Aparte de sistemas como firewalls, antivirus, muchas veces lo más importante es que los propios usuarios sean cuidadosos con la seguridad.
En anteriores ocasiones hemos escrito sobre estrategias de seguridad que hacían referencia a la instalación de firewalls, antivirus y parches de seguridad que solucionen vulnerabilidades. Estas tres acciones previenen la mayor parte de los ataques si todos estuviéramos perfectamente informados de las mismas pero hay cuarto factor a tener muy presente : las personas.
A donde voy: el 60-70% de los ataques a la seguridad provienen (o son causados indirectamente) por los empleados de las empresas que son atacadas. Las reglas que habíamos mencionado anteriormente no cubrían este aspecto o daban por descontada una actitud honesta e inteligente del usuario. Usted puede instalar un firewall, un antivirus, y resolver todas las vulnerabilidades pero si alguien de la empresa da a un intruso una contraseña de acceso todo lo anterior no sirve para nada (o por los menos su seguridad se ha debilitado bastante). Y usted pensará : siempre hay empleados deshonestos, la culpa la tienen los otros, etc. En realidad también puede ser usted quien deje entrar, involuntariamente o no, a un intruso.
Hacking a un banco
Pongamos por caso: como hacen los hackers para ingresar a un banco. Parece complicado pero es muy sencillo, lo pueden hacer sin escribir una sola línea de código. Veamos. Lo que jamás hacen es intentar descifrar contraseñas como se ve en las películas, eso puede servir pero ¿para un banco? No. Lo que hacen es usar ingeniería social, por ejemplo se conectan a la página web de una banco, de esas páginas webs institucionales que muestran con orgullo los datos de los gerentes para dar mayor credibilidad, entonces el hacker se entera que uno de los directores principales estudio en determinada universidad, que obtuvo un PDH, que hizo tales post grados,etc.
¿Información inofensiva? No, en manos de una hacker,veamos, luego con esos datos se conecta a la página de la universidad en que estudio el director y busca información sobre grupos de exestudiantes, generaciones, graduaciones, fiestas estudiantiles, etc. Tal vez encuentre los datos de un compañero de estudios de ese gerente. Después le enviara una mail con una fotografía de fin de estudios o aviso animado de reunión de exalumnos teniendo como identidad la de un viejo compañero de estudios. El director abre la imagen y ya está. Así de simple y solo usando Google y nada de código el intruso introdujo un troyano.
Internet esta llena de información accesible para cualquiera a través de Google u otros buscadores, el manejo de esa información por parte de terceros es un aspecto que comienza a ser tenido muy en cuenta por los expertos en seguridad.
Por que todos decimos, no abrir ningún archivo adjunto pero si los tenemos que abrir cuando la fuente que lo envía es confiable. En el ejemplo anterior hacerse pasar por un viejo compañero de estudios es muy fácil.
Otro caso muy común y actual es recibir un mail con al apariencia de la página de su banco recibiendo la noticia de que ha recibido una bonificación de 150 USD en su cuenta y que debe hacer clic en determinado link para activarla. Al hacer clic sobre ese enlace activa un troyano que a su vez funciona como keylogger (graba las contraseñas) y envía las contraseñas a un hacker.
La cuestión fundamental es estar informado, capacitarse y actuar en función de la capacitación adquirida.
Muchos usuarios conocen todos estos peligros y sus soluciones pero cuantos actúan en consecuencia. Algunas empresas como remedio a esto están comenzando a multar a los empleados que no actualicen la seguridad de sus equipos cada determinado intervalo de tiempo. Cada empleado es responsable de su terminal y de que la mismas tengan el software y parches adecuados. Por lo menos de esa manera se garantiza que sobre el software necesario la empresa esta cubierta. En cuanto a lo que abren y dejan de abrir es un tema más complicado ya que se trata de la intimidad de las personas. El intercambio de emails es a los efectos legales confidencial y funciona como el correo postal tradicional. Claro que cualquiera puede abrir una carta y leerla y también es relativamente fácil de hacerlo para un administrador de sistemas.Pero ¿puede hacerlo una empresa para controlar a sus empleados? Se han dado casos donde empresas han despedido a trabajadores por que estos instalaban troyanos o pasaban la mayor parte del tiempo conectados a páginas de sexo o de juegos y los trabajadores despedidos le han hecho un juicio a esa empresa por invasión de la privacidad y han ganado el juicio.
Y por ultimo o como principio ya que en esto siempre estamos comenzando, saber que la seguridad total no existe, se trata de poner la mayor cantidad de trabas posibles tal cual se hace en el mundo físico cuando para proteger una casa se colocan rejas, alarmas, cámaras de televisión, etc.
Artículo extraído del curso Seguridad en Internet de Red21.com
A donde voy: el 60-70% de los ataques a la seguridad provienen (o son causados indirectamente) por los empleados de las empresas que son atacadas. Las reglas que habíamos mencionado anteriormente no cubrían este aspecto o daban por descontada una actitud honesta e inteligente del usuario. Usted puede instalar un firewall, un antivirus, y resolver todas las vulnerabilidades pero si alguien de la empresa da a un intruso una contraseña de acceso todo lo anterior no sirve para nada (o por los menos su seguridad se ha debilitado bastante). Y usted pensará : siempre hay empleados deshonestos, la culpa la tienen los otros, etc. En realidad también puede ser usted quien deje entrar, involuntariamente o no, a un intruso.
Hacking a un banco
Pongamos por caso: como hacen los hackers para ingresar a un banco. Parece complicado pero es muy sencillo, lo pueden hacer sin escribir una sola línea de código. Veamos. Lo que jamás hacen es intentar descifrar contraseñas como se ve en las películas, eso puede servir pero ¿para un banco? No. Lo que hacen es usar ingeniería social, por ejemplo se conectan a la página web de una banco, de esas páginas webs institucionales que muestran con orgullo los datos de los gerentes para dar mayor credibilidad, entonces el hacker se entera que uno de los directores principales estudio en determinada universidad, que obtuvo un PDH, que hizo tales post grados,etc.
¿Información inofensiva? No, en manos de una hacker,veamos, luego con esos datos se conecta a la página de la universidad en que estudio el director y busca información sobre grupos de exestudiantes, generaciones, graduaciones, fiestas estudiantiles, etc. Tal vez encuentre los datos de un compañero de estudios de ese gerente. Después le enviara una mail con una fotografía de fin de estudios o aviso animado de reunión de exalumnos teniendo como identidad la de un viejo compañero de estudios. El director abre la imagen y ya está. Así de simple y solo usando Google y nada de código el intruso introdujo un troyano.
Internet esta llena de información accesible para cualquiera a través de Google u otros buscadores, el manejo de esa información por parte de terceros es un aspecto que comienza a ser tenido muy en cuenta por los expertos en seguridad.
Por que todos decimos, no abrir ningún archivo adjunto pero si los tenemos que abrir cuando la fuente que lo envía es confiable. En el ejemplo anterior hacerse pasar por un viejo compañero de estudios es muy fácil.
Otro caso muy común y actual es recibir un mail con al apariencia de la página de su banco recibiendo la noticia de que ha recibido una bonificación de 150 USD en su cuenta y que debe hacer clic en determinado link para activarla. Al hacer clic sobre ese enlace activa un troyano que a su vez funciona como keylogger (graba las contraseñas) y envía las contraseñas a un hacker.
La cuestión fundamental es estar informado, capacitarse y actuar en función de la capacitación adquirida.
Muchos usuarios conocen todos estos peligros y sus soluciones pero cuantos actúan en consecuencia. Algunas empresas como remedio a esto están comenzando a multar a los empleados que no actualicen la seguridad de sus equipos cada determinado intervalo de tiempo. Cada empleado es responsable de su terminal y de que la mismas tengan el software y parches adecuados. Por lo menos de esa manera se garantiza que sobre el software necesario la empresa esta cubierta. En cuanto a lo que abren y dejan de abrir es un tema más complicado ya que se trata de la intimidad de las personas. El intercambio de emails es a los efectos legales confidencial y funciona como el correo postal tradicional. Claro que cualquiera puede abrir una carta y leerla y también es relativamente fácil de hacerlo para un administrador de sistemas.Pero ¿puede hacerlo una empresa para controlar a sus empleados? Se han dado casos donde empresas han despedido a trabajadores por que estos instalaban troyanos o pasaban la mayor parte del tiempo conectados a páginas de sexo o de juegos y los trabajadores despedidos le han hecho un juicio a esa empresa por invasión de la privacidad y han ganado el juicio.
Y por ultimo o como principio ya que en esto siempre estamos comenzando, saber que la seguridad total no existe, se trata de poner la mayor cantidad de trabas posibles tal cual se hace en el mundo físico cuando para proteger una casa se colocan rejas, alarmas, cámaras de televisión, etc.
Artículo extraído del curso Seguridad en Internet de Red21.com
Diego Pérez
RED21.COM. Cursos a través de Internet.