José Manuel Redondo LópezEUITIO, Universidad de Oviedo

VII Congreso “CiberCiudadano”, Mayo de 2008

La sociedad cada día usa más la informática y todo lo relacionado con ella

Por ello, la sociedad actual es cada vez más dependiente de la informática◦ En muchos casos es completamente

dependiente de la informática Cada vez más procesos de producción,

negocios, decisiones y una enorme cantidad de servicios distintos dependen directamente de la misma

Por tanto, se puede afirmar que cada vez más actividades económicas dependen de los ordenadores◦ Los ordenadores ya no solo valen lo que

cuestan, sino que valen tanto como la información que contienen y manejan

Por todo ello, un ordenador es un objetivo claro de un ataque

Para una empresa X actual, si en sus ordenadores:◦ Se logra robar su información, se puede obtener

información privilegiada muy útil: Planes de negocio, de expansión, especificaciones confidenciales de productos, planes para nuevas líneas de trabajo, información personal de sus usuarios, …

◦ Se logra destruir o modificar su información se puede parar o ralentizar la actividad de la empresa, causar retrasos en sus servicios o errores costosos en sus actividades

◦ Si se logra deshabilitar los ordenadores de la empresa y lograr que no funcionen, esta perderá (mucho) dinero por no poder dar servicio a sus clientes

Por ello, puede decirse que hoy en día hay una gran actividad enfocada al campo de la seguridad (de cómo vulnerarla y de cómo mantenerla)◦ Trataremos de dar una panorámica general de cómo es

este “mundo” Este es un campo enorme y en constante y rápida

evolución◦ Nuevas formas de ataque (y su correspondiente defensa)

aparecen prácticamente a diario◦ Los programas se actualizan para resolver errores, pero a

cambio suelen adquirir nuevos errores (que también se deben reparar)

◦ La imaginación de los atacantes es muy fructífera: De vez en cuando alguien se las ingenia para atacar de formas no conocidas previamente, algo a lo que hay que dar respuesta inmediata

¿Está la sociedad realmente preparada para responder adecuada y efectivamente a estas amenazas?◦ La primera impresión es que NO

¿Existe hoy una conciencia social generalizada acerca de lo que es o no conveniente/aconsejable de cara a mantener la seguridad?◦ Realmente es posible afirmar que NO

Algunas empresas (y usuarios particulares) consideran este aspecto como secundario y no hacen gran cosa por él: GRAVE ERROR◦ La pérdida de tiempo, dinero (y los disgustos ) que pueden

traer estos problemas se pueden evitar en gran parte con un poco de cuidado

La seguridad es la característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible

Derribemos el mito: NO EXISTE un sistema informático plenamente seguro◦ Típicamente a mayor seguridad, menor facilidad de uso◦ Por tanto, se suele optar por una solución de compromiso

A continuación explicaremos un poco la “jerga” que se usa en el mundo de la seguridad◦ Muchas veces estos términos se usan públicamente (noticias,

telediarios, etc.) sin tener claro su significado exacto ¿Qué es una amenaza de seguridad?

◦ Es la posibilidad de vulnerar la seguridad de un sistema (quizá utilizando una vulnerabilidad del mismo)

¿Qué es un riesgo de seguridad?◦ La probabilidad de que una amenaza se materialice

¿A qué se llama ataque?◦ Al acto inteligente y deliberado para eludir los servicios de

seguridad y vulnerar la política de seguridad de un sistema◦ Es una forma específica de intentar romper la seguridad de un

sistema, que puede tener o no éxito

¿Qué es una vulnerabilidad?◦ Es una característica de un sistema que permite a un

atacante evitar que funcione de manera correcta◦ Puede ser un fallo de:

Diseño Administrativo (alguien se olvida de hacer/cerrar/abrir algo) Construcción (en las máquinas donde se ejecuta, en el propio

programa o en algún mecanismos de seguridad)◦ Vulnerabilidad del día cero: Vulnerabilidad aún no hecha

pública Estas vulnerabilidades son aquellas para las que aún no

existe solución Deben estudiarse detalladamente por personal especializado

para buscarla

¿Qué es una contramedida?◦ Un mecanismo utilizado para ofrecer protección◦ Se utilizan para contrarrestar vulnerabilidades específicas

(Ej.: parche para evitar que un usuario malintencionado entre en el sistema haciendo una determinada operación) o conjuntos de las mismas

¿Qué es un exploit ?◦ Herramienta o programa que aprovecha alguna

vulnerabilidad del sistema para provocar un efecto no autorizado o no previsto

◦ Se crean con el objetivo de automatizar un ataque que explota una vulnerabilidad ¡Así casi cualquiera puede atacar un sistema con problemas!

¿Qué es una puerta trasera?◦ Posibilidad oculta de acceso a un sistema, creada en un

programa intencionadamente, para poder acceder o hacer tareas no previstas en las especificaciones del programa

◦ A veces se dejan en un programa para algo lícito (pruebas, …) El problema es que cualquiera que la descubra puede

utilizarla Y por último, ¿Qué es un hacker?

◦ Derribemos otro mito: Esta palabra no identifica necesariamente a alguien que ha cometido un delito

◦ Sólo son personas con muy elevados conocimientos informáticos (sobre un sistema o área particular), independientemente de la finalidad con que los use Una parte usa estos conocimientos con fines lícitos: Hackers Éticos

(white hat hackers) Otros usan estos conocimientos con fines no lícitos: Crackers (black

hat hackers)◦ Pueden ser o no usuarios del sistema sobre el que actúan

A diferencia de los crackers, los hackers no quieren robar, destruir, eliminar… ◦ Sólo son expertos en una materia ◦ Utilizan sus conocimientos para llevar a cabo diversas acciones

(que puede que en algunos casos rocen el límite de la legalidad) Hacking es un neologismo que indica la acción de un

hacker Un hacker no va ligado a lo ilegal

◦ Puede trabajar para una empresa legalmente, comprobando si sus sistemas y aplicaciones tienen vulnerabilidades

◦ Puede trabajar para la policía, trabajando como analista forense digital (en series de TV modernas aparecen frecuentemente)

Incluso ya existe la certificación CEH (Cerfication for Ethical Hacker) o empresas que proporcionan servicio de hacking ético◦ http://www.eccouncil.org/ceh.htm

El hacker ético es un individuo al que se le contrata para que lleve a cabo “test de penetración” en un sistema◦ Básicamente, intenta entrar en el sistema de múltiples formas,

buscando siempre cómo alguien podría conseguir algún beneficio, privilegio o ventaja usando el sistema de forma indebida

◦ Intenta llegar a hacer cosas para las que en un principio no estaría autorizado

◦ No destruye ni manipula maliciosamente el sistema “atacado” (es inofensivo)

Usa exactamente los mismos métodos que un cracker (alguien que realmente va a hacer daño)

¿Los mismos métodos? ¿Pero esto no es entonces un delito?◦ No, un hacker ético tiene permiso por escrito para desarrollar

sus actividades, por lo que es legal (es su “actividad laboral”)◦ De hecho, esta autorización es muy importante: Sin ella, un

hacker ético puede ser procesado como cracker!

Suelen organizarse un grupos (los “Red Teams” o “Equipos Rojos”)

Su sueldo se lo ganan probándolo todo, es decir, determinando el nivel de seguridad global de la empresa, sus equipos, su red, … lo que sea que necesiten probar

Al usar las mismas herramientas que los crackers, ¿no pueden verse tentados por “el lado oscuro de la fuerza”?◦ Claro, pero eso es completamente dependiente de la persona

(por eso son “éticos”, su ética teóricamente les impediría hacer mal uso de sus conocimientos)

◦ Es necesario que lo hagan: Sin conocer las armas del “enemigo” tan bien como el propio “enemigo” no se pueden combatir sus ataques de forma efectiva Si ellos descubren y solucionan un fallo que puede explotarse con

estas herramientas primero, un cracker que las aplique después se irá con las manos vacías

Por tanto usar las mismas herramientas que un cracker es completamente necesario

Muchas cosas:◦ Aspectos éticos y legales (LOPD, LSSI, …) ◦ Técnicas de Identificación de programas, máquinas,

servicios, sistemas operativos (y sus versiones)◦ Escanear (buscar) vulnerabilidades en un sistema dado◦ System Hacking: Entrar, deshabilitar o alterar el correcto

funcionamiento de un sistema◦ Descubrimiento y defensa contra troyanos y puertas

traseras◦ Sniffers: Escucha del tráfico de una red para obtener

información valiosa◦ Denegación de servicio: Cómo “tirar abajo” un sistema para

impedir que siga dando servicio◦ “Ingeniería Social”: Engañar y manipular individuos para

que proporcionen información valiosa

◦ Robo de sesiones: Hacerse con la identidad de otro usuario en una web

◦ Explotación de vulnerabilidades de webs: Descubrir fallos en páginas web y tratar de explotarlos para ver que efectos pueden tener

◦ Técnicas de averiguación de claves de usuario (password cracking)

◦ Hacking de redes inalámbricas◦ Hacking específico de sistemas operativos: Windows,

Linux, …◦ Detección de intrusos, cortafuegos (firewalls) ◦ Criptografía: El “arte” de esconder la información sensible

que “viaja” por Internet o que se guarda en las máquinas La información existe, pero solo el que posea la clave correcta

podrá descifrarla y leerla

Al usar las mismas técnicas que ellos, son también las fases de la actividad de un cracker

Planificar: Investigar al objetivo antes de proceder al ataque◦ Un ataque exitoso es un 90% preparación y un 10% “acción“ ◦ Se debe averiguar dónde se quiere acceder, cuáles son los objetivos, de

cuánto tiempo se dispone y los límites que nos imponen a lo que podemos hacer (si los hay)

Descubrir. Se puede dividir en dos fases:◦ Pasiva: Intentará obtener información de su objetivo de la forma más

oculta e indetectable posible. Ejemplos: Navegando como un usuario normal por el sitio web del objetivo que

quiera atacar, para ver que servicios ofrece y cómo está organizado Obteniendo otro tipo de información por diversos medios. Ej..: Las ofertas

de trabajo de una empresa revelan que tecnologías usan◦ Activa: El hacker identifica, mediante programas especiales, todas las

redes, programas (servicios) y equipos que posee el objetivo Todo programa tiene fallos, la mayoría de las veces conocidos

públicamente A partir de esta información es muy fácil localizar (o crear) un programa

que explote esos fallos para hacer un ataque (si se sabe que programas tiene el objetivo y sus versiones, se buscan fallos de los mismos y se explotan)

Atacar: Donde el hacker intentará:◦ Entrar en el sistema atacado◦ Lograr privilegios avanzados en el mismo (capacidad

para manipular, borrar o añadir información a voluntad)

◦ Recabar toda la información posible del sistema◦ Intentar llegar al mayor número de computadores

posible Informar: Desarrollar una documentación

exhaustiva y completa de lo hecho◦ El hacker documenta cada paso hecho, qué ha usado y

cómo lo ha usado◦ Documentará también los resultados que ha logrado◦ Con toda la información aportada, la empresa tendrá

una idea clara de qué es lo que falla y cómo arreglarlo (actualizaciones, parches, cambios en la estructura,…)

Entre ambos tipos hay diferencias y similitudes:◦ Ambos usan exactamente las mismas técnicas y

programas para lograr sus fines (o deberían)◦ Ambos se intentan saltar de una forma u otra las

restricciones de seguridad de un sistema dado◦ Ambos desarrollan (casi) el mismo procedimiento:

Planificar, Descubrir, Atacar◦ La diferencia es: El hacker ético al final informa

de los fallos; el cracker saca provecho de dichos fallos de la forma que desee (o le manden)

◦ Por tanto, lo que hacen no es el problema, es para qué lo usan

¿La seguridad es realmente tan importante? ¿Qué daño puede hacer un cracker?◦ Interrupción

Tratar de destruir, hacer inaccesible o inutilizable algún activo del sistema (Denegación de servicio, DoS o Denial of Service)

Son ataques a la disponibilidad Ejemplo de ataques de interrupción:

La destrucción o inhabilitación de determinado hardware El corte de las comunicaciones entre dos o más sistemas Deshabilitar una máquina (reiniciarla o apagarla)

◦ Interceptación Provocar que una entidad no autorizada obtenga acceso a un

activo (datos, etc.) Son ataques a la confidencialidad Ejemplos de ataques de interceptación:

La copia no autorizada de archivos o datos Pinchar una línea de comunicaciones para obtener acceso a la información

que circula por ella (sniffing)

◦ Modificación Conseguir que una entidad no autorizada tenga acceso a

un recurso y pueda alterarlo Ejemplos de ataques de modificación son:

El cambio no autorizado de alguna información de un ordenador Alterar un programa para que se comporte de manera diferente, por ejemplo por

medio de un virus Modificar el contenido de mensajes en tránsito por una red

◦ Fabricación Consisten en introducir datos en un sistema Son ataques a la autenticidad Ejemplos de ataques de fabricación son:

La inserción de datos falsos en un archivo Por ejemplo, crear falsos usuarios de un sistema

La introducción de datos falsos en una red (tráfico corrupto)

Creación de falsas evidencias o de datos que afecten a estadísticas o cálculos “Maquillaje” de encuestas o de resultados económicos

Los hackers éticos deben defender todo aquello que los crackers pueden atacar

Aparte del objetivo de un ataque determinado, principalmente hay dos cosas que un cracker atacará:◦ Sitios web de una empresa / institución / partido /etc.

Se aprovechará de fallos a la hora de crearlos o de los programas que permiten ponerlo en marcha

◦ Máquinas de una empresa / institución /etc. Se aprovechará de fallos de los programas que tiene la

máquina o de sus usuarios (nosotros)◦ Redes: Sacando provecho de la información que transita por

las redes, incluyendo Internet Por tanto, hablaremos de qué clase de ataques

pueden hacer los crackers sobre estos elementos

Ejemplo 1: El casino. Ésta es una página web que tiene un servicio de casino on-line

¿El cracker no es un usuario válido? No importa, puede entrar igual

¡Se ha conseguido entrar al casino sin ser un usuario válido (¡y en nombre de otra persona!)!

Ejemplo 2: Atacar a otros usuarios siendo el cracker un usuario registrado◦ En esta ocasión robaremos dinero a otro usuario del casino

El cracker, mediante sus conocimientos y programas especiales, construye un enlace especial: ◦ El enlace pertenece al sitio web original: El usuario que lo

vea no tiene porqué sospechar◦ El cracker intentará que otros usuarios del casino usen

(hagan clic) este enlace

http://www.hacmecasino.com/account/transfer_chips?transfer=1000&login[]=andy_aces&commit=Transfer+Chips

¿Cómo lo consiguen? ◦ El cracker elabora un correo falso con algún “truco” para

que otro usuario “pique”◦ Esto es una forma de phising◦ Si un usuario del casino usa el enlace ¡Le robarán dinero!

Ejemplo 3: Robar identidades◦ Cuando nos damos de alta en una página que tenga

usuarios, esta página nos identifica mediante una serie de datos que crea Estos datos son nuestra identificación personal y se

denominan sesión ¡Si alguien roba nuestra sesión, puede hacerse pasar por

nosotros en esa página!◦ En el siguiente ejemplo vemos la página de una tienda

de libros que admite comentarios de los usuarios sobre ellos El cracker puede meter un código especial en el apartado

de comentarios de un libro cualquiera Este código le enviará la sesión de quien esté viendo ese

libro ¡Ahora puede hacerse pasar por nosotros!

Con las páginas que tienen fallos y permiten hacer estas cosas no podemos hacer nada◦ Es labor de la empresa propietaria◦ Es labor de hackers éticos contratados descubrir e informar de

forma precisa de estos errores y sus soluciones Como usuarios responsables sí que podemos hacer algo:

◦ Si nos informan de problemas, no debemos entrar en la página afectada hasta que se solucionen

◦ No comprar en sitios “extraños” o de dudosa reputación Es mejor apostar por empresas reconocidas

◦ NUNCA abrir correos cuyo remitente desconozcamos Tanto si conocemos el remitente o no, nunca pinchar en enlaces en

estos correos que hablen de supuestas ofertas magnificas, promociones, ventajas, etc. de páginas web varias

◦ LOS BANCOS NUNCA SE DIRIJEN A SUS CLIENTES POR CORREO ELECTRÓNICO ORDINARIO Por tanto, cualquier correo que venga remitido por una supuesta

entidad bancaria es un ataque de este tipo o similar

Mas actuaciones:◦ Hacerse con una tarjeta-monedero para comprar por Internet

Muchas entidades bancarias lo permiten ya Se carga con una cantidad de dinero y no es posible gastar más de

dicha cantidad Para compras por Internet, son como una tarjeta “normal”, pero con

menos riesgo Cada entidad bancaria ofrece estos servicios con sus peculiaridades:

Debemos informarnos del mismo en cada una de ellas◦ Usar un navegador de Internet fiable (Internet Explorer, Firefox)

y actualizado Las actualizaciones automáticas de Windows actualizan el Explorer Firefox se actualiza solo (mensaje al arrancar) ¡Nunca posponer este tipo de mensajes!

◦ Comprobar que donde compramos se ha establecido una conexión segura a la hora de poner nuestros datos de la tarjeta: La dirección empieza por https://... y tiene fondo amarillo Hay un candado cerrado en la barra que está debajo de la página El navegador no nos advierte de ningún error al respecto

Los crackers también pueden tener como objetivo uno o varios PCs

Pueden ser de una empresa o de un particular Lo que se busca es, aparte de la información

valiosa que pueda contener (tarjetas de crédito, información “sensible” de la empresa, etc.), hacer ordenadores “zombies”

Un ordenador zombie es una máquina conectada a Internet que está siendo controlada externamente por otro individuo con algún fin malicioso◦ Puede ser controlada directamente por un hacker◦ Pueden también emplearse virus o troyanos para

hacerlo Un ordenador zombie normalmente forma

parte de una red que contiene muchos ordenadores “zombies” (botnet)

La mayoría de los usuarios de un ordenador zombie no se percatan de que su ordenador está siendo usado de esta forma◦ Si el ordenador y/o la red van muy lentos de forma inexplicable,

tenemos que sospechar que algo así puede ocurrirle ¿Y para que quiere un cracker esto entonces?

◦ Los zombies se suelen usar para mandar correo basura (spam) En 2005 entre el 50 y el 80% de todo el correo basura fue mandado

por este tipo de ordenadores Esto permite a los spammers (personas que tienen un negocio a base

de generar y mandar spam) no ser detectados, y usar la conexión a internet de los dueños de los ordenadores zombies para este fin

¡Los dueños pagan el negocio del un spammer!◦ También pueden usarse para cometer diversos delitos por

Internet: Timos, estafas, servicios de anuncios fraudulentos o falsos, phising, … Los ordenadores zombie son los que se usan como origen, almacén o

desencadenantes de este tipo de delitos

Por tanto, cuantos más ordenadores zombies tenga bajo su control un cracker, más beneficios obtendrá◦ Este es un aspecto muy importante a controlar por un hacker

ético ¡Una empresa no puede permitir que sus ordenadores se usen para

cometer delitos! Si un ataque se origina en nuestro PC, pueden acusarnos de un delito

Aunque se demuestre que no es así, la molestia es muy grande◦ Estos ataques comprometen a los usuarios:

De esta forma, ellos son uno de los “puntos débiles” de una empresa Los usuarios “despistados” suelen ser la vía de entrada preferida por

los crackers y algo a considerar por los hackers éticos◦ Los hackers éticos deben pues asegurarse de que los equipos

de los usuarios son lo más seguros posible (y “a prueba de torpes” )

◦ Los usuarios también deben ser “educados” para no caer en esta trampa y comprometer sus equipos La mayoría de veces, un ordenador acaba siendo zombie porque el

usuario ha cometido un error o descuido, y se ha infectado por algún tipo de “amenaza lógica” que le causa estos efectos

Bomba lógica:◦ Programa que permanece en suspensión

hasta que es activado◦ La activación se produce como respuesta

a cualquier evento que el sistema que la aloja pueda detectar, como: Un evento temporal (alcanzar una fecha o

que pase un lapso de tiempo) La presencia o ausencia de determinados

datos◦ Una vez activada, la bomba lógica lanza su

“carga” (payload)◦ La “carga” puede ser cualquier tipo de

efecto malicioso (que consuma recursos, destruya archivos, etc.)

Caballo de Troya:◦ Los caballos de Troya se “camuflan” bajo la

apariencia de programas o datos inofensivos, pero ocultan unas intenciones muy diferentes Se instala en un sistema si un usuario

autorizado lo ejecuta o accede a él, normalmente engañándolo a través de “ingeniería social”

Suelen ser juegos o herramientas “útiles”◦ Existen caballos de Troya en forma de:

Programas ejecutables. Los mejores llevan a cabo una funcionalidad lícita e inocua a la vez que realizan acciones ilícitas de forma encubierta

Datos. Aprovechan vulnerabilidades en el programa que los procesa, o fallos en programas para llevar a cabo sus acciones (ficheros corruptos)

◦ Métodos de protección y detección: No permitir la instalación o ejecución de software que

no sea de fiar (por ejemplo, bromas en forma de .ppts, .exe, .dll, ActiveX, …)

Utilizar detectores automáticos de amenazas (antivirus)

Virus:◦ Es un programa que “infecta” a otros muchos,

utilizando técnicas de replicación◦ Efectos:

La mayoría de los virus incorporan algún tipo de bomba lógica que se activa de forma independiente

Ésta es la que hace algún tipo de operación dañina (formateo, borrado, alteración, toma de control del equipo, …)

Otros, simplemente se replican a fin de consumir recursos e inutilizar el equipo

◦ Métodos de protección y detección: No permitir la instalación o ejecución de software que no

sea de fiar (bromas en forma de ppts, .exe, .dll, ActiveX, …) Esto incluye: Bromas o chistes que se envíen por correo

electrónico, adjuntos en mensajes de correo, ficheros de estos tipos descargados del emule o recibidos por el Messenger, etc.

Utilizar software antivirus y mantenerlo actualizado periódicamente Derribemos otro mito: NINGUN antivirus es 100% infalible:

Algunos virus escaparán a su detección

Muchos ataques comienzan por aquí. Son una de las formas de ataque más efectivas:◦ Consiste en mantener un trato social con las personas que

custodian datos o información de interés para el atacante Incluye desde la suplantación de identidades hasta la búsqueda en

papeleras, basuras, … de información relevante Depende mucho de las circunstancias, del conocimiento de la víctima

y del atacante◦ Las empresas de seguridad hacen mucho hincapié en la

EDUCACIÓN DEL PERSONAL que trabaja con los sistemas Es condición humana la sociabilidad, el saberse útil, y el poder ayudar

a los demás Desgraciadamente, esto se usa como punto de partida para muchos

ataques◦ La desconfianza es el principio de la seguridad

El sentido común pone el límite◦ Un buen cracker suele ser un buen psicólogo

Debe entender el comportamiento humano

Ingeniería social. Prevención:◦ Un hacker ético puede informar a la empresa de a qué tipo de

prácticas de “ingeniería social” puede ser vulnerable la misma Todo dependerá de las responsabilidades de cada tipo de

usuario y de cómo esté organizada la empresa◦ En general, como usuarios debemos:

No dar información a desconocidos, de ningún tipo La información sensible se dará en persona, sólo cuando sea requerida y sólo a entidades

debidamente autorizadas e identificadas Debemos intentar detectar cuando alguien está intentando ganarse nuestra confianza

No poner claves obvias: Datos personales o información muy relacionada con nosotros (nombres de familiares, etc.) Si alguien se gana nuestra confianza, puede averiguar la clave con detalles que le

contemos de nuestra vida personal Nunca dejar por escrito en ningún sitio ni comunicar nuestras claves o pistas

para averiguar las mismas Podemos “cantarlas” sin darnos cuenta

◦ Aunque parezca una película de espías, esta forma de atacar sistemas es real y muy peligrosa

Hoy en día las conexiones a Internet sin cables (Wifi o inalámbricas) son cada vez más comunes◦ El problema es que la información se transmite por el aire y no

por un cable◦ Al hacerlo, queda al alcance de cualquiera que tenga un equipo

que reciba la señal Si no establecemos una clave a nuestra conexión, cualquiera podrá

usarla, ver el tráfico que transcurre por ella y conectarse a Internet mediante la misma

◦ Una Wifi robada es, aparte de una conexión a Internet gratis para el que la robe, un potencial vehículo de ataque Un atacante puede usar la red de otro para cometer un delito: Las

sospechas irán a parar al propietario de la red◦ Como no deseamos que nadie use gratis aquello por lo que

estamos pagando, debemos preguntar a nuestro proveedor de Internet como poner una clave a nuestra conexión

◦ Como crear buenas claves lo veremos al final de la presentación

El correo electrónico es una fuente muy común de problemas y ataques El correo NO es confidencial ni puede saberse si los

emisores son quienes dicen ser (el remitente se puede falsificar muy fácilmente)

◦ Hemos hablado ya del peligro de los adjuntos◦ El spam es un enorme problema hoy en día (Anuncios de

Viagra, tranquilizantes, citas y contactos falsos, títulos universitarios sin estudiar, miles y miles de cosas…) No solo son anuncios, algunos traen virus y “otras sorpresas”

◦ El phising es también una forma de cometer delitos muy común actualmente (correos en nombre de bancos, de eBay, de entidades del gobierno (hacienda), …) Suplantan empresas, personas, entidades, … Todos sin excepción tienen el objetivo de hacerse con los datos de un

usuario y hacerse pasar por el para cometer un delito (robos, …)◦ Por último, mencionaremos también los timos y fraudes por

correo, que buscan un beneficio económico para el cracker

Entre los timos y fraudes destacamos: Supuestas loterías premiadas:

Nos informan de que nos ha tocado una lotería (de la que por supuesto nunca hemos oído hablar)

Si contestamos, nos mandarán información supuestamente correcta y legal de cómo recibir el premio

En algún momento dado nos pedirán dinero en concepto de tasas de transferencia del dinero, impuestos, etc. Cualquier excusa vale con tal de sacarnos dinero….

Nosotros pagamos y JAMAS veremos un euro del supuesto premio El objetivo es engañar al usuario el mayor tiempo posible para

que siga pagando por distintos conceptos Incluso se pueden quedar con nuestro número de cuenta y

datos personales para cometer aún más delitos, información que nos habrán pedido en algún punto de este proceso

Ofertas de dinero de supuestos millonarios (timo nigeriano): Nos envían un correo en nombre de un individuo

supuestamente acaudalado, que por alguna razón no puede disponer de parte o la totalidad de su fortuna (enfermedad, una guerra, …)

Nos ofrecen un porcentaje de esta suma (que asciende normalmente a varios millones) a cambio de ofrecernos de “enlace bancario” para “liberar” este dinero

Si contestamos, entonces nos pedirán información personal (que pueden usar para estafarnos o suplantarnos)

En algún punto del timo se nos pedirá dinero para poder seguir adelante con la transacción (impuestos, soborno de supuestos funcionarios, costes de la operación, …)

Al igual que antes, por mucho que paguemos jamás veremos un euro de esa cantidad

En no pocas ocasiones lo que nos piden ralla el delito

Ofertas de trabajo falsas: Recibimos un correo con una supuesta oferta de trabajo

atractiva Esto puede tener dos objetivos:

La oferta no existe: Tratan de que demos datos personales para cometer fraudes y timos

La oferta si que existe: En este caso casi el 100% de las mismas consiste en que nosotros nos hagamos titulares de una cuenta bancaria Esta cuenta recibirá importes de dinero variables, que

debemos destinar a otras cuentas Nosotros nos llevaríamos una supuesta comisión de cada

transferencia Normalmente, este dinero procede de actividades delictivas:

quien acepte estas ofertas comete un delito de blanqueo de capitales (“mulas” de dinero de narcotráfico u otras fuentes fraudulentas)

De esta manera el “blanqueador” sale impune y el delito recae sobre el “timado”

¿Qué podemos hacer en estos casos?◦ JAMÁS contestar a estos correos

Solo por contestar (aunque sea para decir que no), entraremos en una lista de correos “activos”, con lo que recibiremos aún más correo de este tipo

◦ Lo mejor es borrarlos directamente o bien denunciarlo◦ Si ya lo hemos hecho por error, o si el correo incurre

en algún tipo de amenaza debemos denunciarlo a la policía

◦ Instalar o configurar un buen filtro antispam en nuestro cliente de correo La mayoría ya tienen uno incorporado En este caso, los correos basura se guardan en una

carpeta aparte, que podemos consultar para ver si se ha “colado” alguno legítimo, pero NUNCA abrirlos

No somos hackers éticos pero, ¿podemos hacer algo para no ser fuentes o vehículos de todos los ataques vistos?

Si somos empleados de una empresa, debemos seguir siempre la política de seguridad de nuestra empresa◦ ¡De no hacerlo nos podría costar un despido!

Hacer siempre caso a los profesionales de seguridad (hackers éticos) que puedan darnos consejos

Actualizaciones: Siempre aceptar que el sistema operativo u otros programas se actualicen automáticamente

No utilizar software pirata: En muchas ocasiones suele venir con “sorpresas”

Ser desconfiados de lo que nos llega por Internet y no hacer caso a “ofertas-milagro”, “chollos”, “chistes graciosos”, “programas maravillosos”, “páginas superchulas”, etc.

No recordar nunca nuestras contraseñas en equipos ajenos, públicos o compartidos

Borrar todos los datos temporales de estos ordenadores cuando terminemos de usarlos:◦ Firefox: Herramientas-Limpiar

información privada◦ Internet Explorer: Herramientas

– Eliminar el historial de exploración – Eliminar todo

Instalar un antivirus:◦ Todo ordenador debe tener un antivirus que detecte

posibles virus que intenten entrar en nuestro sistema◦ No debemos instalar más de uno en una misma

máquina◦ De pago (de venta en cualquier tienda o gran

almacén): Mcafee VirusScan Kaspersky Antivirus

◦ Gratuitos: Avast! Antivirus:

http://www.avast.com/esp/ download-avast-home.html AVG Free Edition: http://free.grisoft.com/

Instalar un firewall:◦ Estos programas controlan qué entra y que sale de

nuestra máquina y evitan intrusiones y ataques que provienen de la red

◦ Todo equipo debería contar con uno y no desactivarlo NUNCA mientras esté conectado a Internet

◦ Windows XP y Vista ya vienen con uno, suficiente para la mayoría de los casos

◦ Muchos productos antivirus de pago vienen también con uno incorporado No se debe instalar más de uno en una misma máquina

◦ Uno gratuito más avanzado y potente es ZoneAlarm: http://www.zonealarm.com/store/content/catalog/products/sku_list_za.jsp

Instalar un programa antispyware: ◦ Un programa especializado en eliminar un tipo de

amenaza lógica especializada llamada programa espía Estos programas analizan el comportamiento, pulsaciones

de teclas, etc. del usuario para sacar información del mismo

◦ La mayoría de antivirus ofrecen esta funcionalidad como parte de sus servicios

◦ Si no dispusiéramos de uno, podemos instalar uno gratuito llamado Windows Defender, de Microsoft http://www.microsoft.com/spain/athome/security/spyware/

software/default.mspx

◦ Tampoco conviene tener varios en la misma máquina

La clave de un usuario (password) es la base de cualquier sistema de seguridad, ◦ Es el mecanismo que hace de “llave” de acceso a los

recursos particulares de un determinado usuario Alguien que conozca una clave puede entrar en el

sistema y adquirir los derechos del propietario de la misma, actuando en su nombre

Es necesario por tanto crear claves “fuertes”, que no sean fácilmente averiguables por los atacantes

También es necesario cambiarla cada cierto tiempo

Una buena clave debería seguir los siguientes criterios:◦ Por lo menos 8 caracteres (mejor 15 o más)◦ Contendrá caracteres de (al menos) 3 de estas categorías:

Letras Mayúsculas Letras Minúsculas Números Símbolos, signos de puntuación, …

◦ Deben ser cambiadas con periodicidad regular o inmediatamente ante la mínima sospecha de su compromiso

◦ NUNCA deben ser palabras “normales” (del diccionario), datos personales, nombres de parejas, familiares, mascotas, etc.

◦ NUNCA deben compartirse ni enviarse (ni comunicarse de ninguna forma) a otras personas

◦ Si una clave no cumple con estas condiciones, no es buena

El uso “creativo” de lenguaje de móvil, abreviaturas, sustitución de letras por números etc. puede ser un gran aliado:◦ “3sM1Kumpl3”◦ “Creo que soy INSEGURO, ¿o no?”

NOTA: Una frase completa (no citas famosas), con signos de puntuación y uso creativo de letras mayúsculas es mejor password de lo que puede parecer

◦ “La vida es una lenteja :-)” En general debemos buscar algo que sea lo

suficientemente complejo y que, idealmente, solo tenga sentido para nosotros, para que no resulte imposible de recordar

Muchas gracias a todos por su atención