00.003-05:002010-02-28T14:53:53.023-06:00

Pues ya salió la versión 0.9.8g de OpenSSL; un relajo para compilarla en Windows con VC++ porque resulta que MASM no puede interpretar algunas instrucciones SSE2 que vienen en esta versión. En fin, usando NASM en vez de MASM se resuelve el problema. Para los que quieran bajar (sin ninguna garantía) la versión precompilada que tengo, lo pueden hacer desde aquí. A propósito de OpenSSL, si quieren

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-28660896516799119052007-10-20T12:01:00.001-05:002010-02-28T14:59:43.302-06:00

La famosa Solicitud de Propuesta o "Request for Proposal" (RFP) como suele llamársela es uno de los documentos más importantes para los responsables de la seguridad informática de cualquier organización. Ventajas de usar un RFP Toda adquisición de servicios o productos debiera basarse siempre en un RFP ya que este documento define las características (obligatorias y deseables) así como las

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-3739200608602158812007-10-13T13:50:00.001-05:002010-02-28T15:01:03.873-06:00

Este siempre ha sido un tema complicado porque cada organización es distinta y no hay un acuerdo sobre la mejor manera de organizar un área de seguridad informática en una empresa. Por lo tanto lo que les expongo aquí no es una mejor práctica, simplemente se trata de algunas sugerencias basadas en mi experiencia. Componentes principales de un área de seguridad informática Existen diversas

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com5tag:blogger.com,1999:blog-705625624761089581.post-91915866759972527972007-10-06T16:31:00.001-05:002010-02-28T15:03:51.569-06:00

NMAP es una de las herramientas de escaneo de puertos de red más populares y poderosas que existen, sin embargo, poca gente explota todo su potencial. En este artículo no habla de las técnicas de escaneo de puertos ni es un tutorial básico de nmap (ya hay muchos tutoriales en la red para eso) sino sobre cómo estimar tiempos de escaneo de puertos y configurar la herramienta para ejecutar escaneos

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com1tag:blogger.com,1999:blog-705625624761089581.post-54757627178258708692007-09-27T20:25:00.000-05:002007-09-27T21:34:29.320-05:00

Después de un largo receso estoy de regreso con un tema un tanto oscuro, no porque sea complejo sino porque rara vez es tratado por el personal a cargo de implementar algún sistema criptográfico.Primero lo primero. Mucha gente piensa que todo es cuestión de tamaños y que más grande siempre es mejor, pero esto no es realmente el caso cuando hablamos de criptografía. Por ejemplo, una llave de RSA

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-13944105484579915632007-09-15T11:06:00.000-05:002007-09-15T20:40:39.523-05:00

El área de la seguridad informática es cada vez más competida. Ya no es la época de los gurús que conocían el detalle de todo y podían dar una respuesta a cualquier problema.Es más, el número de áreas de especialización rebasó ya la capacidad de los profesionales de seguridad informática al grado que es imposible afirmar que somo especialistas en todas las áreas (si alguien lo dice es porque está

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com4tag:blogger.com,1999:blog-705625624761089581.post-47215292928689667452007-09-09T13:05:00.000-05:002007-09-09T15:21:05.798-05:00

Antes que nada quiero agradecer a la persona que me envió datos sobre salarios en Argentina. Espero recopilar algo más de información de más países de América Latina para hacer una breve comparación en la tercera parte de este artículo. Por lo pronto los datos siguen siendo de una muestra de ofertas laborales en México.Al finalizar la primera parte les comentaba que había encontrado que las

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com3tag:blogger.com,1999:blog-705625624761089581.post-22751616493799195592007-09-05T21:52:00.000-05:002007-09-05T22:57:54.517-05:00

Hay varios estudios en Internet sobre cuánto ganan los profesionales de seguridad en EUA y Europa, que formación deben de tener, etcétera. Por ejemplo, estos estudios realizados para la ISC2.Sin embargo, en Latinoamérica no he encontrado nada similar y la verdad los criterios para contratar profesionales de seguridad son muy distintos a los de EUA y la Unión Europea. Así que decidí hacer un breve

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com2tag:blogger.com,1999:blog-705625624761089581.post-28886053134235139772007-08-31T22:37:00.001-05:002010-02-28T18:19:34.257-06:00

El día de hoy tuve una discusión con algunos colegas sobre la eficacia de los antivirus y demás programas "anti-malware". La discusión no fue muy pareja; éramos 3 personas que opinábamos que la eficacia de estas herramientas había disminuido de forma importante, contra una que creía que ofrecían suficiente protección y confiaba plenamente en ellas. Fue curioso que uno de los 3 que teníamos una

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-1954257283796042542007-08-29T20:29:00.001-05:002010-02-28T18:24:28.559-06:00

No es precisamente algo a lo que me dedique actualmente con frecuencia, pero desde mis inicios en cuestiones de seguridad informática por allá a principios de los 90's hasta mi tesis de maestría siempre estuve involucrado en este tema. Si alguien se acuerda del virus Natas (~1994) quizás llegó a usar un antivirus llamado AG_NATAS que se distribuyó por los BSS de México (Bulletin Board Systems

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-68772174303786439162007-08-25T20:28:00.002-05:002010-02-28T14:54:41.030-06:00

Desde hace tiempo he estado generando versiones para MS Windows de la herramienta de línea de comando OpenSSL. Básicamente he utilizado 2 compiladores para este propósito: MS Visual C++, Active Perl, MASM y Windows SDK MinGW A continuación listo los pasos para compilar en Windows los archivos fuente que se obtienen de www.openssl.org (las instrucciones son para ambos compiladores y están

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com3tag:blogger.com,1999:blog-705625624761089581.post-88445872683453499502007-08-25T15:31:00.000-05:002007-08-25T15:52:22.680-05:00

El año pasado participé en un evento de seguridad organizado por la ALAPSI despúes de regresar del Reino Unido.El evento estuvo muy animado y bastante concurrido: Aquí estoy yo durante mi conferencia "Tendencias y Nuevos Retos en Cómputo Forense" (no son mis mejores fotos por supuesto, pero me dio mucho gusto haber participado): Las presentaciones del evento (incluida la de un servidor) están

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0tag:blogger.com,1999:blog-705625624761089581.post-25614947074079492972007-08-25T13:03:00.000-05:002007-08-25T13:31:25.545-05:00

Hoy empiezo este blog sobre temas de seguridad de la información para reemplazar mi antiguo sitio web (seguritos.org), el cual dejará de funcionar en algunas semanas.Un blog es más fácil de mantener y actualizar, y dado que lo más importante que tenía en el sitio web eran los artículos aquí tendré un espacio suficiente para escribir sobre el tema que tanto me gusta y me apasiona. El sitio Web

Omar Alejandro Herrera Reynahttp://www.blogger.com/profile/13870284564794682070noreply@blogger.com0