SEGURIDAD INFORMÁTICA

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos.
Consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Principios de Seguridad Informática
Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:

Confidencialidad
Es la propiedad de la información por la cual se garantiza que la misma esté accesible y sea comprensible únicamente para la persona o entidad a quien va dirigida o esté autorizada.

Integridad
Es la propiedad de la información por la cual se garantiza que la misma no haya sido alterada y que además permita comprobar que no se ha producido manipulación alguna en el documento original.

Autenticación
Es la situación en la cual se puede verificar que un documento ha sido elaborado (o pertenece) a quien el documento dice.
Es también la propiedad que confirma la identidad de un usuario. Sólo cuando un usuario o entidad sea autenticado, podrá tener autorización de acceso a la información. Se puede exigir autenticación en la entidad de origen, en la de destino o en ambas.

Disponibilidad
Es la característica o condición de la información de encontrarse a disposición de quien debe acceder a ella cuando se requiera.

No repudio
El no repudio o irrenunciabilidad es un servicio de seguridad estrechamente relacionado con la autenticación y que permite probar la participación de las partes en una comunicación.
La diferencia esencial con la autenticación es que ésta se produce entre las partes que establecen la comunicación, y el servicio de no repudio se produce frente a un tercero.

.- No repudio en origen: El emisor no puede negar que realizó un envío porque el destinatario tiene pruebas del mismo. El receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario.

.- No repudio en destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.

Si la autenticidad prueba quién es el autor de un documento y cuál es su destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino).

Relación de los servicios de seguridad
La disponibilidad se convierte en el primer requisito de seguridad. Cuando existe, se puede disponer de confidencialidad, que es imprescindible para conseguir integridad, para poder obtener autenticación es imprescindible la integridad y por último el no repudio sólo se obtiene si se produce previamente la autenticación.

Virus informáticos

Un virus informático, es un programa malicioso (malware) que puede infectar a otros programas o sistemas operativos, modificándolos, borrándolos o simplemente dañándolos, pudiendo afectar en mayor o menor medida el funcionamiento y la propia seguridad de nuestro equipo y lo que en él tenemos almacenado.

La infección consiste en incrustar código malicioso dentro del propio código fuente del programa “víctima” o del archivo que se va a utilizar para infectar (normalmente suele ser un archivo ejecutable, es decir, aquellos que tienen la extensión .exe) de forma que a partir de ese momento dicho ejecutable pasa a ser portador del virus y por tanto, una nueva fuente de infección.

Malware infeccioso

.- Gusanos: Un worm o gusano informático es similar a un virus por su diseño y es considerado una subclase de virus. Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona que lo ejecute. Lo más peligroso de ellos es su capacidad para replicarse en un sistema, ya que se podría enviar miles de copias de sí mismo.

Malware oculto

.- Backdoor o puerta trasera: Es un método para eludir los procedimientos habituales de autenticación al conectarse a una computadora. Una vez que el sistema ha sido comprometido por algún virus informático, puede instalarse un backdoor para permitir un acceso remoto más fácil en el futuro.

.- Troyanos: Un troyano informático, caballo de Troya o Trojan horse se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado. Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una puerta trasera (backdoor) que permite la administración remota a un usuario no autorizado.

Malware para mostrar publicidad

.- Spyware: Recopila información sobre las actividades realizadas por un usuario para luego distribuirla a agencias de publicidad u otras organizaciones interesadas. Recogen preferencias de usuario como las páginas web que se visitan y las direcciones de correo electrónico, que luego son utilizadas para el envío de spam.
La mayoría de los programas spyware son instalados como troyanos junto a software deseable bajado de internet. Otros programas spyware recogen la información mediante cookies de terceros o barra de herramientas instaladas en navegadores web. 

.-Adware: Muestra publicidad al usuario de forma intrusiva en forma de ventana emergente (pop-up) o de cualquier otra forma. Esta publicidad aparece inesperadamente en el equipo y resulta muy molesta. 

.-Hijackers: Son programas que realizan cambios en la configuración del navegador web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web de publicidad mientras que otros redireccionan los resultados de los buscadores hacia anuncios de pago o páginas de phishing bancario. El pharming es una técnica que suplanta al DNS, modificando el archivo hosts, para redirigir el dominio de una o varias páginas web a otra página web, muchas veces una web falsa que imita a la verdadera. Esta es una de las técnicas usadas por los hijackers o secuestradores del navegador de Internet. Esta técnica también puede ser usada con el objetivo de obtener credenciales y datos personales mediante el secuestro de una sesión.

 Malware para robo de información personal

.-Keyloggers: Monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío al creador del malware. Por ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta.

.-Stealers: Roban sólo la información privada que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea, descifran esa información y la envían al creador del malware.

¿Cómo funciona un virus?

La inserción del virus en un programa se llama infección y el código infectado del archivo o del ejecutable, se llama huésped (host).

Un virus se ejecuta como cualquier programa informático, pero al estar oculto dentro de otro, se pone en acción cuando se inicia el programa infectado, sin ser el usuario consciente de esta situación.

El código del virus queda alojado en la memoria de nuestro equipo (RAM), estando presente incluso después de finalizar el programa que lo mantenía oculto.

El virus toma entonces el control de los servicios básicos del sistema operativo, infectando archivos ejecutables (.exe., .com, .scr, etc) que sean llamados para su ejecución.

Finalmente se copia una parte del código ejecutable del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.

El efecto más peligroso de los virus es su auto-reproducción incontrolada, que lleva a la sobrecarga de todos los recursos del equipo.

¿Cómo se transmiten los virus?

Hasta hace un tiempo la principal vía de infección eran las propias vulnerabilidades de los sistemas operativos. Hoy en día estos riesgos siguen existiendo, pero se dio paso a la propia navegación de internet o bien a las vulnerabilidades de los distintos navegadores o simplemente el “descuido” y falta de conocimiento de los usuarios.

La forma más común en que se transmiten los virus es por transferencia de archivos, descarga o ejecución de archivos adjuntos en los correos.

Las principales vías de infección son:

1.- Redes Sociales.

2.- Sitios webs fraudulentos.

3.- Redes P2P (descargas con virus de regalo)

4.- Dispositivos USB/CDs/DVDs infectados.

5.- Sitios webs legítimos pero infectados.

6.- Adjuntos en Correos no deseados (Spam)

7.- Copias de programas (descargas con virus de regalo)

8.- Fallos de seguridad de los propios sistemas operativos.

Conclusión

Los virus informáticos han evolucionado al ritmo de la computación actual, renovando sus sistemas y métodos de infección estando acordes a la actualidad; incluso la funcionalidad de los virus ha cambiado con el tiempo y según los intereses de sus creadores. 

LA SEGURIDAD EN LAS CONTRASEÑAS

Contraseñas

Hoy en día la confidencialidad de los datos es uno de los objetivos principales de la seguridad informática y uno de los mecanismos para lograrla es mediante el uso de contraseñas.

Esquemas de seguridad
Básicamente, un sistema de seguridad se basa en uno de estos tres puntos:

Ø  El conocimiento à Un PIN, una contraseña, un gesto.

Ø  La posesión à Un dispositivo, un servicio. 

Ø  La inherencia o herencia à Ojos, rostro, huellas dactilares.

Dado que la utilización de sólo uno de ellos es fácilmente suplantable, se intenta recurrir a lo que da nombre a la verificación en dos pasos, usando para ello dos de los tres puntos de un esquema de seguridad (siendo por lo general conocimiento y posesión).

Esquemas de seguridad basados en el conocimiento

Son los más habituales y están presentes en casi todos los servicios que utilizamos.

Un patrón se basa en el dibujo de un símbolo específico frente a un esquema dado (por ejemplo, el sistema de patrón de desbloqueo de Android, que tiene varios puntos que utilizados como vértices para dibujar con el dedo la figura elegida) o frente a una imagen (como sucede en el sistema operativo Windows 8).

La contraseña es un sistema que podría ser muy efectivo si siempre se tuvieran en cuenta y se cumplieran ciertas restricciones.

Contraseña segura

Una buena contraseña debe cumplir, al menos, tres de estas cuatro características:

Ø  Constar de 8 a 15 caracteres (mínimo) à A mayor longitud más difícil de adivinar.

Ø  Utilizar MAYÚSCULAS y minúsculas.

Ø  Utilizar caracteres especiales à $&%!#?*

Ø  Utilizar números de 0-9.

Además, para que una contraseña sea aún más segura también debe cumplir los siguientes requisitos:

Ø  No debe formarse con números y/o letras que sean consecutivas y/o estén adyacentes en el teclado, ni utilizar caracteres repetidos à 123456, 1q2w3e, aaa3456 o 123QWEasd

Ø  La contraseña no debe contener información que sea fácil de averiguar à Información personal: cumpleaños, nombres de hijos, cuadros de fútbol, etc.

Ø  No debe contener palabras existentes en algún idioma à Los ataques de diccionario prueban cada una de las palabras que figuran en el diccionario y/o palabras de uso común.

Método eficaz de selección de contraseñas
Es recomendable tener un método de selección de contraseñas. Como ejemplo, se elige una frase que para el usuario tenga un significado especial o simplemente que asegure que siempre la recordará.

El 04 de Mayo es el día de Star Wars

De esta frase se escogen las primeras letras, respetando mayúsculas y minúsculas, con lo cual se obtiene una serie de letras sin sentido aparente. Pero si es posible recordar la frase fácilmente, se tendrá una combinación que además incluya letras y números.

El 04 de Mayo es el día de Star Wars

E04dMeeddSW

Después se debe añadir algún símbolo especial, por ejemplo “%” al final del patrón que estamos creando, obteniendo así un patrón alfanumérico y que además contiene símbolos especiales:

E04dMeeddSW%

Esquemas de seguridad basados en la posesión
Estos sistemas están basados en algo único que sólo un usuario debería tener.

  Dispositivo: Un token de seguridad es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación. Los tokens permiten almacenar contraseñas y certificados y llevar, además, la identidad digital de la persona. Son generadores de contraseñas dinámicas conocidas como "OTP" (One Time Password).

  Clave pública: Se trata de un sistema de seguridad basado en la posesión de un archivo que contiene la clave pública para acceder al servicio. Este método ofrece bastante seguridad (el archivo sólo lo debe tener el usuario y puede descargarse únicamente en el momento de creación). No es sencillo de implementar, por lo que sólo suele verse en entornos más bien técnicos.

Esquemas de seguridad basados en la inherencia
Este sistema de identificación se basa en autenticar a la persona por algo que le es innato a ella de forma normalmente biológica.

Huellas dactilares: Es el más sencillo de implementar, también es de bajo costo.

Iris: Requiere buenas condiciones de luminosidad. El costo es mucho mayor.

Reconocimiento facial: De bajo costo pero requiere buenas condiciones de luminosidad. Es fácilmente manipulable.

Reconocimiento facial 3D: Es difícil de implementar.
Voz: Requiere buenas condiciones de sonido. Es fácilmente manipulable.

Ritmo cardíaco: Es difícil de implementar.

La unión de dos o más de estos esquemas de seguridad es lo que le da nombre a la verificación en dos pasos. Por ejemplo, con la unión de conocimiento y posesión, se tendría una contraseña y un OTP generado por un dispositivo digital (token).

Ataques por “Fuerza bruta” y “Diccionarios”Una parte fundamental de nosotros mismos y de nuestro trabajo depende de las claves elegidas y de su complejidad.
La implementación de contraseñas seguras debería ser el principal objetivo, ya que lo que somos y hacemos es importante. Esta implementación depende de la educación que cada usuario recibe y de las políticas de seguridad aplicadas.

Mediante el método denominado “Fuerza Bruta”, el atacante simplemente prueba distintas combinaciones de palabras hasta dar con la clave del usuario. Este tipo de ataque involucra algún tiempo de prueba y error.

Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y “diccionarios” que prueban millones de posibles claves, en tiempos muy breves, hasta encontrar el password correcto.

Los “diccionarios” son archivos con millones de palabras, las cuales pueden ser posibles contraseñas de los usuarios. Este archivo es utilizado para descubrir dicha clave en pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de organización que se esté atacando.

A continuación podemos observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo, aunque este número suele ser mucho mayor dependiendo del programa utilizado.

Cantidad de Caracteres	26 - Letras Minúsculas	36 - Letras y Dígitos	52 - Mayúsculas y Minúsculas	96 - Todos los Caracteres
6	51 minutos	6 horas	2,3 días	3 meses
7	22,3 horas	9 días	4 meses	24 años
8	24 días	10,5 meses	17 años	2.288 años
9	21 meses	32,6 años	890 años	219.601 años
10	54 años	1.160 años	45.840 años	21.081.705 años

Aquí puede observarse que si se utilizara una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla. Esto se obtiene a partir de las 968 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.

Conclusiones
La seguridad del conjunto es tan débil como el más débil de sus elementos.

Vale la pena tener en cuenta que las contraseñas son como la ropa interior... Deben cambiarse seguido, no se deben compartir con amigos, no se deben dejar tiradas por ahí, cuanto más largas sean, mejor y se debe ser misterioso en cuanto a ellas.

HACKING SOCIAL

La ingeniería social
La ingeniería social se basa en la psicología. Esta "ciencia de hacer que la gente cumpla tus deseos" está muy bien considerada entre los "hackers" como método seguro y rápido de obtener información.

Conocimientos técnicos y psicológicos son el principal requisito para ejercer la ingeniería social. El ataque puede consistir en una pregunta directa o crear una situación para que la víctima baje sus defensas y adopte la actitud psicológica deseada, como querer quedar bien o cumplir una obligación moral.

Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a su víctima a actuar. En el libro Influence: The Psychology of Persuasion (1984), el Dr. Robert Cialdini define estos seis motivadores claves:

Ø  Reciprocidad: Sentir que le debemos un favor a quien hace algo por nosotros.

Ø  Orientación social: Buscamos a una persona que nos diga qué tenemos que hacer.

Ø  Consistencia / compromiso: Desarrollamos patrones de conducta que se convierten en hábitos.

Ø  Aceptación: Queremos “encajar” y nos persuaden más fácilmente aquellas personas que nos gustan.

Ø  Autoridad: Somos receptivos a las órdenes y peticiones de las figuras de autoridad.

Ø  Tentación: Tenemos más motivación para perseguir lo exclusivo o limitado.

El factor humano 
Aunque se dice que "el único ordenador seguro es el que está desenchufado", los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe.
El factor humano es el eslabón más débil de la seguridad informática. Y no hay un sólo ordenador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica.

Técnicas de ingeniería social

Existen cuatro técnicas de ingeniería social que los atacantes pueden utilizar para alterar la seguridad: phishing, pretexting, media dropping y tailgating.

Phishing
El phishing implica el envió de un correo a un usuario donde se le convence para realizar alguna acción. El objetivo de este ataque es conseguir que el usuario haga click en el contenido del correo recibido (generalmente un link) para después registrar esa actividad o instalar un programa que monitoree la actividad constante del usuario y que incluso pueda verificar contenido dinámico, plugins o software instalado.

La clave del éxito de la técnica de phishing es la personalización. Personalizar el correo dirigido al usuario objetivo, con tácticas como el envió a través de una fuente que sea percibida por el usuario como una fuente de confianza, incrementa la disponibilidad del usuario a leer y seguir las instrucciones del correo.

El Social Engineering Toolkit (SET) es una herramienta bastante simple, de código abierto, que permite crear ataques phishing a través del envío de emails. Otras herramientas comerciales como PhishMe de PhishMe Inc. y  PhishGuru de Wombat Security también son interesantes.

Pretexting
El pretexting (pretextos) implica llamar por teléfono al usuario y pedirle cierta información, generalmente simulando ser alguien que precisa su ayuda. Esta técnica puede funcionar bien si se usa mediante aquellos usuarios de bajo nivel técnico y que tengan acceso a información sensible.

Media dropping
Está técnica suele implicar la presencia de un dispositivo USB en un lugar creíble o razonable de ser encontrado, como la entrada al edificio de oficinas laborales. El ingeniero social busca el interés de la persona que, al utilizar esta unidad flash, lanza un ataque contra el equipo donde se conecta.

Los atacantes suelen instalar un pequeño programa, sin riesgo, dentro de la red del cliente y después ejecutarlo de forma remota. Una herramienta gratuita para crear estos archivos es Metasploit, que genera automáticamente cargas maliciosas.

Mediante el SET “Generador de Medios infecciosos” se crea un ejecutable que automáticamente se activa en el PC objetivo. Para incrementar las posibilidades de éxito se incluyen generalmente archivos de programas conocidos como parte de esos exploits autorizados (los formatos PDF, Word y Excel son los mejores). Etiquetar el dispositivo de forma “apetitosa”, como “Datos de RRHH” o “Laboral” también puede ayudar.

Tailgating
El tailgating supone lograr acceso a una instalación física mediante engaño a su personal. El objetivo de este test es demostrar que el atacante puede superar a la seguridad física.

Los atacantes podrán obtener información sensible o poder instalar un dispositivo rápidamente para mostrar su éxito. Si el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un software con acceso a la red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la empresa.

Mediante el uso de estas cuatro técnicas de ingeniería social, se puede determinar las vulnerabilidades de la organización y recomendar las medidas correctoras y formativas que reduzcan el riesgo de sufrir ataques maliciosos basados en ingeniería social.

Defenderse contra la Ingeniería Social
La mejor manera de enfrentar el problema, es concientizar a las personas y educarlas sobre seguridad y fomentar la adopción de medidas preventivas.

Ø  Nunca divulgar información sensible con desconocidos o en lugares públicos (como redes sociales, anuncios, páginas web, etc.).

Ø  Si se sospecha que alguien intenta realizar un engaño, hay que exigir que se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.

Ø  Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo.

Ø  Realizar rutinariamente auditorías para detectar huecos de seguridad.

Ø  Llevar a cabo programas de concientización sobre la seguridad de la información.

Conclusiones
La seguridad de la información no sólo debe entenderse como un conjunto de elementos técnicos y físicos, sino como un proceso cultural de personas y organizaciones. Si el usuario es el eslabón más débil, deben existir controles que ayuden a disminuir el riesgo que éste pueda representar.