la seguridad en la red: verdades, mentiras y consecuencias€¦ · seguridad informática gabriel...

Seguridad InformáticaGabriel Díaz Orueta

1

La seguridad en la red: verdades, mentiras y consecuencias

Usos seguros e inseguros de las nuevas herramientas de las TIC en la vida diaria

Gabriel Díaz Orueta


2


3

¿Seguridad o inseguridad en la vida “digital”

Peligros asociados a las aplicaciones más habituales por Internet:

- El correo electrónico- Comprar por Internet- Oficina Internet- Navegación libre

Alguna conclusión y algún consejo


4

Aplicaciones más habituales de uso en Internet

• Correo electrónico personal, profesional, de empresa, correo web, gmail…

• Aplicaciones sobre web:• Navegación libre• Comercio electrónico• Trabajo profesional• Administraciones públicas• Oficina Internet

• Aplicaciones “sociales”: facebook, linkedin, twitter, etc.

Más dispositivos que nunca…


5

• PCs

• Portatiles

• Servidores

• Móviles “listos”

• Tabletas

Correo electrónico


6

• Protocolo SMTP (y variantes) para correo entre servidores, transporte TCP

• Protocolos POP, IMAP para comunicación cliente-servidor

• Programa sendmail y sucesores

• Texto y datos enviados en texto claro

Problemas con el correoelectrónico


7

• Autenticación: alguna solución basada en criptografía, pero difícil de implantar

• Privacidad: Idem

• Spam

• Phishing

• ¿Por qué?


8


9

Campaña masiva de phishing de MastercardImportancia: 3 - Media Fecha de publicación: 08/01/2014

Recursos afectadosPotencialmente cualquier usuario que haga uso del correo electrónico y reciba un correo malicioso de las características descritas en este aviso de seguridad.

DescripciónSe ha detectado una campaña masiva de correos fraudulentos que se hacen pasar por la asistencia técnica de Mastercard con el objetivo de engañar al usuario simulando ser una actualización del reglamento de la UE para poder utilizar la tarjeta de crédito, y que pretende que el propio usuario descargue un formulario y rellene datos tales como nombre del titular, número de tarjeta, fecha de vencimiento, pin, etc.


10


11

Campaña de phishing al Banco SantanderImportancia: 3 - Media Fecha de publicación: 14/01/2014

Recursos afectadosPotencialmente cualquier usuario que haga uso del correo electrónico y reciba un correo malicioso de las características descritas en este aviso de seguridad.

DescripciónSe ha detectado una campaña de phishing contra el Banco Santander con el objetivo de engañar a los usuarios para que hagan clic en un enlace que le redirige a una web maliciosa que suplanta la identidad del banco para capturar sus claves de acceso, datos bancarios, etc.


12


13


14

Lunes, 18 de febrero de 2013

El 66% de los phishings se cuelgan en páginas comprometidas

Los creadores de phishing tienen dos opciones a la hora de colgar sus réplicas de páginas de banca online: o bien compran un dominio o espacio web o bien comprometen una página legítima y suben en ella los archivos necesarios para la estafa. Según el estudio interno basado en los casos tratados por nuestro departamento de antifraude, un 66% de los phishings se alojan en páginas a las que han atacado.

Internet


15

- Una sola red- Muchos puntos posibles de monitorización controlados- Falta de servicios de seguridad- Decisión política


16

Comercio electrónico


17

• No abras ficheros adjuntos sospechosos procedentes de desconocidos o que no hayas solicitado.

• Utiliza un filtro anti-spam para evitar la recepción de correo basura.

• Analiza los anexos con un antivirus antes de ejecutarlos en tu sistema.

• Desactiva la vista previa de tu cliente de correo para evitar código malicioso incluido en el cuerpo de los mensajes.

Precauciones


18

• No facilites tu cuenta de correo a desconocidos ni la publiques ’alegremente’.

• No respondas a mensajes falsos, ni a cadenas de correos para evitar que tu dirección se difunda.

• Borra el historial de destinatarios cuando reenvíes mensajes a múltiples direcciones.

Precauciones


19

• No descargues/ejecutes ficheros desde sitios sospechosos porque pueden contener código potencialmente malicioso

• Analiza con un antivirus todo lo que descargas antes de ejecutarlo en tu equipo.

• Mantén actualizado tu navegador para que este protegido frente a Vulnerabilidades con parche conocido.

• Configura el nivel de seguridad de tu navegador según tus preferencias.

• Instala un cortafuegos que impida accesos no deseados a / desde Internet.

• Descarga los programas desde los sitios oficiales para evitar suplantacionesmaliciosas.

Precauciones - Navegación


20

• Puedes utilizar mata-emergentes para eliminar las molestas ventanas emergentes (pop-up) que aparecen durante la navegación, o configurar tu navegador para evitar estas ventanas.

• Utiliza un usuario sin permisos de Administrador para navegar por Internet,así impides la instalación de programas y cambios en los valores del sistema.

• Borra las cookies, los ficheros temporales y el historial cuando utilices equipos ajenos (públicos o de otras personas) para no dejar rastro de tu navegación.

Precauciones - Navegación


21

Precauciones – e-comercio• Observa que la dirección comienza por httpS que indica que se trata de una conexión segura.

• Observa que aparece un candado ( ) en la parte inferior derecha de tu navegador.

• Asegúrate de la validez de los certificados (pulsando en el candado), que coinciden con la entidad solicitada y sean vigentes y válidos.

• Ten en cuenta que tu banco NUNCA te pedirá información confidencial por correo electrónico ni por teléfono.


22

Precauciones – e-comercio• Evita el uso de equipos públicos (cibercafés, estaciones o aeropuertos, etc) para realizar transacciones comerciales.

• Desactiva la opción ’autocompletar’ si accedes desde un equipo distinto al habitual o compartes tu equipo con otras personas.

• Cierra tu sesión cuando acabes, para evitar que alguien pueda acceder a tus últimos movimientos, cambiar tus claves, hacer transferencias, etc.

• Instala alguna herramienta de antifraude para evitar acceder a páginas fraudulentas.


23

Redes socialeslunes, 24 de junio de 2013Fallo de seguridad en Facebook revela la información de contacto de 6 millones de usuarios

El equipo de seguridad de Facebook gracias al programa "White Hat" de revelación responsable de vulnerabilidades, ha solucionado un fallo que podía revelar la dirección de correo electrónico y el número de teléfono de usuarios con los que tenemos alguna información de contacto o conexión.


24

Martes, 30 de julio de 2013Fallo en LinkedIn permitía extraer el token de OAuth del usuario autenticado

LinkedIn ha corregido un fallo en su web que permitía extraer el token del protocolo OAuth del usuario autenticado.

El fallo fue reportado por el británico Richard Mitchell y según comenta en su blog se dió cuenta como, al acceder al sitio de ayuda de LinkedIn(http://help.linkedin.com). éste procedía a autenticar al usuario con su ID de LinkedIn sobre HTTP.


25

• Si Twitter necesitaba más evidencia de que tiene un grave problema de seguridad, ésta es la prueba más contundente: La Bolsa neoyorquina sufrió una pronunciada caída este martes después de que un hacker accedió a la cuenta de un servicio de noticias y tuiteó sobre una falsa emergencia en la Casa Blanca.

• El estremecedor tuit provino de Associated Press: "Two Explosions in the White House and Barack Obama is injured (Dos explosiones en la Casa Blanca y Barack Obama está herido)".

• El equipo de comunicaciones de la agencia AP rápidamente tuiteó desde su propia cuenta que la principal cuenta de AP en Twitter fue vulnerada, pero los inversionistas ya habían entrado en pánico. El promedio industrial Dow Jones inmediatamente se desplomó en más de 140 puntos.


26

• Muchos ataques ocurren cuando los propietarios de cuentas utilizan contraseñas fáciles de adivinar o acceden a Twitter a través de una red Wi-Fi pública y mediante ordenadores compartidos. Si una persona que tuitea desde una cuenta corporativa pierde su teléfono, la cuenta de Twitter de toda una empresa podría estar en riesgo.

• El incidente de AP parece ser un buen ejemplo de ingeniería social. El servicio de noticias publicó una nota la misma tarde del martes explicando que los atacantes obtuvieron acceso a la cuenta tras lanzar varias tentativas de phishing. Cuando se perpetra el phishing, los atacantes se hacen pasar por empresas legítimas, tales como Twitter, buscando que los titulares de las cuentas entreguen sus contraseñas.


27

Entre su historial de errores destacan:• el virus Priyanka que cambiaba el nombre de tus contactos;

• WhatsApp Status, que permitía cambiar el estado de cualquier usuario con sólo conocer su número de teléfono;

• WhatsApp Voyeur que permite obtener datos del perfil de otros usuarios etc.


28

• El sistema de protección de WhatsApp es muy vulnerable. Dos investigadres españoles, Pablo San Emeterio y Jaime Sánchez, han demostrado que el de cifrado que emplea es antiguo y poco fiable (el algoritmo de cifrado de flujo RC4, diseñado en 1987). Tus conversaciones podrían ser leídas por otros usuarios.

• Si alguien utiliza tu misma WiFi pública o tu red de 3G, podría 'hackear' el sistema y acceder a tu historial. ¿Por qué sucede? Según han descubirto los investigadores españoles, la contraseña que genera WhatsApp para proteger tus datos es siempre la misma. Si alguien es algo experto en la materia podría 'hackear' tu red y descubrir esta contraseña. Con ella podría leer todas tus conversaciones.


29

Soluciones más completas/complejas1- Ocultarse en la red. Usar Tor


30

2- Cifrar, cifrar, cifrar comunicaciones


31

3- Si es algo muy importante, sin Internet: a- PC nuevo NO conectado nunca a Internetb- Encriptar fichero en elc- Pasarlo al equipo conectado mediante USBd- Para descifrar, a la inversa


32

4- Sospechar de software cifrado comercial, especialmente de grandes compañías…son amigos de la NSA


33

¿Alguna pregunta?

Gabriel Díaz Orueta, Dpto. Ingeniería Eléctrica Electrónica y de Control


34

Referencias • “Procesos y herramientas para la seguridad de redes”, G Díazy otros, ed. UNED, 2013.

• “Riesgo y seguridad de los Sistemas Informáticos”, Julián Marcelo Cocho, ed. Univ. Politécnica de Valencia, 2003.

• “Secrets and Lies”, Bruce Schneier, ed. John Wiley, 2000.

• “Designing Network Security”, Merike Kao, Cisco Press, 1999.

• “Security Engineering”, Ross Anderson, ed. John Wiley & Sons, 2001

• “


35

la seguridad en la red: verdades, mentiras y consecuencias€¦ · seguridad informática gabriel...

Documents