José Manuel Redondo LópezEUITIO, Universidad de Oviedo
VII Congreso “CiberCiudadano”, Mayo de 2008
La sociedad cada día usa más la informática y todo lo relacionado con ella
Por ello, la sociedad actual es cada vez más dependiente de la informática◦ En muchos casos es completamente
dependiente de la informática Cada vez más procesos de producción,
negocios, decisiones y una enorme cantidad de servicios distintos dependen directamente de la misma
Por tanto, se puede afirmar que cada vez más actividades económicas dependen de los ordenadores◦ Los ordenadores ya no solo valen lo que
cuestan, sino que valen tanto como la información que contienen y manejan
Por todo ello, un ordenador es un objetivo claro de un ataque
Para una empresa X actual, si en sus ordenadores:◦ Se logra robar su información, se puede obtener
información privilegiada muy útil: Planes de negocio, de expansión, especificaciones confidenciales de productos, planes para nuevas líneas de trabajo, información personal de sus usuarios, …
◦ Se logra destruir o modificar su información se puede parar o ralentizar la actividad de la empresa, causar retrasos en sus servicios o errores costosos en sus actividades
◦ Si se logra deshabilitar los ordenadores de la empresa y lograr que no funcionen, esta perderá (mucho) dinero por no poder dar servicio a sus clientes
Por ello, puede decirse que hoy en día hay una gran actividad enfocada al campo de la seguridad (de cómo vulnerarla y de cómo mantenerla)◦ Trataremos de dar una panorámica general de cómo es
este “mundo” Este es un campo enorme y en constante y rápida
evolución◦ Nuevas formas de ataque (y su correspondiente defensa)
aparecen prácticamente a diario◦ Los programas se actualizan para resolver errores, pero a
cambio suelen adquirir nuevos errores (que también se deben reparar)
◦ La imaginación de los atacantes es muy fructífera: De vez en cuando alguien se las ingenia para atacar de formas no conocidas previamente, algo a lo que hay que dar respuesta inmediata
¿Está la sociedad realmente preparada para responder adecuada y efectivamente a estas amenazas?◦ La primera impresión es que NO
¿Existe hoy una conciencia social generalizada acerca de lo que es o no conveniente/aconsejable de cara a mantener la seguridad?◦ Realmente es posible afirmar que NO
Algunas empresas (y usuarios particulares) consideran este aspecto como secundario y no hacen gran cosa por él: GRAVE ERROR◦ La pérdida de tiempo, dinero (y los disgustos ) que pueden
traer estos problemas se pueden evitar en gran parte con un poco de cuidado
La seguridad es la característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible
Derribemos el mito: NO EXISTE un sistema informático plenamente seguro◦ Típicamente a mayor seguridad, menor facilidad de uso◦ Por tanto, se suele optar por una solución de compromiso
A continuación explicaremos un poco la “jerga” que se usa en el mundo de la seguridad◦ Muchas veces estos términos se usan públicamente (noticias,
telediarios, etc.) sin tener claro su significado exacto ¿Qué es una amenaza de seguridad?
◦ Es la posibilidad de vulnerar la seguridad de un sistema (quizá utilizando una vulnerabilidad del mismo)
¿Qué es un riesgo de seguridad?◦ La probabilidad de que una amenaza se materialice
¿A qué se llama ataque?◦ Al acto inteligente y deliberado para eludir los servicios de
seguridad y vulnerar la política de seguridad de un sistema◦ Es una forma específica de intentar romper la seguridad de un
sistema, que puede tener o no éxito
¿Qué es una vulnerabilidad?◦ Es una característica de un sistema que permite a un
atacante evitar que funcione de manera correcta◦ Puede ser un fallo de:
Diseño Administrativo (alguien se olvida de hacer/cerrar/abrir algo) Construcción (en las máquinas donde se ejecuta, en el propio
programa o en algún mecanismos de seguridad)◦ Vulnerabilidad del día cero: Vulnerabilidad aún no hecha
pública Estas vulnerabilidades son aquellas para las que aún no
existe solución Deben estudiarse detalladamente por personal especializado
para buscarla
¿Qué es una contramedida?◦ Un mecanismo utilizado para ofrecer protección◦ Se utilizan para contrarrestar vulnerabilidades específicas
(Ej.: parche para evitar que un usuario malintencionado entre en el sistema haciendo una determinada operación) o conjuntos de las mismas
¿Qué es un exploit ?◦ Herramienta o programa que aprovecha alguna
vulnerabilidad del sistema para provocar un efecto no autorizado o no previsto
◦ Se crean con el objetivo de automatizar un ataque que explota una vulnerabilidad ¡Así casi cualquiera puede atacar un sistema con problemas!
¿Qué es una puerta trasera?◦ Posibilidad oculta de acceso a un sistema, creada en un
programa intencionadamente, para poder acceder o hacer tareas no previstas en las especificaciones del programa
◦ A veces se dejan en un programa para algo lícito (pruebas, …) El problema es que cualquiera que la descubra puede
utilizarla Y por último, ¿Qué es un hacker?
◦ Derribemos otro mito: Esta palabra no identifica necesariamente a alguien que ha cometido un delito
◦ Sólo son personas con muy elevados conocimientos informáticos (sobre un sistema o área particular), independientemente de la finalidad con que los use Una parte usa estos conocimientos con fines lícitos: Hackers Éticos
(white hat hackers) Otros usan estos conocimientos con fines no lícitos: Crackers (black
hat hackers)◦ Pueden ser o no usuarios del sistema sobre el que actúan
A diferencia de los crackers, los hackers no quieren robar, destruir, eliminar… ◦ Sólo son expertos en una materia ◦ Utilizan sus conocimientos para llevar a cabo diversas acciones
(que puede que en algunos casos rocen el límite de la legalidad) Hacking es un neologismo que indica la acción de un
hacker Un hacker no va ligado a lo ilegal
◦ Puede trabajar para una empresa legalmente, comprobando si sus sistemas y aplicaciones tienen vulnerabilidades
◦ Puede trabajar para la policía, trabajando como analista forense digital (en series de TV modernas aparecen frecuentemente)
Incluso ya existe la certificación CEH (Cerfication for Ethical Hacker) o empresas que proporcionan servicio de hacking ético◦ http://www.eccouncil.org/ceh.htm
El hacker ético es un individuo al que se le contrata para que lleve a cabo “test de penetración” en un sistema◦ Básicamente, intenta entrar en el sistema de múltiples formas,
buscando siempre cómo alguien podría conseguir algún beneficio, privilegio o ventaja usando el sistema de forma indebida
◦ Intenta llegar a hacer cosas para las que en un principio no estaría autorizado
◦ No destruye ni manipula maliciosamente el sistema “atacado” (es inofensivo)
Usa exactamente los mismos métodos que un cracker (alguien que realmente va a hacer daño)
¿Los mismos métodos? ¿Pero esto no es entonces un delito?◦ No, un hacker ético tiene permiso por escrito para desarrollar
sus actividades, por lo que es legal (es su “actividad laboral”)◦ De hecho, esta autorización es muy importante: Sin ella, un
hacker ético puede ser procesado como cracker!
Suelen organizarse un grupos (los “Red Teams” o “Equipos Rojos”)
Su sueldo se lo ganan probándolo todo, es decir, determinando el nivel de seguridad global de la empresa, sus equipos, su red, … lo que sea que necesiten probar
Al usar las mismas herramientas que los crackers, ¿no pueden verse tentados por “el lado oscuro de la fuerza”?◦ Claro, pero eso es completamente dependiente de la persona
(por eso son “éticos”, su ética teóricamente les impediría hacer mal uso de sus conocimientos)
◦ Es necesario que lo hagan: Sin conocer las armas del “enemigo” tan bien como el propio “enemigo” no se pueden combatir sus ataques de forma efectiva Si ellos descubren y solucionan un fallo que puede explotarse con
estas herramientas primero, un cracker que las aplique después se irá con las manos vacías
Por tanto usar las mismas herramientas que un cracker es completamente necesario
Muchas cosas:◦ Aspectos éticos y legales (LOPD, LSSI, …) ◦ Técnicas de Identificación de programas, máquinas,
servicios, sistemas operativos (y sus versiones)◦ Escanear (buscar) vulnerabilidades en un sistema dado◦ System Hacking: Entrar, deshabilitar o alterar el correcto
funcionamiento de un sistema◦ Descubrimiento y defensa contra troyanos y puertas
traseras◦ Sniffers: Escucha del tráfico de una red para obtener
información valiosa◦ Denegación de servicio: Cómo “tirar abajo” un sistema para
impedir que siga dando servicio◦ “Ingeniería Social”: Engañar y manipular individuos para
que proporcionen información valiosa
◦ Robo de sesiones: Hacerse con la identidad de otro usuario en una web
◦ Explotación de vulnerabilidades de webs: Descubrir fallos en páginas web y tratar de explotarlos para ver que efectos pueden tener
◦ Técnicas de averiguación de claves de usuario (password cracking)
◦ Hacking de redes inalámbricas◦ Hacking específico de sistemas operativos: Windows,
Linux, …◦ Detección de intrusos, cortafuegos (firewalls) ◦ Criptografía: El “arte” de esconder la información sensible
que “viaja” por Internet o que se guarda en las máquinas La información existe, pero solo el que posea la clave correcta
podrá descifrarla y leerla
Al usar las mismas técnicas que ellos, son también las fases de la actividad de un cracker
Planificar: Investigar al objetivo antes de proceder al ataque◦ Un ataque exitoso es un 90% preparación y un 10% “acción“ ◦ Se debe averiguar dónde se quiere acceder, cuáles son los objetivos, de
cuánto tiempo se dispone y los límites que nos imponen a lo que podemos hacer (si los hay)
Descubrir. Se puede dividir en dos fases:◦ Pasiva: Intentará obtener información de su objetivo de la forma más
oculta e indetectable posible. Ejemplos: Navegando como un usuario normal por el sitio web del objetivo que
quiera atacar, para ver que servicios ofrece y cómo está organizado Obteniendo otro tipo de información por diversos medios. Ej..: Las ofertas
de trabajo de una empresa revelan que tecnologías usan◦ Activa: El hacker identifica, mediante programas especiales, todas las
redes, programas (servicios) y equipos que posee el objetivo Todo programa tiene fallos, la mayoría de las veces conocidos
públicamente A partir de esta información es muy fácil localizar (o crear) un programa
que explote esos fallos para hacer un ataque (si se sabe que programas tiene el objetivo y sus versiones, se buscan fallos de los mismos y se explotan)
Atacar: Donde el hacker intentará:◦ Entrar en el sistema atacado◦ Lograr privilegios avanzados en el mismo (capacidad
para manipular, borrar o añadir información a voluntad)
◦ Recabar toda la información posible del sistema◦ Intentar llegar al mayor número de computadores
posible Informar: Desarrollar una documentación
exhaustiva y completa de lo hecho◦ El hacker documenta cada paso hecho, qué ha usado y
cómo lo ha usado◦ Documentará también los resultados que ha logrado◦ Con toda la información aportada, la empresa tendrá
una idea clara de qué es lo que falla y cómo arreglarlo (actualizaciones, parches, cambios en la estructura,…)
Entre ambos tipos hay diferencias y similitudes:◦ Ambos usan exactamente las mismas técnicas y
programas para lograr sus fines (o deberían)◦ Ambos se intentan saltar de una forma u otra las
restricciones de seguridad de un sistema dado◦ Ambos desarrollan (casi) el mismo procedimiento:
Planificar, Descubrir, Atacar◦ La diferencia es: El hacker ético al final informa
de los fallos; el cracker saca provecho de dichos fallos de la forma que desee (o le manden)
◦ Por tanto, lo que hacen no es el problema, es para qué lo usan
¿La seguridad es realmente tan importante? ¿Qué daño puede hacer un cracker?◦ Interrupción
Tratar de destruir, hacer inaccesible o inutilizable algún activo del sistema (Denegación de servicio, DoS o Denial of Service)
Son ataques a la disponibilidad Ejemplo de ataques de interrupción:
La destrucción o inhabilitación de determinado hardware El corte de las comunicaciones entre dos o más sistemas Deshabilitar una máquina (reiniciarla o apagarla)
◦ Interceptación Provocar que una entidad no autorizada obtenga acceso a un
activo (datos, etc.) Son ataques a la confidencialidad Ejemplos de ataques de interceptación:
La copia no autorizada de archivos o datos Pinchar una línea de comunicaciones para obtener acceso a la información
que circula por ella (sniffing)
◦ Modificación Conseguir que una entidad no autorizada tenga acceso a
un recurso y pueda alterarlo Ejemplos de ataques de modificación son:
El cambio no autorizado de alguna información de un ordenador Alterar un programa para que se comporte de manera diferente, por ejemplo por
medio de un virus Modificar el contenido de mensajes en tránsito por una red
◦ Fabricación Consisten en introducir datos en un sistema Son ataques a la autenticidad Ejemplos de ataques de fabricación son:
La inserción de datos falsos en un archivo Por ejemplo, crear falsos usuarios de un sistema
La introducción de datos falsos en una red (tráfico corrupto)
Creación de falsas evidencias o de datos que afecten a estadísticas o cálculos “Maquillaje” de encuestas o de resultados económicos
Los hackers éticos deben defender todo aquello que los crackers pueden atacar
Aparte del objetivo de un ataque determinado, principalmente hay dos cosas que un cracker atacará:◦ Sitios web de una empresa / institución / partido /etc.
Se aprovechará de fallos a la hora de crearlos o de los programas que permiten ponerlo en marcha
◦ Máquinas de una empresa / institución /etc. Se aprovechará de fallos de los programas que tiene la
máquina o de sus usuarios (nosotros)◦ Redes: Sacando provecho de la información que transita por
las redes, incluyendo Internet Por tanto, hablaremos de qué clase de ataques
pueden hacer los crackers sobre estos elementos
Ejemplo 1: El casino. Ésta es una página web que tiene un servicio de casino on-line
¿El cracker no es un usuario válido? No importa, puede entrar igual
¡Se ha conseguido entrar al casino sin ser un usuario válido (¡y en nombre de otra persona!)!
Ejemplo 2: Atacar a otros usuarios siendo el cracker un usuario registrado◦ En esta ocasión robaremos dinero a otro usuario del casino
El cracker, mediante sus conocimientos y programas especiales, construye un enlace especial: ◦ El enlace pertenece al sitio web original: El usuario que lo
vea no tiene porqué sospechar◦ El cracker intentará que otros usuarios del casino usen
(hagan clic) este enlace
http://www.hacmecasino.com/account/transfer_chips?transfer=1000&login[]=andy_aces&commit=Transfer+Chips
¿Cómo lo consiguen? ◦ El cracker elabora un correo falso con algún “truco” para
que otro usuario “pique”◦ Esto es una forma de phising◦ Si un usuario del casino usa el enlace ¡Le robarán dinero!
Ejemplo 3: Robar identidades◦ Cuando nos damos de alta en una página que tenga
usuarios, esta página nos identifica mediante una serie de datos que crea Estos datos son nuestra identificación personal y se
denominan sesión ¡Si alguien roba nuestra sesión, puede hacerse pasar por
nosotros en esa página!◦ En el siguiente ejemplo vemos la página de una tienda
de libros que admite comentarios de los usuarios sobre ellos El cracker puede meter un código especial en el apartado
de comentarios de un libro cualquiera Este código le enviará la sesión de quien esté viendo ese
libro ¡Ahora puede hacerse pasar por nosotros!
Con las páginas que tienen fallos y permiten hacer estas cosas no podemos hacer nada◦ Es labor de la empresa propietaria◦ Es labor de hackers éticos contratados descubrir e informar de
forma precisa de estos errores y sus soluciones Como usuarios responsables sí que podemos hacer algo:
◦ Si nos informan de problemas, no debemos entrar en la página afectada hasta que se solucionen
◦ No comprar en sitios “extraños” o de dudosa reputación Es mejor apostar por empresas reconocidas
◦ NUNCA abrir correos cuyo remitente desconozcamos Tanto si conocemos el remitente o no, nunca pinchar en enlaces en
estos correos que hablen de supuestas ofertas magnificas, promociones, ventajas, etc. de páginas web varias
◦ LOS BANCOS NUNCA SE DIRIJEN A SUS CLIENTES POR CORREO ELECTRÓNICO ORDINARIO Por tanto, cualquier correo que venga remitido por una supuesta
entidad bancaria es un ataque de este tipo o similar
Mas actuaciones:◦ Hacerse con una tarjeta-monedero para comprar por Internet
Muchas entidades bancarias lo permiten ya Se carga con una cantidad de dinero y no es posible gastar más de
dicha cantidad Para compras por Internet, son como una tarjeta “normal”, pero con
menos riesgo Cada entidad bancaria ofrece estos servicios con sus peculiaridades:
Debemos informarnos del mismo en cada una de ellas◦ Usar un navegador de Internet fiable (Internet Explorer, Firefox)
y actualizado Las actualizaciones automáticas de Windows actualizan el Explorer Firefox se actualiza solo (mensaje al arrancar) ¡Nunca posponer este tipo de mensajes!
◦ Comprobar que donde compramos se ha establecido una conexión segura a la hora de poner nuestros datos de la tarjeta: La dirección empieza por https://... y tiene fondo amarillo Hay un candado cerrado en la barra que está debajo de la página El navegador no nos advierte de ningún error al respecto
Los crackers también pueden tener como objetivo uno o varios PCs
Pueden ser de una empresa o de un particular Lo que se busca es, aparte de la información
valiosa que pueda contener (tarjetas de crédito, información “sensible” de la empresa, etc.), hacer ordenadores “zombies”
Un ordenador zombie es una máquina conectada a Internet que está siendo controlada externamente por otro individuo con algún fin malicioso◦ Puede ser controlada directamente por un hacker◦ Pueden también emplearse virus o troyanos para
hacerlo Un ordenador zombie normalmente forma
parte de una red que contiene muchos ordenadores “zombies” (botnet)
La mayoría de los usuarios de un ordenador zombie no se percatan de que su ordenador está siendo usado de esta forma◦ Si el ordenador y/o la red van muy lentos de forma inexplicable,
tenemos que sospechar que algo así puede ocurrirle ¿Y para que quiere un cracker esto entonces?
◦ Los zombies se suelen usar para mandar correo basura (spam) En 2005 entre el 50 y el 80% de todo el correo basura fue mandado
por este tipo de ordenadores Esto permite a los spammers (personas que tienen un negocio a base
de generar y mandar spam) no ser detectados, y usar la conexión a internet de los dueños de los ordenadores zombies para este fin
¡Los dueños pagan el negocio del un spammer!◦ También pueden usarse para cometer diversos delitos por
Internet: Timos, estafas, servicios de anuncios fraudulentos o falsos, phising, … Los ordenadores zombie son los que se usan como origen, almacén o
desencadenantes de este tipo de delitos
Por tanto, cuantos más ordenadores zombies tenga bajo su control un cracker, más beneficios obtendrá◦ Este es un aspecto muy importante a controlar por un hacker
ético ¡Una empresa no puede permitir que sus ordenadores se usen para
cometer delitos! Si un ataque se origina en nuestro PC, pueden acusarnos de un delito
Aunque se demuestre que no es así, la molestia es muy grande◦ Estos ataques comprometen a los usuarios:
De esta forma, ellos son uno de los “puntos débiles” de una empresa Los usuarios “despistados” suelen ser la vía de entrada preferida por
los crackers y algo a considerar por los hackers éticos◦ Los hackers éticos deben pues asegurarse de que los equipos
de los usuarios son lo más seguros posible (y “a prueba de torpes” )
◦ Los usuarios también deben ser “educados” para no caer en esta trampa y comprometer sus equipos La mayoría de veces, un ordenador acaba siendo zombie porque el
usuario ha cometido un error o descuido, y se ha infectado por algún tipo de “amenaza lógica” que le causa estos efectos
Bomba lógica:◦ Programa que permanece en suspensión
hasta que es activado◦ La activación se produce como respuesta
a cualquier evento que el sistema que la aloja pueda detectar, como: Un evento temporal (alcanzar una fecha o
que pase un lapso de tiempo) La presencia o ausencia de determinados
datos◦ Una vez activada, la bomba lógica lanza su
“carga” (payload)◦ La “carga” puede ser cualquier tipo de
efecto malicioso (que consuma recursos, destruya archivos, etc.)
Caballo de Troya:◦ Los caballos de Troya se “camuflan” bajo la
apariencia de programas o datos inofensivos, pero ocultan unas intenciones muy diferentes Se instala en un sistema si un usuario
autorizado lo ejecuta o accede a él, normalmente engañándolo a través de “ingeniería social”
Suelen ser juegos o herramientas “útiles”◦ Existen caballos de Troya en forma de:
Programas ejecutables. Los mejores llevan a cabo una funcionalidad lícita e inocua a la vez que realizan acciones ilícitas de forma encubierta
Datos. Aprovechan vulnerabilidades en el programa que los procesa, o fallos en programas para llevar a cabo sus acciones (ficheros corruptos)
◦ Métodos de protección y detección: No permitir la instalación o ejecución de software que
no sea de fiar (por ejemplo, bromas en forma de .ppts, .exe, .dll, ActiveX, …)
Utilizar detectores automáticos de amenazas (antivirus)
Virus:◦ Es un programa que “infecta” a otros muchos,
utilizando técnicas de replicación◦ Efectos:
La mayoría de los virus incorporan algún tipo de bomba lógica que se activa de forma independiente
Ésta es la que hace algún tipo de operación dañina (formateo, borrado, alteración, toma de control del equipo, …)
Otros, simplemente se replican a fin de consumir recursos e inutilizar el equipo
◦ Métodos de protección y detección: No permitir la instalación o ejecución de software que no
sea de fiar (bromas en forma de ppts, .exe, .dll, ActiveX, …) Esto incluye: Bromas o chistes que se envíen por correo
electrónico, adjuntos en mensajes de correo, ficheros de estos tipos descargados del emule o recibidos por el Messenger, etc.
Utilizar software antivirus y mantenerlo actualizado periódicamente Derribemos otro mito: NINGUN antivirus es 100% infalible:
Algunos virus escaparán a su detección
Muchos ataques comienzan por aquí. Son una de las formas de ataque más efectivas:◦ Consiste en mantener un trato social con las personas que
custodian datos o información de interés para el atacante Incluye desde la suplantación de identidades hasta la búsqueda en
papeleras, basuras, … de información relevante Depende mucho de las circunstancias, del conocimiento de la víctima
y del atacante◦ Las empresas de seguridad hacen mucho hincapié en la
EDUCACIÓN DEL PERSONAL que trabaja con los sistemas Es condición humana la sociabilidad, el saberse útil, y el poder ayudar
a los demás Desgraciadamente, esto se usa como punto de partida para muchos
ataques◦ La desconfianza es el principio de la seguridad
El sentido común pone el límite◦ Un buen cracker suele ser un buen psicólogo
Debe entender el comportamiento humano
Ingeniería social. Prevención:◦ Un hacker ético puede informar a la empresa de a qué tipo de
prácticas de “ingeniería social” puede ser vulnerable la misma Todo dependerá de las responsabilidades de cada tipo de
usuario y de cómo esté organizada la empresa◦ En general, como usuarios debemos:
No dar información a desconocidos, de ningún tipo La información sensible se dará en persona, sólo cuando sea requerida y sólo a entidades
debidamente autorizadas e identificadas Debemos intentar detectar cuando alguien está intentando ganarse nuestra confianza
No poner claves obvias: Datos personales o información muy relacionada con nosotros (nombres de familiares, etc.) Si alguien se gana nuestra confianza, puede averiguar la clave con detalles que le
contemos de nuestra vida personal Nunca dejar por escrito en ningún sitio ni comunicar nuestras claves o pistas
para averiguar las mismas Podemos “cantarlas” sin darnos cuenta
◦ Aunque parezca una película de espías, esta forma de atacar sistemas es real y muy peligrosa
Hoy en día las conexiones a Internet sin cables (Wifi o inalámbricas) son cada vez más comunes◦ El problema es que la información se transmite por el aire y no
por un cable◦ Al hacerlo, queda al alcance de cualquiera que tenga un equipo
que reciba la señal Si no establecemos una clave a nuestra conexión, cualquiera podrá
usarla, ver el tráfico que transcurre por ella y conectarse a Internet mediante la misma
◦ Una Wifi robada es, aparte de una conexión a Internet gratis para el que la robe, un potencial vehículo de ataque Un atacante puede usar la red de otro para cometer un delito: Las
sospechas irán a parar al propietario de la red◦ Como no deseamos que nadie use gratis aquello por lo que
estamos pagando, debemos preguntar a nuestro proveedor de Internet como poner una clave a nuestra conexión
◦ Como crear buenas claves lo veremos al final de la presentación
El correo electrónico es una fuente muy común de problemas y ataques El correo NO es confidencial ni puede saberse si los
emisores son quienes dicen ser (el remitente se puede falsificar muy fácilmente)
◦ Hemos hablado ya del peligro de los adjuntos◦ El spam es un enorme problema hoy en día (Anuncios de
Viagra, tranquilizantes, citas y contactos falsos, títulos universitarios sin estudiar, miles y miles de cosas…) No solo son anuncios, algunos traen virus y “otras sorpresas”
◦ El phising es también una forma de cometer delitos muy común actualmente (correos en nombre de bancos, de eBay, de entidades del gobierno (hacienda), …) Suplantan empresas, personas, entidades, … Todos sin excepción tienen el objetivo de hacerse con los datos de un
usuario y hacerse pasar por el para cometer un delito (robos, …)◦ Por último, mencionaremos también los timos y fraudes por
correo, que buscan un beneficio económico para el cracker
Entre los timos y fraudes destacamos: Supuestas loterías premiadas:
Nos informan de que nos ha tocado una lotería (de la que por supuesto nunca hemos oído hablar)
Si contestamos, nos mandarán información supuestamente correcta y legal de cómo recibir el premio
En algún momento dado nos pedirán dinero en concepto de tasas de transferencia del dinero, impuestos, etc. Cualquier excusa vale con tal de sacarnos dinero….
Nosotros pagamos y JAMAS veremos un euro del supuesto premio El objetivo es engañar al usuario el mayor tiempo posible para
que siga pagando por distintos conceptos Incluso se pueden quedar con nuestro número de cuenta y
datos personales para cometer aún más delitos, información que nos habrán pedido en algún punto de este proceso
Ofertas de dinero de supuestos millonarios (timo nigeriano): Nos envían un correo en nombre de un individuo
supuestamente acaudalado, que por alguna razón no puede disponer de parte o la totalidad de su fortuna (enfermedad, una guerra, …)
Nos ofrecen un porcentaje de esta suma (que asciende normalmente a varios millones) a cambio de ofrecernos de “enlace bancario” para “liberar” este dinero
Si contestamos, entonces nos pedirán información personal (que pueden usar para estafarnos o suplantarnos)
En algún punto del timo se nos pedirá dinero para poder seguir adelante con la transacción (impuestos, soborno de supuestos funcionarios, costes de la operación, …)
Al igual que antes, por mucho que paguemos jamás veremos un euro de esa cantidad
En no pocas ocasiones lo que nos piden ralla el delito
Ofertas de trabajo falsas: Recibimos un correo con una supuesta oferta de trabajo
atractiva Esto puede tener dos objetivos:
La oferta no existe: Tratan de que demos datos personales para cometer fraudes y timos
La oferta si que existe: En este caso casi el 100% de las mismas consiste en que nosotros nos hagamos titulares de una cuenta bancaria Esta cuenta recibirá importes de dinero variables, que
debemos destinar a otras cuentas Nosotros nos llevaríamos una supuesta comisión de cada
transferencia Normalmente, este dinero procede de actividades delictivas:
quien acepte estas ofertas comete un delito de blanqueo de capitales (“mulas” de dinero de narcotráfico u otras fuentes fraudulentas)
De esta manera el “blanqueador” sale impune y el delito recae sobre el “timado”
¿Qué podemos hacer en estos casos?◦ JAMÁS contestar a estos correos
Solo por contestar (aunque sea para decir que no), entraremos en una lista de correos “activos”, con lo que recibiremos aún más correo de este tipo
◦ Lo mejor es borrarlos directamente o bien denunciarlo◦ Si ya lo hemos hecho por error, o si el correo incurre
en algún tipo de amenaza debemos denunciarlo a la policía
◦ Instalar o configurar un buen filtro antispam en nuestro cliente de correo La mayoría ya tienen uno incorporado En este caso, los correos basura se guardan en una
carpeta aparte, que podemos consultar para ver si se ha “colado” alguno legítimo, pero NUNCA abrirlos
No somos hackers éticos pero, ¿podemos hacer algo para no ser fuentes o vehículos de todos los ataques vistos?
Si somos empleados de una empresa, debemos seguir siempre la política de seguridad de nuestra empresa◦ ¡De no hacerlo nos podría costar un despido!
Hacer siempre caso a los profesionales de seguridad (hackers éticos) que puedan darnos consejos
Actualizaciones: Siempre aceptar que el sistema operativo u otros programas se actualicen automáticamente
No utilizar software pirata: En muchas ocasiones suele venir con “sorpresas”
Ser desconfiados de lo que nos llega por Internet y no hacer caso a “ofertas-milagro”, “chollos”, “chistes graciosos”, “programas maravillosos”, “páginas superchulas”, etc.
No recordar nunca nuestras contraseñas en equipos ajenos, públicos o compartidos
Borrar todos los datos temporales de estos ordenadores cuando terminemos de usarlos:◦ Firefox: Herramientas-Limpiar
información privada◦ Internet Explorer: Herramientas
– Eliminar el historial de exploración – Eliminar todo
Instalar un antivirus:◦ Todo ordenador debe tener un antivirus que detecte
posibles virus que intenten entrar en nuestro sistema◦ No debemos instalar más de uno en una misma
máquina◦ De pago (de venta en cualquier tienda o gran
almacén): Mcafee VirusScan Kaspersky Antivirus
◦ Gratuitos: Avast! Antivirus:
http://www.avast.com/esp/ download-avast-home.html AVG Free Edition: http://free.grisoft.com/
Instalar un firewall:◦ Estos programas controlan qué entra y que sale de
nuestra máquina y evitan intrusiones y ataques que provienen de la red
◦ Todo equipo debería contar con uno y no desactivarlo NUNCA mientras esté conectado a Internet
◦ Windows XP y Vista ya vienen con uno, suficiente para la mayoría de los casos
◦ Muchos productos antivirus de pago vienen también con uno incorporado No se debe instalar más de uno en una misma máquina
◦ Uno gratuito más avanzado y potente es ZoneAlarm: http://www.zonealarm.com/store/content/catalog/products/sku_list_za.jsp
Instalar un programa antispyware: ◦ Un programa especializado en eliminar un tipo de
amenaza lógica especializada llamada programa espía Estos programas analizan el comportamiento, pulsaciones
de teclas, etc. del usuario para sacar información del mismo
◦ La mayoría de antivirus ofrecen esta funcionalidad como parte de sus servicios
◦ Si no dispusiéramos de uno, podemos instalar uno gratuito llamado Windows Defender, de Microsoft http://www.microsoft.com/spain/athome/security/spyware/
software/default.mspx
◦ Tampoco conviene tener varios en la misma máquina
La clave de un usuario (password) es la base de cualquier sistema de seguridad, ◦ Es el mecanismo que hace de “llave” de acceso a los
recursos particulares de un determinado usuario Alguien que conozca una clave puede entrar en el
sistema y adquirir los derechos del propietario de la misma, actuando en su nombre
Es necesario por tanto crear claves “fuertes”, que no sean fácilmente averiguables por los atacantes
También es necesario cambiarla cada cierto tiempo
Una buena clave debería seguir los siguientes criterios:◦ Por lo menos 8 caracteres (mejor 15 o más)◦ Contendrá caracteres de (al menos) 3 de estas categorías:
Letras Mayúsculas Letras Minúsculas Números Símbolos, signos de puntuación, …
◦ Deben ser cambiadas con periodicidad regular o inmediatamente ante la mínima sospecha de su compromiso
◦ NUNCA deben ser palabras “normales” (del diccionario), datos personales, nombres de parejas, familiares, mascotas, etc.
◦ NUNCA deben compartirse ni enviarse (ni comunicarse de ninguna forma) a otras personas
◦ Si una clave no cumple con estas condiciones, no es buena
El uso “creativo” de lenguaje de móvil, abreviaturas, sustitución de letras por números etc. puede ser un gran aliado:◦ “3sM1Kumpl3”◦ “Creo que soy INSEGURO, ¿o no?”
NOTA: Una frase completa (no citas famosas), con signos de puntuación y uso creativo de letras mayúsculas es mejor password de lo que puede parecer
◦ “La vida es una lenteja :-)” En general debemos buscar algo que sea lo
suficientemente complejo y que, idealmente, solo tenga sentido para nosotros, para que no resulte imposible de recordar
Muchas gracias a todos por su atención