Professional Documents
Culture Documents
Principios
Dimensiones
Anlisis de Riesgos
Ingeniera social
Enlaces
Enlaces II
Contraseas I
Contraseas II
Certificados digitales
Cifrado
Navegacin http/https
Correo electrnico
Consejos
Ms Informacin
Principios bsicos
Defensa en profundidad
Estrategia de seguridad usando distintas tcnicas para limitar los
daos en el caso de intrusin en la primera lnea de defensa.
Mnimo privilegio
Cada mdulo (como un proceso, un usuario o un programa) debe
ser capaz de acceder solo a la informacin y recursos que son
necesarios para su legitimo propsito.
Dimensiones
Autenticacin
Es la propiedad que permite identificar al generador de la informacin.
Por ejemplo al recibir un mensaje de alguien, estar seguro que es de
ese alguien el que lo ha mandado, y no una tercera persona
hacindose pasar por la otra (suplantacin de identidad).
Confidencialidad
Es la propiedad que impide la divulgacin de informacin a personas o
sistemas no autorizados.
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones
no autorizadas.
Disponibilidad
La disponibilidad es la caracterstica, cualidad o condicin de la
informacin de encontrarse a disposicin de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones.
Anlisis de Riesgos
Amenaza
Todo elemento o accin capaz de atentar contra la seguridad de la
informacin.
Riesgo
Es una estimacin del efecto real que puede producir una amenaza.
Impacto
Magnitud del dao que puede producir una amenaza.
Mitigacin
Disminucin de la probabilidad de un riesgo.
Contingencia
Disminucin del impacto de un riesgo.
Frmulas
Riesgo = Impacto x Probabilidad
Reduccin = Contingencia x Mitigacin
Exposicin o Riesgo residual = Riesgo - Reduccin
Direccin
ip
pblica:
Etiqueta
numrica que identifica a un ordenador
en internet. Por ejemplo: 120.44.211.7
que identifica a un ordenador en una
red local. No se transmite a travs de
internet. Por ejemplo: ca:fe:ba:be:33:dc
Servidor
DNS:
Servidor
usado
habitualmente en internet que es usado
para traducir nombres de dominio en
direcciones ip. Por ejemplo : 8.8.8.8.
Ingeniera Social
Es la prctica de obtener informacin confidencial o de realizar acciones malintencionadas a
travs de la manipulacin de usuarios legtimos.
Phishing: Suplantacin de un sitio legtimo, mediante el uso de otro sitio aparentemente similar
Enlaces I
Dominio TLD
https://correo.juntadeandalucia.es/webmail/index.php?id=1
Protocolo o
Esquema
Servidor
Ruta
(Subdominio.Dominio.TLD)
Parmetro
Valor
Enlaces II
Contraseas I
Contraseas II
Certificados digitales
Encriptado
Cifrado
Navegacin http/https
La navegacin mediante http no usa ningn tipo de cifrado, por lo que no se puede garantizar la
integridad ni la confidencialidad de la informacin recibida ni transmitida. Nunca usar una conexin
http para transmitir datos personales, contraseas, datos bancarios etc.
Siempre que sea posible usar conexiones https, que s usa cifrado.
El https mantiene el cifrado desde el navegador hasta el sitio al que queremos acceder. Por tanto si
el sitio al que queremos acceder no es confiable, le estaremos entregando datos sensibles
igualmente, aunque estemos usando https.
Siempre que sea posible, es recomendable usar pasarelas de pago de los bancos, paypal, o
cualquier otro mtodo que impida que los datos de la tarjeta de crdito lleguen a la tienda dnde se
est realizando la compra.
Independientemente del mtodo usado, se transmite informacin de la ip de origen, la url de la
pgina que se quiere visitar, la versin del navegador, del sistema operativo, y de la pgina visitada
anteriormente, sin cifrar. Esta informacin pasa como mnimo por nuestra red, nuestro proveedor de
internet, el proveedor de internet del sitio y el sitio en s al que queremos conectarnos.
Grfico de datos http/https: https://www.eff.org/pages/tor-and-https
Navegacin y big data: Los navegadores cundo se conectan a una pgina, en realidad se conectan
a muchas ms. Algunas de ellas especializadas en recogida de datos. No es recomendable navegar
en internet estando logado en alguna pgina para no dar ms informacin todava:
Navegacin nica:
https://panopticlick.eff.org/
http://ip-check.info/?lang=en
Correo electrnico
En general no se usa cifrado, por lo que en muchas ocasiones es como si fueran
postales.
Los correos quedan almacenados e identificados en los servidores de correo del emisor y
del receptor.
Es el medio ms habitual de contagio de malware, ya sea por los enlaces del correo o por
sus adjuntos. Es muy usado para enlazar a sitios de phishing.
Es importante saber mirar las cabeceras, para determinar si un correo es legtimo o no.
Es conveniente poner el ratn encima de un enlace sin pincharlo, para ver a dnde se
dirigira.
Consejos
una
url
un
fichero,
analzalo
con
Ms informacin
2FA:
Google authenticator:
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
Latch:
https://latch.elevenpaths.com/
Debate
Identidad digital
Redes sociales
Metadatos
Robos de datos
Datos de navegacin
PNL
Contramedidas
Ms informacin
Debate
Identidad Digital
La identidad digital es lo que somos para otros en la Red o, mejor dicho, lo que la
Red dice que somos a los dems. Se va conformando con nuestra participacin,
directa o inferida, en las diferentes comunidades y servicios de Internet. Las
omisiones, al igual que las acciones, constituyen tambin parte de nuestra
identidad por lo que dejamos de hacer. Los datos, por supuesto, nos identifican.
Tambin las imgenes, su contexto y el lugar donde estn accesibles proporcionan
nuestro perfil online.
Redes Sociales
Cmo afectan las redes sociales a la privacidad?
Prdida del criterio de referencia: Si por cortesa o costumbre abro mi Red a cualquier amigo de un amigo, ya pierdo la
referencia de quin puede ver mi informacin. Si mi informacin es pblica, puede ser visible por toda la poblacin
mundial que usa internet, gracias a los buscadores. Actualmente se estima en ms de 3000 millones de internautas.
Exceso de funciones automticas: Por ejemplo si me doy de alta en la Red X y salvo que preste atencin para
impedirlo sern invitados de manera automtica a unirse a mi red todas las personas que tena anotadas en mi
agenda del servicio de webmail que haya usado para darme de alta.
Prdida de control de mi informacin: Por ejemplo si te etiquetan en una fotografa y tienes el perfil ms o menos
abierto, es como si la pusieras t mismo a la vista de mucha gente. Significa esto que alguien ha decidido por ti qu
hacer pblico y, adems, compartirlo.
Recopilacin de informacin muy precisa: Desde que entro en la Red pueden quedar registrados mis movimientos e
intereses de todo tipo ms all de la informacin del perfil que de forma voluntaria proporcion (dnde pincho, con
quin hablo, cunto tiempo dedico, qu pginas visito, etc.).
Presentacin de opciones interesadas: Al darme de alta me preguntan datos de lo ms variado sin los que no me
dejaran registrarme, tras lo cual podr empezar a utilizar la Red sin haber configurado de forma explcita con
quin y qu tipo de datos personales o de actividad quiero compartir.
Ejercicio: Exposicin a redes sociales.
@NeedAdebitCard
Pasaportes en flickr
Metadatos
Se trata de informacin relativa a ficheros digitales (documentos de
texto, pdf, fotografas, vdeos, canciones, etc.). Son usados para
realizar bsquedas locales de forma ms rpida y precisa.
Robos de datos
Se producen intrusiones en pginas web por parte de delincuentes
constantemente. En ocasiones slo le cambian el aspecto, en otras
suben malware para que sus visitantes se infecten, y en algunas
ocasiones vuelcan la informacin personal de sus usuarios.
Datos de Navegacin
Cada vez que visitamos una pgina somos rastreados por
empresas dedicadas a recoger informacin y analizarla
posteriormente. El objetivo final es ofrecernos publicidad
personalizada y que as compremos ms.
PNL
La PNL es la lista de redes WIFI que se almacena en TODOS los dispositivos que se conectan
a una red mediante esa tecnologa.
La mayora de los dispositivos mviles, cundo tienen el servicio de WIFI activado, pero no
estn conectados a ninguna en ese momento, van buscando las redes conocidas que tienen
en la PNL constantemente para poder conectarse de nuevo.
Esta informacin se transmite sin ningn tipo de cifrado, por lo que cualquiera que est
suficientemente cerca puede verla. Esto implica que se podra hacer un perfil de las redes que
se han visitado, pudiendo averiguar establecimientos y lugares en los que esa persona ha
estado alguna vez, incluyendo su domicilio, su trabajo o sitios en los que esa persona ha
estado, pero no quiere que se sepa.
Adems pueden relacionarse personas porque se vea que sus dispositivos se conectan a las
mismas redes.
Si estas redes adems son abiertas, es decir, que no tienen ningn cifrado, existe un problema
de seguridad muy grande, ya que se podran interceptar sus comunicaciones fcilmente
creando una red abierta falsa con el mismo nombre que se sabe ya que est buscando un
dispositivo. Este dispositivo se conectara de forma automtica sin que lo supiera su
dueo.
Demo: PNLS de la clase.
Contramedidas
Piensa dos veces lo que va a publicar en Internet. Cmo puede afectarme en el futuro?. Lo que se publica
en Internet NO puede borrarse nunca por completo.
Revisa la configuracin de privacidad y seguridad de tus redes sociales. Puedes ayudarte de herramientas
como privacyfix. Con quin quieres realmente compartir tu informacin?. Conoces a todos tus amigos
virtuales?. Comprueba sus fotos de perfil con Google Images o TinEye
Borra los metadatos de los ficheros que subas a Internet. Por ejemplo con OOmetaextractor para ficheros
openoffice, o desde Propiedades->Detalles en Windows 7.
Desactiva la localizacin de tus fotos en el mvil.
http://cincodias.com/cincodias/2015/01/19/lifestyle/1421690796_712812.html
http://www.actualidadiphone.com/tutorial-como-eliminar-la-geolocalizacion-de-nuestras-fotos-en-el-iphone/
Nunca te des de alta en ningn sitio dando tu email del trabajo, y nunca reutilices tus contraseas.
Cierra siempre la sesin al terminar de visitar un sitio al que has accedido con credenciales.
Utiliza extensiones del navegador para aumentar tu privacidad y seguridad, como por ejemplo Ghostery,
WOT, Adblock Plus, Disconnect, Blur, HTTPS Everywhere, NoScript, BetterPrivacy ,KeeFox, Bloody Vikings,
Clean Links, etc.
Siguiendo el principio de mnima superficie de exposicin, desactiva los servicios que no ests usando en tu
mvil, como por ejemplo el bluetooth o la WIFI cundo no sean necesarios.
Ms Informacin
Amenazas
Ficheros y extensiones
Contramedidas I
Contramedidas II
Amenazas
Las amenazas a las que est expuesto un ordenador son muy
diversas, pero pueden clasificarse en 3 grupos principales:
1) Amenazas para el propio ordenador:
Este tipo de amenazas es menos comn, ya que lo que se
persigue es daar en lo posible el equipo y su informacin
en s, y no aprovechar informacin del usuario para obtener
algn beneficio. Por ejemplo el virus stuxnet que fue usado
para atacar ordenadores de centrales nucleares iranes.
Tambin estaran includas en este grupo las catstrofes
como inundaciones, terremotos, incendios, subidas de
tensin, etc.
2) Amenazas para el usuario:
Este tipo de amenazas buscan algn tipo de beneficio,
generalmente econmico, e intentan obtenerlo de diversas
maneras:
Mediante
malware
usando
chantaje
(ransomware), robo de informacin bancaria, robo de
credenciales, robo de informacin mediante acceso fsico
etc (https://cybermap.kaspersky.com/ ).
3) Amenazas para otros ordenadores:
En ocasiones el malware est programado para una vez
que infecte un equipo, usarlo para atacar de forma
conjunta y coordinada (DDOS) a otros ordenadores, sitios
web,
etc.
(http://hp.ipviking.com/
,
http://map.norsecorp.com/,
http://www.digitalattackmap.com/ )
Tambin puede ser usado como puerta de entrada para
acceder a otros sistemas conectados, o acceder a sitios
ms restringidos en una empresa, organizacin,
administracin, gobierno etc.
Ficheros y Extensiones
Contramedidas I
Conviene siempre seguir el principio de defensa en profundidad, por lo que se indicarn diversas
defensas independientes aplicables en este tipo de amenazas:
No usar la cuenta de administrador: Hay que utilizar un usuario de windows que no tenga permisos
de administrador, y que tenga una contrasea. De este modo si nos infectamos no infectaremos al
resto del ordenador, slo a nuestros ficheros. La cuenta del administrador tambin debe tener
contrasea. El equipo debe bloquearse solo si no hay actividad.
Antivirus: No son 100% fiables, pero eliminarn el malware que no sea muy reciente. Conviene
tenerlos actualizados y configurados para que acten en tiempo real. Es conveniente adquirir alguno
de pago, ya que traen caractersticas extra, como proteccin de la navegacin y del correo
electrnico. Algunos gratutos: Microsoft Security Essentials , AVG Free, Avast Free, etc.
Actualizaciones automticas: Es necesario programar las actualizaciones del sistema operativo de
forma que stas sean automticas. Esto no quiere decir que se vaya a actualizar todo el software del
ordenador de forma automtica, slo el propio del sistema operativo. Los programas de terceras
partes que se hayan instalado posteriormente hay que actualizarlos tambin de forma manual o
usando un software especial como Secunia PSI.
Cortafuegos: Aunque hace aos era imprescindible para evitar problemas con el malware debido a
que los ordenadores se conectaban a internet con su propia ip pblica, actualmente aunque no sea
tan necesario es conveniente tenerlo activado. Windows trae uno por defecto que puede ser
configurado de muchas maneras distintas, y es conveniente activarlo si no lo est. No es necesario
instalar otro adicional en principio.
Contramedidas II
AntiRansomware: Es conveniente el uso de software especializado que detecte cundo se estn cifrando ficheros de nuestro
equipo sin que nosotros lo sepamos y pare el malware que lo est haciendo (Cryptomonitor, AntiRansom 2.0 ).
Cifrado: Si no se usa cifrado de la informacin y un atacante tiene acceso fsico al ordenador, automticamente el ordenador
est comprometido. Por ello es importante que nuestra informacin est cifrada para que no pueda ser robada y no perdamos
privacidad. (Encfs+dokan).
Copias de seguridad: Son imprescindibles actualmente. Son la ltima defensa ante un desastre en el que perdamos nuestros
datos. Ya sea por una catstrofe como un incendio, o porque un malware de tipo ransomware cifre nuestros ficheros para pedir
un rescate. Por ello es necesario hacerlas en dispositivos que estn fsicamente alejados del ordenador. (Panel de Control>Copias de seguridad y restauracin->Configurar copias de seguridad (Vdeo) + dropbox + Encfs + dokan, Boxcryptor, Spideroak
, Crashplan ).
Existen numerosos servicios en la nube que permiten realizar copias de seguridad. En este caso es imprescindible el uso de
cifrado para no perder nuestra privacidad.
Nunca guardar contraseas: En vez de configurar los programas como navegadores, clientes de correo, clientes de mensajera
etc. para recordar contraseas, es mucho ms seguro usar un gestor de contraseas (Keepass, Lastpass ), ya que si no, las
contraseas almacenadas son fcilmente extrables, por ejemplo mediante un malware que haya infectado el equipo.
Ficheros no ejecutables: Los ficheros no ejecutables como documentos pdf, odt, doc, etc. pueden tener contenido malicioso, de
modo que si son abiertos por versiones concretas de programas en un ordenador (por ejemplo versiones concretas de Acrobat
Reader, OpenOffice o Microsoft Office) que tengan algn problema de seguridad, pueden infectar al ordenador con cualquier tipo
de malware. Para evitar esto, aparte de usar antivirus, se recomienda instalar la ltima versin disponible del siguiente software
de Microsoft: Microsoft EMET.
Configuracin de navegadores: Es conveniente usar extensiones de seguridad y privacidad como ya se vio en su momento.
Nunca guardar contraseas (Artculo), y proteger mediante contrasea los certificados digitales de usuario que se tengan
importados. Opcionalmente activar la navegacin privada permanente o configurar el navegador para eliminar las cookies,
historial y ficheros temporales al cerrarlo.
Legislacin
Ataques MITM
Contramedidas
Legislacin
Art. 255:
Ser castigado con la pena de multa de tres a 12 meses el
que cometiere defraudacin por valor superior a 400 euros,
utilizando energa elctrica, gas, agua, telecomunicaciones
u otro elemento, energa o fluido ajenos, por alguno de los
medios siguientes:
1) Valindose de mecanismos instalados para realizar la
defraudacin.
2) Alterando maliciosamente las indicaciones o aparatos
contadores.
3) Empleando cualesquiera otros medios clandestinos.
Art. 256:
El que hiciere uso de cualquier equipo terminal de
telecomunicacin, sin consentimiento de su titular,
ocasionando a ste un perjuicio superior a 400 euros, ser
castigado con la pena de multa de tres a 12 meses.
Art. 197:
El que, para descubrir los secretos o vulnerar la intimidad
de otro, sin su consentimiento, se apodere de sus papeles,
cartas, mensajes de correo electrnico o cualesquiera otros
documentos o efectos personales, intercepte sus
telecomunicaciones o utilice artificios tcnicos de escucha,
transmisin, grabacin o reproduccin del sonido o de la
imagen, o de cualquier otra seal de comunicacin, ser
castigado con las penas de prisin de uno a cuatro aos y
multa de doce a veinticuatro meses .
Redes WIFI abiertas: Son redes que no tienen nign tipo de cifrado
configurado. Por esto pueden ser usadas por cualquiera que est en su
rango de alcance. Al no estar cifradas, la informacin que circula por
ella es visible, sin necesidad incluso de conectarse a dicha red. No es
recomendable dejar abierta la red WIFI de casa por varios motivos:
1) Podemos sufrir robos de informacin,
tanto de informacin
transmitida como de informacin que tengamos compartida en la red
interna.
2) Podemos tener problemas legales por compartir la conexin WIFI,
con nuestro proveedor de Internet.
3) Podemos tener problemas legales si algn delincuente usa nuestra
red WIFI para cometer un delito. (Artculo).
Un caso especial de red Wifi son las redes abiertas con portal cautivo,
tpicas de algunos hoteles. Son redes abiertas a todos los efectos, pero
cundo se intenta navegar, el navegador se redirige a una pgina que
pide una contrasea. Esta contrasea slo desbloquea la navegacin,
pero sigue siendo una red completamente abierta.
Ataques MITM
Un ataque Man In The Middle (del
hombre en medio) se basa en
interceptar las comunicaciones entre
un emisor y un receptor legtimos, con
el fin de vulnerar la confidencialidad
y/o la integridad de los mensajes.
Contramedidas