los mitos de la ciberseguridad
TRANSCRIPT
Los Mitos de la Ciberseguridad
Mito: QM
F
ETL
Algo/alguien de muy alta estima
Falsedad
Algo no totalmente cierto, que sin embargo puede producir algo bueno
1980Comienza la preocupación por la Seguridad Informática
1990Se perciben los riesgos de la interconexión de Ordenadores
1995Internet !!2000Verdaderos
Fraudes
1985Aparecen Virus
Mito: Fraude del Salami
1980
Comienza la preocupación por la Seguridad Informática
La amenaza se ve internaNace “Auditoría Informática”… pero no “Seguridad Informática”
Transición:de Facturadoras a Computadoras
+
Mito: Fraude del SalamiTécnica del Salami:
-Redondeo de céntimos en operaciones financieras
-Acumulación de los restos en una cuenta del defraudador
Nunca se llegó a saber exactamente quién lo pudo cometer, dónde y cuando.Pero duramente mucho tiempo funcionó…
Mientras tanto…
“Pepe el del Popular” era quien de verdad se llevaba el dinero…
Con rodajas de Salami más gruesas y sin usar ordenadores.
Mito: Fraude del Salami
No hay pantalla !!
Es un rollo de papel térmico
Consola de “parches”1 fila diales: dirección Hex2 fila diales: contenido Hex…
Curiosidades de la época…
Input masivo
Primeros sistemas de Banca On Line (mainframe con sucursales)
No existía el concepto “autenticación de usuario”Los derechos de acceso los suministraban unas llaves físicas en el terminalLas de “supervisor”… acababan siempre puestas
Curiosidades de la época…
Curiosidades de la época…
Arqueología InformáticaTeclas:•Modificadora•Activadora
Mito: Fraude del Salami
1980
Comienza la preocupación por la Seguridad Informática
La amenaza se ve internaNace “Auditoría Informática”… pero no “Seguridad Informática”
1990
Empieza a ser frecuente la aparición de áreas de “Seguridad Informática”
Mito: El huevo del Cuco
Se perciben los riesgos de la interconexión de Ordenadores
Mito: El huevo del cuco
El libro “El huevo del cuco” de Cliff Stoll (1989) se convirtió en el libro de cabecera para muchos profesionales… o en trance de serlo.En realidad las aún escasas conexiones que había eran privadas, en sistemas cerrados: • Conexiones punto a
punto• Red X-25• …
Sin embargo el temor a los peligros de las conexiones se extendía.
Mito: El huevo del cuco
La incipiente amenaza sólo era percibida por los profesionales implicados…
… y el auténtico Mito era la propia existencia de una Seguridad Informática…
Eso dio lugar a la variante de Seguridad Informática :“Seguridad del Libro Gordo”
Mito: Fraude del Salami
1980
Comienza la preocupación por la Seguridad Informática
La amenaza se ve internaNace “Auditoría Informática”… pero no “Seguridad Informática”
1990
Empieza a ser frecuente la aparición de áreas de “Seguridad Informática”
Mito: El huevo del Cuco
Se perciben los riesgos de la interconexión de Ordenadores
1995Internet !!
Mito:Hay que comprar y poner de todo !!
Pánico al riesgo reputacionalComienzan inversiones y dotación de recursos
La llegada de Internet ha sido el verdadero Big Bang
“La inseguridad de Internet ha sido el verdadero motor de la Seguridad Informática”
Horizontal: grado de sofisticación y daño potencial de los ataques informáticosVertical: conocimiento necesario para llevarlos a cabo
Nunca fue tan fácil realizar ataques, cada vez más sofisticados
Mito: Hay que comprar y poner de todo !!
La acumulación de dispositivos produce una sensación de falsa seguridad y es contraproducente
Firewall 1
IPS
LAN Control
Anti Virus 2
Anti Virus 1
IDS Open Source
IDS de PagoAnti
SPAM
Firewall 2Mainfra
me
Unificaciónde Contraseñas
Mito: Hay que comprar y poner de todo !!Un ejemplo real:
LAN Manager
Emul 3270
Emul 3270
Emul 3270
Mainframe
RACF
3270
Mito: Hay que comprar y poner de todo !!Consecuencia:
RACF
LAN Manager
=•Solido•Fiable•Muy probado
•Especialmente débil•Max 14 caracteres•Cifrado en bloques de 7•Autocompletado con constante
Crackeado trivial
“… una contraseña de 8 caracteres bien construída es muy difícil de romper... “Dijo el Jefe de Explotación de Mainframe
Mito: Fraude del Salami
1980
Comienza la preocupación por la Seguridad Informática
La amenaza se ve internaNace “Auditoría Informática”… pero no “Seguridad Informática”
1990
Empieza a ser frecuente la aparición de áreas de “Seguridad Informática”
Mito: El huevo del Cuco
Se perciben los riesgos de la interconexión de Ordenadores
1995Internet !!
Mito:Hay que comprar y poner de todo !!
Pánico al riesgo reputacionalComienzan inversiones y dotación de recursos
2000Verdaderos Fraudes
Los Hackers dejan de serpersonajes románticos
Mito:Ponerlo todo difícil
Aparecen los verdaderos FRAUDES… pero no donde se podía esperar…
El verdadero punto débil es el Usuario
Un ejemplo real, uno de los primeros casos de Phishing
Un ejemplo real, uno de los primeros casos de Phishing
Unos 200 usuarios introdujeron la contraseña en la web falsa
… de los cuales 75 rellenaron las 100 posiciones de la tarjeta de claves
“Cada minuto nace un nuevo incauto”Phineas Taylor Barnum – Empresario Circense, artista del engaño
Cada año se siguen recibiendo decenas de solicitud de patente para dispositivos de movimiento perpetuo.
…a pesar de que incluso Homer Simpson ya advirtió sobre ello:
Lisa, en esta casa se respetan las leyes de la termodinámica !
Sin embargo… la reflexión de un Hacker:
“Inducís a la gente a usar la tecnología, pero no les advertís de los riesgos que corren”
Mito: Ponerlo todo difícil
Contraseñas complicadas Imposible recordar todas las que se tienen que utilizar… se apuntan
Cambio frecuente de contraseñas“… no te diré la contraseña que tienes ahora, te diré la que tendrás el mes que viene…”Nunca se instruye al usuarioExisten formas relativamente sencillas de construir contraseñas sólidas y fáciles de recordar. Nadie lo facilitaLa sofisticación técnica no evitará la negligenciaJuicio por fraude de un Administrador, intentando endosar responsabilidad al banco “por no usar sistemas más avanzados”
Probablemente haya, al menos, dos mundos en la Seguridad Informática:
Mundo técnico: “Seguridad de la vaca esférica”
Mundo ordinario:Fraude
•Man in the middle•Rotura de claves cifradas•Ciberguerra•Espionaje•…
•Phishing•Falsos premios•Falsos créditos•Falsas ofertas de trabajo•…
Y se da la paradoja:
Y se da la paradoja:
#mundohackerday
Viaje a USA en 2001 para contrastar experiencias con un Banco Americano:-¿Qué han hecho cuando han tenido algún incidente de seguridad?-Nunca hemos tenido un incidente de seguridad-…pero ¿qué harían si lo tuvieran?-Decir que nunca hemos tenido un incidente de seguridad
Muchas gracias
Javier Valdés QuirósCOO [email protected]