José Manuel Redondo López EUITIO, Universidad de Oviedo VII Congreso “CiberCiudadano”, Mayo de 2008.

1 José Manuel Redondo López EUITIO, Universidad de Oviedo...
Author: José Luis Márquez Henríquez
0 downloads 0 Views

1 José Manuel Redondo López EUITIO, Universidad de Oviedo VII Congreso “CiberCiudadano”, Mayo de 2008

2  La sociedad cada día usa más la informática y todo lo relacionado con ella  Por ello, la sociedad actual es cada vez más dependiente de la informática ◦ En muchos casos es completamente dependiente de la informática  Cada vez más procesos de producción, negocios, decisiones y una enorme cantidad de servicios distintos dependen directamente de la misma  Por tanto, se puede afirmar que cada vez más actividades económicas dependen de los ordenadores ◦ Los ordenadores ya no solo valen lo que cuestan, sino que valen tanto como la información que contienen y manejan

3  Por todo ello, un ordenador es un objetivo claro de un ataque  Para una empresa X actual, si en sus ordenadores: ◦ Se logra robar su información, se puede obtener información privilegiada muy útil: Planes de negocio, de expansión, especificaciones confidenciales de productos, planes para nuevas líneas de trabajo, información personal de sus usuarios, … ◦ Se logra destruir o modificar su información se puede parar o ralentizar la actividad de la empresa, causar retrasos en sus servicios o errores costosos en sus actividades ◦ Si se logra deshabilitar los ordenadores de la empresa y lograr que no funcionen, esta perderá (mucho) dinero por no poder dar servicio a sus clientes

4  Por ello, puede decirse que hoy en día hay una gran actividad enfocada al campo de la seguridad (de cómo vulnerarla y de cómo mantenerla) ◦ Trataremos de dar una panorámica general de cómo es este “mundo”  Este es un campo enorme y en constante y rápida evolución ◦ Nuevas formas de ataque (y su correspondiente defensa) aparecen prácticamente a diario ◦ Los programas se actualizan para resolver errores, pero a cambio suelen adquirir nuevos errores (que también se deben reparar) ◦ La imaginación de los atacantes es muy fructífera: De vez en cuando alguien se las ingenia para atacar de formas no conocidas previamente, algo a lo que hay que dar respuesta inmediata

5  ¿Está la sociedad realmente preparada para responder adecuada y efectivamente a estas amenazas? ◦ La primera impresión es que NO  ¿Existe hoy una conciencia social generalizada acerca de lo que es o no conveniente/aconsejable de cara a mantener la seguridad? ◦ Realmente es posible afirmar que NO  Algunas empresas (y usuarios particulares) consideran este aspecto como secundario y no hacen gran cosa por él: GRAVE ERROR ◦ La pérdida de tiempo, dinero (y los disgustos ) que pueden traer estos problemas se pueden evitar en gran parte con un poco de cuidado

6  La seguridad es la característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible  Derribemos el mito: NO EXISTE un sistema informático plenamente seguro ◦ Típicamente a mayor seguridad, menor facilidad de uso ◦ Por tanto, se suele optar por una solución de compromiso

7  A continuación explicaremos un poco la “jerga” que se usa en el mundo de la seguridad ◦ Muchas veces estos términos se usan públicamente (noticias, telediarios, etc.) sin tener claro su significado exacto  ¿Qué es una amenaza de seguridad? ◦ Es la posibilidad de vulnerar la seguridad de un sistema (quizá utilizando una vulnerabilidad del mismo)  ¿Qué es un riesgo de seguridad? ◦ La probabilidad de que una amenaza se materialice  ¿A qué se llama ataque? ◦ Al acto inteligente y deliberado para eludir los servicios de seguridad y vulnerar la política de seguridad de un sistema ◦ Es una forma específica de intentar romper la seguridad de un sistema, que puede tener o no éxito

8  ¿Qué es una vulnerabilidad? ◦ Es una característica de un sistema que permite a un atacante evitar que funcione de manera correcta ◦ Puede ser un fallo de:  Diseño  Administrativo (alguien se olvida de hacer/cerrar/abrir algo)  Construcción (en las máquinas donde se ejecuta, en el propio programa o en algún mecanismos de seguridad) ◦ Vulnerabilidad del día cero: Vulnerabilidad aún no hecha pública  Estas vulnerabilidades son aquellas para las que aún no existe solución  Deben estudiarse detalladamente por personal especializado para buscarla

9  ¿Qué es una contramedida? ◦ Un mecanismo utilizado para ofrecer protección ◦ Se utilizan para contrarrestar vulnerabilidades específicas (Ej.: parche para evitar que un usuario malintencionado entre en el sistema haciendo una determinada operación) o conjuntos de las mismas  ¿Qué es un exploit ? ◦ Herramienta o programa que aprovecha alguna vulnerabilidad del sistema para provocar un efecto no autorizado o no previsto ◦ Se crean con el objetivo de automatizar un ataque que explota una vulnerabilidad  ¡Así casi cualquiera puede atacar un sistema con problemas!

10  ¿Qué es una puerta trasera? ◦ Posibilidad oculta de acceso a un sistema, creada en un programa intencionadamente, para poder acceder o hacer tareas no previstas en las especificaciones del programa ◦ A veces se dejan en un programa para algo lícito (pruebas, …)  El problema es que cualquiera que la descubra puede utilizarla  Y por último, ¿Qué es un hacker? ◦ Derribemos otro mito: Esta palabra no identifica necesariamente a alguien que ha cometido un delito ◦ Sólo son personas con muy elevados conocimientos informáticos (sobre un sistema o área particular), independientemente de la finalidad con que los use  Una parte usa estos conocimientos con fines lícitos: Hackers Éticos (white hat hackers)  Otros usan estos conocimientos con fines no lícitos: Crackers (black hat hackers) ◦ Pueden ser o no usuarios del sistema sobre el que actúan

11  A diferencia de los crackers, los hackers no quieren robar, destruir, eliminar… ◦ Sólo son expertos en una materia ◦ Utilizan sus conocimientos para llevar a cabo diversas acciones (que puede que en algunos casos rocen el límite de la legalidad)  Hacking es un neologismo que indica la acción de un hacker  Un hacker no va ligado a lo ilegal ◦ Puede trabajar para una empresa legalmente, comprobando si sus sistemas y aplicaciones tienen vulnerabilidades ◦ Puede trabajar para la policía, trabajando como analista forense digital (en series de TV modernas aparecen frecuentemente)  Incluso ya existe la certificación CEH (Cerfication for Ethical Hacker) o empresas que proporcionan servicio de hacking ético ◦ http://www.eccouncil.org/ceh.htm http://www.eccouncil.org/ceh.htm

12  El hacker ético es un individuo al que se le contrata para que lleve a cabo “test de penetración” en un sistema ◦ Básicamente, intenta entrar en el sistema de múltiples formas, buscando siempre cómo alguien podría conseguir algún beneficio, privilegio o ventaja usando el sistema de forma indebida ◦ Intenta llegar a hacer cosas para las que en un principio no estaría autorizado ◦ No destruye ni manipula maliciosamente el sistema “atacado” (es inofensivo)  Usa exactamente los mismos métodos que un cracker (alguien que realmente va a hacer daño)  ¿Los mismos métodos? ¿Pero esto no es entonces un delito? ◦ No, un hacker ético tiene permiso por escrito para desarrollar sus actividades, por lo que es legal (es su “actividad laboral”) ◦ De hecho, esta autorización es muy importante: Sin ella, un hacker ético puede ser procesado como cracker!

13  Suelen organizarse un grupos (los “Red Teams” o “Equipos Rojos”)  Su sueldo se lo ganan probándolo todo, es decir, determinando el nivel de seguridad global de la empresa, sus equipos, su red, … lo que sea que necesiten probar  Al usar las mismas herramientas que los crackers, ¿no pueden verse tentados por “el lado oscuro de la fuerza”? ◦ Claro, pero eso es completamente dependiente de la persona (por eso son “éticos”, su ética teóricamente les impediría hacer mal uso de sus conocimientos) ◦ Es necesario que lo hagan: Sin conocer las armas del “enemigo” tan bien como el propio “enemigo” no se pueden combatir sus ataques de forma efectiva  Si ellos descubren y solucionan un fallo que puede explotarse con estas herramientas primero, un cracker que las aplique después se irá con las manos vacías  Por tanto usar las mismas herramientas que un cracker es completamente necesario

14  Muchas cosas: ◦ Aspectos éticos y legales (LOPD, LSSI, …) ◦ Técnicas de Identificación de programas, máquinas, servicios, sistemas operativos (y sus versiones) ◦ Escanear (buscar) vulnerabilidades en un sistema dado ◦ System Hacking: Entrar, deshabilitar o alterar el correcto funcionamiento de un sistema ◦ Descubrimiento y defensa contra troyanos y puertas traseras ◦ Sniffers: Escucha del tráfico de una red para obtener información valiosa ◦ Denegación de servicio: Cómo “tirar abajo” un sistema para impedir que siga dando servicio ◦ “Ingeniería Social”: Engañar y manipular individuos para que proporcionen información valiosa

15 ◦ Robo de sesiones: Hacerse con la identidad de otro usuario en una web ◦ Explotación de vulnerabilidades de webs: Descubrir fallos en páginas web y tratar de explotarlos para ver que efectos pueden tener ◦ Técnicas de averiguación de claves de usuario (password cracking) ◦ Hacking de redes inalámbricas ◦ Hacking específico de sistemas operativos: Windows, Linux, … ◦ Detección de intrusos, cortafuegos (firewalls) ◦ Criptografía: El “arte” de esconder la información sensible que “viaja” por Internet o que se guarda en las máquinas  La información existe, pero solo el que posea la clave correcta podrá descifrarla y leerla

16  Al usar las mismas técnicas que ellos, son también las fases de la actividad de un cracker  Planificar: Investigar al objetivo antes de proceder al ataque ◦ Un ataque exitoso es un 90% preparación y un 10% “acción“ ◦ Se debe averiguar dónde se quiere acceder, cuáles son los objetivos, de cuánto tiempo se dispone y los límites que nos imponen a lo que podemos hacer (si los hay)  Descubrir. Se puede dividir en dos fases: ◦ Pasiva: Intentará obtener información de su objetivo de la forma más oculta e indetectable posible. Ejemplos:  Navegando como un usuario normal por el sitio web del objetivo que quiera atacar, para ver que servicios ofrece y cómo está organizado  Obteniendo otro tipo de información por diversos medios. Ej..: Las ofertas de trabajo de una empresa revelan que tecnologías usan ◦ Activa: El hacker identifica, mediante programas especiales, todas las redes, programas (servicios) y equipos que posee el objetivo  Todo programa tiene fallos, la mayoría de las veces conocidos públicamente  A partir de esta información es muy fácil localizar (o crear) un programa que explote esos fallos para hacer un ataque (si se sabe que programas tiene el objetivo y sus versiones, se buscan fallos de los mismos y se explotan)

17  Atacar: Donde el hacker intentará: ◦ Entrar en el sistema atacado ◦ Lograr privilegios avanzados en el mismo (capacidad para manipular, borrar o añadir información a voluntad) ◦ Recabar toda la información posible del sistema ◦ Intentar llegar al mayor número de computadores posible  Informar: Desarrollar una documentación exhaustiva y completa de lo hecho ◦ El hacker documenta cada paso hecho, qué ha usado y cómo lo ha usado ◦ Documentará también los resultados que ha logrado ◦ Con toda la información aportada, la empresa tendrá una idea clara de qué es lo que falla y cómo arreglarlo (actualizaciones, parches, cambios en la estructura,…)

18  Entre ambos tipos hay diferencias y similitudes: ◦ Ambos usan exactamente las mismas técnicas y programas para lograr sus fines (o deberían) ◦ Ambos se intentan saltar de una forma u otra las restricciones de seguridad de un sistema dado ◦ Ambos desarrollan (casi) el mismo procedimiento: Planificar, Descubrir, Atacar ◦ La diferencia es: El hacker ético al final informa de los fallos; el cracker saca provecho de dichos fallos de la forma que desee (o le manden) ◦ Por tanto, lo que hacen no es el problema, es para qué lo usan

19  ¿La seguridad es realmente tan importante? ¿Qué daño puede hacer un cracker? ◦ Interrupción  Tratar de destruir, hacer inaccesible o inutilizable algún activo del sistema (Denegación de servicio, DoS o Denial of Service)  Son ataques a la disponibilidad  Ejemplo de ataques de interrupción:  La destrucción o inhabilitación de determinado hardware  El corte de las comunicaciones entre dos o más sistemas  Deshabilitar una máquina (reiniciarla o apagarla) ◦ Interceptación  Provocar que una entidad no autorizada obtenga acceso a un activo (datos, etc.)  Son ataques a la confidencialidad  Ejemplos de ataques de interceptación:  La copia no autorizada de archivos o datos  Pinchar una línea de comunicaciones para obtener acceso a la información que circula por ella (sniffing)

20 ◦ Modificación  Conseguir que una entidad no autorizada tenga acceso a un recurso y pueda alterarlo  Ejemplos de ataques de modificación son:  El cambio no autorizado de alguna información de un ordenador  Alterar un programa para que se comporte de manera diferente, por ejemplo por medio de un virus  Modificar el contenido de mensajes en tránsito por una red ◦ Fabricación  Consisten en introducir datos en un sistema  Son ataques a la autenticidad  Ejemplos de ataques de fabricación son:  La inserción de datos falsos en un archivo  Por ejemplo, crear falsos usuarios de un sistema  La introducción de datos falsos en una red (tráfico corrupto)  Creación de falsas evidencias o de datos que afecten a estadísticas o cálculos  “Maquillaje” de encuestas o de resultados económicos

21  Los hackers éticos deben defender todo aquello que los crackers pueden atacar  Aparte del objetivo de un ataque determinado, principalmente hay dos cosas que un cracker atacará: ◦ Sitios web de una empresa / institución / partido /etc.  Se aprovechará de fallos a la hora de crearlos o de los programas que permiten ponerlo en marcha ◦ Máquinas de una empresa / institución /etc.  Se aprovechará de fallos de los programas que tiene la máquina o de sus usuarios (nosotros) ◦ Redes: Sacando provecho de la información que transita por las redes, incluyendo Internet  Por tanto, hablaremos de qué clase de ataques pueden hacer los crackers sobre estos elementos

22  Ejemplo 1: El casino. Ésta es una página web que tiene un servicio de casino on-line

23  ¿El cracker no es un usuario válido? No importa, puede entrar igual

24  ¡Se ha conseguido entrar al casino sin ser un usuario válido (¡y en nombre de otra persona!)!

25  Ejemplo 2: Atacar a otros usuarios siendo el cracker un usuario registrado ◦ En esta ocasión robaremos dinero a otro usuario del casino

26  El cracker, mediante sus conocimientos y programas especiales, construye un enlace especial: ◦ El enlace pertenece al sitio web original: El usuario que lo vea no tiene porqué sospechar ◦ El cracker intentará que otros usuarios del casino usen (hagan clic) este enlace http://www.hacmecasino.com/account/transfer_chips?transfer=1000&logi n[]=andy_aces&commit=Transfer+Chips

27  ¿Cómo lo consiguen? ◦ El cracker elabora un correo falso con algún “truco” para que otro usuario “pique” ◦ Esto es una forma de phising ◦ Si un usuario del casino usa el enlace ¡Le robarán dinero!

28  Ejemplo 3: Robar identidades ◦ Cuando nos damos de alta en una página que tenga usuarios, esta página nos identifica mediante una serie de datos que crea  Estos datos son nuestra identificación personal y se denominan sesión  ¡Si alguien roba nuestra sesión, puede hacerse pasar por nosotros en esa página! ◦ En el siguiente ejemplo vemos la página de una tienda de libros que admite comentarios de los usuarios sobre ellos  El cracker puede meter un código especial en el apartado de comentarios de un libro cualquiera  Este código le enviará la sesión de quien esté viendo ese libro  ¡Ahora puede hacerse pasar por nosotros!

29

30

31  Con las páginas que tienen fallos y permiten hacer estas cosas no podemos hacer nada ◦ Es labor de la empresa propietaria ◦ Es labor de hackers éticos contratados descubrir e informar de forma precisa de estos errores y sus soluciones  Como usuarios responsables sí que podemos hacer algo: ◦ Si nos informan de problemas, no debemos entrar en la página afectada hasta que se solucionen ◦ No comprar en sitios “extraños” o de dudosa reputación  Es mejor apostar por empresas reconocidas ◦ NUNCA abrir correos cuyo remitente desconozcamos  Tanto si conocemos el remitente o no, nunca pinchar en enlaces en estos correos que hablen de supuestas ofertas magnificas, promociones, ventajas, etc. de páginas web varias ◦ LOS BANCOS NUNCA SE DIRIJEN A SUS CLIENTES POR CORREO ELECTRÓNICO ORDINARIO  Por tanto, cualquier correo que venga remitido por una supuesta entidad bancaria es un ataque de este tipo o similar

32  Mas actuaciones: ◦ Hacerse con una tarjeta-monedero para comprar por Internet  Muchas entidades bancarias lo permiten ya  Se carga con una cantidad de dinero y no es posible gastar más de dicha cantidad  Para compras por Internet, son como una tarjeta “normal”, pero con menos riesgo  Cada entidad bancaria ofrece estos servicios con sus peculiaridades: Debemos informarnos del mismo en cada una de ellas ◦ Usar un navegador de Internet fiable (Internet Explorer, Firefox) y actualizado  Las actualizaciones automáticas de Windows actualizan el Explorer  Firefox se actualiza solo (mensaje al arrancar)  ¡Nunca posponer este tipo de mensajes! ◦ Comprobar que donde compramos se ha establecido una conexión segura a la hora de poner nuestros datos de la tarjeta:  La dirección empieza por https://... y tiene fondo amarillohttps://...  Hay un candado cerrado en la barra que está debajo de la página  El navegador no nos advierte de ningún error al respecto

33  Los crackers también pueden tener como objetivo uno o varios PCs  Pueden ser de una empresa o de un particular  Lo que se busca es, aparte de la información valiosa que pueda contener (tarjetas de crédito, información “sensible” de la empresa, etc.), hacer ordenadores “zombies”  Un ordenador zombie es una máquina conectada a Internet que está siendo controlada externamente por otro individuo con algún fin malicioso ◦ Puede ser controlada directamente por un hacker ◦ Pueden también emplearse virus o troyanos para hacerlo  Un ordenador zombie normalmente forma parte de una red que contiene muchos ordenadores “zombies” (botnet)

34  La mayoría de los usuarios de un ordenador zombie no se percatan de que su ordenador está siendo usado de esta forma ◦ Si el ordenador y/o la red van muy lentos de forma inexplicable, tenemos que sospechar que algo así puede ocurrirle  ¿Y para que quiere un cracker esto entonces? ◦ Los zombies se suelen usar para mandar correo basura (spam)  En 2005 entre el 50 y el 80% de todo el correo basura fue mandado por este tipo de ordenadores  Esto permite a los spammers (personas que tienen un negocio a base de generar y mandar spam) no ser detectados, y usar la conexión a internet de los dueños de los ordenadores zombies para este fin  ¡Los dueños pagan el negocio del un spammer! ◦ También pueden usarse para cometer diversos delitos por Internet: Timos, estafas, servicios de anuncios fraudulentos o falsos, phising, …  Los ordenadores zombie son los que se usan como origen, almacén o desencadenantes de este tipo de delitos

35  Por tanto, cuantos más ordenadores zombies tenga bajo su control un cracker, más beneficios obtendrá ◦ Este es un aspecto muy importante a controlar por un hacker ético  ¡Una empresa no puede permitir que sus ordenadores se usen para cometer delitos!  Si un ataque se origina en nuestro PC, pueden acusarnos de un delito  Aunque se demuestre que no es así, la molestia es muy grande ◦ Estos ataques comprometen a los usuarios:  De esta forma, ellos son uno de los “puntos débiles” de una empresa  Los usuarios “despistados” suelen ser la vía de entrada preferida por los crackers y algo a considerar por los hackers éticos ◦ Los hackers éticos deben pues asegurarse de que los equipos de los usuarios son lo más seguros posible (y “a prueba de torpes” ) ◦ Los usuarios también deben ser “educados” para no caer en esta trampa y comprometer sus equipos  La mayoría de veces, un ordenador acaba siendo zombie porque el usuario ha cometido un error o descuido, y se ha infectado por algún tipo de “amenaza lógica” que le causa estos efectos

36  Bomba lógica: ◦ Programa que permanece en suspensión hasta que es activado ◦ La activación se produce como respuesta a cualquier evento que el sistema que la aloja pueda detectar, como:  Un evento temporal (alcanzar una fecha o que pase un lapso de tiempo)  La presencia o ausencia de determinados datos ◦ Una vez activada, la bomba lógica lanza su “carga” (payload) ◦ La “carga” puede ser cualquier tipo de efecto malicioso (que consuma recursos, destruya archivos, etc.)

37  Caballo de Troya: ◦ Los caballos de Troya se “camuflan” bajo la apariencia de programas o datos inofensivos, pero ocultan unas intenciones muy diferentes  Se instala en un sistema si un usuario autorizado lo ejecuta o accede a él, normalmente engañándolo a través de “ingeniería social”  Suelen ser juegos o herramientas “útiles” ◦ Existen caballos de Troya en forma de:  Programas ejecutables. Los mejores llevan a cabo una funcionalidad lícita e inocua a la vez que realizan acciones ilícitas de forma encubierta  Datos. Aprovechan vulnerabilidades en el programa que los procesa, o fallos en programas para llevar a cabo sus acciones (ficheros corruptos) ◦ Métodos de protección y detección:  No permitir la instalación o ejecución de software que no sea de fiar (por ejemplo, bromas en forma de.ppts,.exe,.dll, ActiveX, …)  Utilizar detectores automáticos de amenazas (antivirus)

38  Virus: ◦ Es un programa que “infecta” a otros muchos, utilizando técnicas de replicación ◦ Efectos:  La mayoría de los virus incorporan algún tipo de bomba lógica que se activa de forma independiente  Ésta es la que hace algún tipo de operación dañina (formateo, borrado, alteración, toma de control del equipo, …)  Otros, simplemente se replican a fin de consumir recursos e inutilizar el equipo ◦ Métodos de protección y detección:  No permitir la instalación o ejecución de software que no sea de fiar (bromas en forma de ppts,.exe,.dll, ActiveX, …)  Esto incluye: Bromas o chistes que se envíen por correo electrónico, adjuntos en mensajes de correo, ficheros de estos tipos descargados del emule o recibidos por el Messenger, etc.  Utilizar software antivirus y mantenerlo actualizado periódicamente  Derribemos otro mito: NINGUN antivirus es 100% infalible: Algunos virus escaparán a su detección

39  Muchos ataques comienzan por aquí. Son una de las formas de ataque más efectivas: ◦ Consiste en mantener un trato social con las personas que custodian datos o información de interés para el atacante  Incluye desde la suplantación de identidades hasta la búsqueda en papeleras, basuras, … de información relevante  Depende mucho de las circunstancias, del conocimiento de la víctima y del atacante ◦ Las empresas de seguridad hacen mucho hincapié en la EDUCACIÓN DEL PERSONAL que trabaja con los sistemas  Es condición humana la sociabilidad, el saberse útil, y el poder ayudar a los demás  Desgraciadamente, esto se usa como punto de partida para muchos ataques ◦ La desconfianza es el principio de la seguridad  El sentido común pone el límite ◦ Un buen cracker suele ser un buen psicólogo  Debe entender el comportamiento humano

40  Ingeniería social. Prevención: ◦ Un hacker ético puede informar a la empresa de a qué tipo de prácticas de “ingeniería social” puede ser vulnerable la misma  Todo dependerá de las responsabilidades de cada tipo de usuario y de cómo esté organizada la empresa ◦ En general, como usuarios debemos:  No dar información a desconocidos, de ningún tipo  La información sensible se dará en persona, sólo cuando sea requerida y sólo a entidades debidamente autorizadas e identificadas  Debemos intentar detectar cuando alguien está intentando ganarse nuestra confianza  No poner claves obvias: Datos personales o información muy relacionada con nosotros (nombres de familiares, etc.)  Si alguien se gana nuestra confianza, puede averiguar la clave con detalles que le contemos de nuestra vida personal  Nunca dejar por escrito en ningún sitio ni comunicar nuestras claves o pistas para averiguar las mismas  Podemos “cantarlas” sin darnos cuenta ◦ Aunque parezca una película de espías, esta forma de atacar sistemas es real y muy peligrosa

41  Hoy en día las conexiones a Internet sin cables (Wifi o inalámbricas) son cada vez más comunes ◦ El problema es que la información se transmite por el aire y no por un cable ◦ Al hacerlo, queda al alcance de cualquiera que tenga un equipo que reciba la señal  Si no establecemos una clave a nuestra conexión, cualquiera podrá usarla, ver el tráfico que transcurre por ella y conectarse a Internet mediante la misma ◦ Una Wifi robada es, aparte de una conexión a Internet gratis para el que la robe, un potencial vehículo de ataque  Un atacante puede usar la red de otro para cometer un delito: Las sospechas irán a parar al propietario de la red ◦ Como no deseamos que nadie use gratis aquello por lo que estamos pagando, debemos preguntar a nuestro proveedor de Internet como poner una clave a nuestra conexión ◦ Como crear buenas claves lo veremos al final de la presentación

42  El correo electrónico es una fuente muy común de problemas y ataques  El correo NO es confidencial ni puede saberse si los emisores son quienes dicen ser (el remitente se puede falsificar muy fácilmente) ◦ Hemos hablado ya del peligro de los adjuntos ◦ El spam es un enorme problema hoy en día (Anuncios de Viagra, tranquilizantes, citas y contactos falsos, títulos universitarios sin estudiar, miles y miles de cosas…)  No solo son anuncios, algunos traen virus y “otras sorpresas” ◦ El phising es también una forma de cometer delitos muy común actualmente (correos en nombre de bancos, de eBay, de entidades del gobierno (hacienda), …)  Suplantan empresas, personas, entidades, …  Todos sin excepción tienen el objetivo de hacerse con los datos de un usuario y hacerse pasar por el para cometer un delito (robos, …) ◦ Por último, mencionaremos también los timos y fraudes por correo, que buscan un beneficio económico para el cracker

43  Entre los timos y fraudes destacamos:  Supuestas loterías premiadas:  Nos informan de que nos ha tocado una lotería (de la que por supuesto nunca hemos oído hablar)  Si contestamos, nos mandarán información supuestamente correcta y legal de cómo recibir el premio  En algún momento dado nos pedirán dinero en concepto de tasas de transferencia del dinero, impuestos, etc.  Cualquier excusa vale con tal de sacarnos dinero….  Nosotros pagamos y JAMAS veremos un euro del supuesto premio  El objetivo es engañar al usuario el mayor tiempo posible para que siga pagando por distintos conceptos  Incluso se pueden quedar con nuestro número de cuenta y datos personales para cometer aún más delitos, información que nos habrán pedido en algún punto de este proceso

44  Ofertas de dinero de supuestos millonarios (timo nigeriano):  Nos envían un correo en nombre de un individuo supuestamente acaudalado, que por alguna razón no puede disponer de parte o la totalidad de su fortuna (enfermedad, una guerra, …)  Nos ofrecen un porcentaje de esta suma (que asciende normalmente a varios millones) a cambio de ofrecernos de “enlace bancario” para “liberar” este dinero  Si contestamos, entonces nos pedirán información personal (que pueden usar para estafarnos o suplantarnos)  En algún punto del timo se nos pedirá dinero para poder seguir adelante con la transacción (impuestos, soborno de supuestos funcionarios, costes de la operación, …)  Al igual que antes, por mucho que paguemos jamás veremos un euro de esa cantidad  En no pocas ocasiones lo que nos piden ralla el delito

45  Ofertas de trabajo falsas:  Recibimos un correo con una supuesta oferta de trabajo atractiva  Esto puede tener dos objetivos:  La oferta no existe: Tratan de que demos datos personales para cometer fraudes y timos  La oferta si que existe: En este caso casi el 100% de las mismas consiste en que nosotros nos hagamos titulares de una cuenta bancaria  Esta cuenta recibirá importes de dinero variables, que debemos destinar a otras cuentas  Nosotros nos llevaríamos una supuesta comisión de cada transferencia  Normalmente, este dinero procede de actividades delictivas: quien acepte estas ofertas comete un delito de blanqueo de capitales (“mulas” de dinero de narcotráfico u otras fuentes fraudulentas)  De esta manera el “blanqueador” sale impune y el delito recae sobre el “timado”

46  ¿Qué podemos hacer en estos casos? ◦ JAMÁS contestar a estos correos  Solo por contestar (aunque sea para decir que no), entraremos en una lista de correos “activos”, con lo que recibiremos aún más correo de este tipo ◦ Lo mejor es borrarlos directamente o bien denunciarlo ◦ Si ya lo hemos hecho por error, o si el correo incurre en algún tipo de amenaza debemos denunciarlo a la policía ◦ Instalar o configurar un buen filtro antispam en nuestro cliente de correo  La mayoría ya tienen uno incorporado  En este caso, los correos basura se guardan en una carpeta aparte, que podemos consultar para ver si se ha “colado” alguno legítimo, pero NUNCA abrirlos

47  No somos hackers éticos pero, ¿podemos hacer algo para no ser fuentes o vehículos de todos los ataques vistos?  Si somos empleados de una empresa, debemos seguir siempre la política de seguridad de nuestra empresa ◦ ¡De no hacerlo nos podría costar un despido!  Hacer siempre caso a los profesionales de seguridad (hackers éticos) que puedan darnos consejos  Actualizaciones: Siempre aceptar que el sistema operativo u otros programas se actualicen automáticamente  No utilizar software pirata: En muchas ocasiones suele venir con “sorpresas”  Ser desconfiados de lo que nos llega por Internet y no hacer caso a “ofertas-milagro”, “chollos”, “chistes graciosos”, “programas maravillosos”, “páginas superchulas”, etc.

48  No recordar nunca nuestras contraseñas en equipos ajenos, públicos o compartidos  Borrar todos los datos temporales de estos ordenadores cuando terminemos de usarlos: ◦ Firefox: Herramientas-Limpiar información privada ◦ Internet Explorer: Herramientas – Eliminar el historial de exploración – Eliminar todo

49  Instalar un antivirus: ◦ Todo ordenador debe tener un antivirus que detecte posibles virus que intenten entrar en nuestro sistema ◦ No debemos instalar más de uno en una misma máquina ◦ De pago (de venta en cualquier tienda o gran almacén):  Mcafee VirusScan  Kaspersky Antivirus ◦ Gratuitos:  Avast! Antivirus: http://www.avast.com/esp/ download- avast-home.htmlhttp://www.avast.com/esp/ download- avast-home.html  AVG Free Edition: http://free.grisoft.com/http://free.grisoft.com/

50  Instalar un firewall: ◦ Estos programas controlan qué entra y que sale de nuestra máquina y evitan intrusiones y ataques que provienen de la red ◦ Todo equipo debería contar con uno y no desactivarlo NUNCA mientras esté conectado a Internet ◦ Windows XP y Vista ya vienen con uno, suficiente para la mayoría de los casos ◦ Muchos productos antivirus de pago vienen también con uno incorporado  No se debe instalar más de uno en una misma máquina ◦ Uno gratuito más avanzado y potente es ZoneAlarm: http://www.zonealarm.com/store/content/catalog/prod ucts/sku_list_za.jsp http://www.zonealarm.com/store/content/catalog/prod ucts/sku_list_za.jsp

51  Instalar un programa antispyware: ◦ Un programa especializado en eliminar un tipo de amenaza lógica especializada llamada programa espía  Estos programas analizan el comportamiento, pulsaciones de teclas, etc. del usuario para sacar información del mismo ◦ La mayoría de antivirus ofrecen esta funcionalidad como parte de sus servicios ◦ Si no dispusiéramos de uno, podemos instalar uno gratuito llamado Windows Defender, de Microsoft  http://www.microsoft.com/spain/athome/security/spyware/ software/default.mspx http://www.microsoft.com/spain/athome/security/spyware/ software/default.mspx ◦ Tampoco conviene tener varios en la misma máquina

52  La clave de un usuario (password) es la base de cualquier sistema de seguridad, ◦ Es el mecanismo que hace de “llave” de acceso a los recursos particulares de un determinado usuario  Alguien que conozca una clave puede entrar en el sistema y adquirir los derechos del propietario de la misma, actuando en su nombre  Es necesario por tanto crear claves “fuertes”, que no sean fácilmente averiguables por los atacantes  También es necesario cambiarla cada cierto tiempo

53  Una buena clave debería seguir los siguientes criterios: ◦ Por lo menos 8 caracteres (mejor 15 o más) ◦ Contendrá caracteres de (al menos) 3 de estas categorías:  Letras Mayúsculas  Letras Minúsculas  Números  Símbolos, signos de puntuación, … ◦ Deben ser cambiadas con periodicidad regular o inmediatamente ante la mínima sospecha de su compromiso ◦ NUNCA deben ser palabras “normales” (del diccionario), datos personales, nombres de parejas, familiares, mascotas, etc. ◦ NUNCA deben compartirse ni enviarse (ni comunicarse de ninguna forma) a otras personas ◦ Si una clave no cumple con estas condiciones, no es buena

54  El uso “creativo” de lenguaje de móvil, abreviaturas, sustitución de letras por números etc. puede ser un gran aliado: ◦ “3sM1Kumpl3” ◦ “Creo que soy INSEGURO, ¿o no?”  NOTA: Una frase completa (no citas famosas), con signos de puntuación y uso creativo de letras mayúsculas es mejor password de lo que puede parecer ◦ “La vida es una lenteja :-)”  En general debemos buscar algo que sea lo suficientemente complejo y que, idealmente, solo tenga sentido para nosotros, para que no resulte imposible de recordar

55  Muchas gracias a todos por su atención