Una de las grandes ventajas del Internet consiste en ofrecer la facilidad de realizar en línea cualquier cantidad de transacciones, que facilitan
la comercialización e intercambio de productos, bienes y servicios. Lo que
permite a pequeñas y grandes empresas concretar de forma rápida sus operaciones y
culminar sus procesos optimizando su efectividad y productividad.
Además es una herramienta que permite hacer
uso de los recursos, hacer
transferencias, pagos en línea, etc. Lo que a su vez representa un riesgo para
quienes mueven su información financiera por este medio, porque igualmente
existen personas interesadas en acceder
a ella y para ello han inventado diferentes modalidades que les permiten
engañar y manipular a las personas para acceder a su información financiera.
Los
delitos informáticos se definen como conductas o actos ilícitos realizados por
acción u omisión que son sancionadas por la ley; desatancándose el uso indebido
de los computadores y cualquier medio informático como instrumento o medio y
como fin u objetivo, relacionado con el procesado automático de datos y la
transmisión de datos (LEM, Capítulo 4, p. 81).
La
manipulación fraudulenta de los programas y de los datos en los computadores,
el acceso a la información y su mala utilización son algunos factores que afecta
la privacidad, ya que los intrusos pueden obtener beneficios económicos o
causar daños morales o materiales, pero a veces éstos delitos no se descubren
debido a que son los mismos especialistas los encargados de ejecutarlos y
borrar las evidencias. Desde este punto de vista, la informática es el objeto
del ataque o el medio para cometer delitos.
A
continuación, se profundizará sobre otros tipos de riesgos importantes
asociados al uso de Internet que también han llegado a ocasionar severos
perjuicios personales a los usuarios de las redes y, a los cuales tanto los
padres como docentes y estudiantes, también están expuestos.
1. INGENIERÍA SOCIAL: consiste en la manipulación de las personas
para que voluntariamente realicen actos que normalmente no harían. La
ingeniería social se basa en el engaño y la persuasión, para obtener que la
víctima por sí misma revele la información valiéndose de un acto que ella misma
realizará de manera inconsciente, Por ejemplo: Revelar contraseñas por
teléfono, ejecutar un archivo que le llegó por e-mail, éstos se realiza
cara-cara, por teléfono o por canales tecnológicos y su meta es lograda según
la osadía del maleante.
2. SPOOFING: FALSIFICACIÓN
En términos de seguridad de redes hace referencia al uso de
técnicas a través de las cuales un atacante, generalmente con usos maliciosos o
de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una
comunicación.
Por spoofing se conoce a la creación de tramas TCP/IP
utilizando una dirección IP falseada; la idea de este ataque - al menos la idea
- es muy sencilla: desde su equipo, un pirata simula la identidad de otra
máquina de la red para conseguir acceso a recursos de un tercer sistema que ha
establecido algún tipo de confianza basada en el nombre o la dirección IP del
host suplantado.
En el spoofing entran en juego tres máquinas: un atacante, un
atacado, y un sistema suplantado que tiene cierta relación con el atacado; para
que el pirata pueda conseguir su objetivo necesita por un lado establecer una
comunicación falseada con su objetivo, y por otro evitar que el equipo suplantado
interfiera en el ataque.
Probablemente esto último no le sea muy difícil de conseguir:
a pesar de que existen múltiples formas de dejar fuera de juego al sistema
suplantado - al menos a los ojos del atacado - que no son triviales (modificar
rutas de red, ubicar un filtrado de paquetes entre ambos sistemas...), lo más
fácil en la mayoría de ocasiones es simplemente lanzar una negación de servicio
contra el sistema en cuestión.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS
spoofing, Web spoofing o email spoofing, aunque en general se puede englobar
dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
¿Cómo
evitarlo?
Hay algunas precauciones que pueden ser usadas para
limitar los riesgos de sufrir IP spoofing en la red, como:
§ Filtrando en el router: Implementando filtros de
entrada y salida en su router es una buena idea para comenzar su defensa ante
el spoofing. Usted deberá implementar un ACL (lista de control de acceso) que
bloquea direcciones de IP privadas por debajo de su interfaz. Además, este
interfaz no debería aceptar direcciones de tu rango interno como dirección de
origen (técnica común de spoofing que se usaba para engañar a los cortafuegos).
Por encima de la interfaz, usted debería restringir direcciones de origen fuera
de su rango válido, esto evitará que alguien en su red envíe tráfico spoofeado
a Internet. Es importante que no se permita la salida de ningún paquete que
tenga como dirección IP de origen una que no pertenezca a la red.
§
El cifrado y la Autenticación: la Realización del
cifrado y la autenticación también reducirán amenazas de spoofing. Estas dos
características están incluidos en Ipv6, que eliminará las actuales amenazas de
spoofing.
3. PISHING
Phishing o suplantación de
identidad es un término informático que denomina un modelo de abuso informático
y que se comete mediante el uso de un tipo de ingeniería social, caracterizado
por intentar adquirir información confidencial de forma fraudulenta (como puede
ser una contraseña o información detallada sobre tarjetas
de crédito u otra información
bancaria). El cibercriminal,
conocido como phisher, se
hace pasar por una persona o empresa de confianza en una aparente comunicación
oficial electrónica, por lo común un correo
electrónico, o algún sistema de mensajería
instantánea o incluso utilizando
también llamadas telefónicas.
¿Cómo se realiza?
El
phishing puede producirse de varias formas, desde un simple mensaje a su
teléfono móvil, una llamada telefónica, una web que simula una entidad, una
ventana emergente, y la más usada y conocida por los internautas, la recepción
de un correo electrónico. Pueden existir más formatos pero en estos momentos solo
mencionamos los más comunes:
- SMS (mensaje corto): la recepción de un mensaje donde le
solicitan sus datos personales.
- Llamada telefónica: pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios.
- Página web o ventana emergente: es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios.
- Llamada telefónica: pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios.
- Página web o ventana emergente: es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios.
4. SOFTWARE INCORRECTO
Son
errores de programación (bugs) y los programas utilizados para aprovechar uno
de
estos fallos y atacar al sistema son los exploits. Es la amenaza más
habitual, ya que es muy sencillo conseguir un exploit y utilizarlo sin tener
grandes conocimientos.
5. SPYWARE
Programas
espía que recopila información sobre una persona o una organización sin su
conocimiento. Esta información luego puede ser cedida o vendida a empresas
publicitarias.
Pueden
recopilar información del teclado de la víctima pudiendo así conocer contraseña
o nº de cuentas bancarias o pines.
6. SPAM
Recepción
de mensajes no solicitados. Se suele utilizar esta técnica en los correos
electrónicos, mensajería instantánea y mensajes a móviles.
ALGUNAS RECOMENDACIONES
PARA MITIGAR DELITOS INFORMÁTICOS
Es
necesario que los usuarios incorporen buenas
prácticas
para proteger el entorno de la información,
y
prevenir la posibilidad de formar parte del conjunto
que
engloba a las potenciales y eventuales víctimas
de
cualquiera de las amenazas, que constantemente
buscan
sacar provecho de las debilidades humanas.
Pero
para ello inevitablemente se deben conocer los
peligros
latentes, y cómo detenerlos a través de
mecanismos
de prevención.
A
continuación, se exponen algunas recomendaciones para prevenir, detectar y
minimizar a tiempo estas acciones maliciosas.
ü No
descargar actualizaciones desde sitios de dudosa reputación y hacerlo sólo
desde sitios de confianza. Descargar las actualizaciones desde sitios no oficiales
implica un potencial riesgo de infección.
ü Descargar
las actualizaciones a través de los mecanismos ofrecidos por el fabricante. En
el caso de las actualizaciones de productos de Microsoft, la disponibilidad de
los mismos es informada el segundo martes de cada mes, aunque puede haber
excepciones en casos de vulnerabilidades críticas.
Para
las plataformas Microsoft se puede:
ü Acceder
al sitio web de Windows Update para obtener los últimos parches de seguridad o
Configurar en el Centro de Seguridad de Windows la automatización, o no, de
descarga de actualizaciones.
ü Utilizar
herramientas gratuitas como MBSA2 (Microsoft
Baseline Security Analyzer) para verificar la falta de actualizaciones en
el sistema operativo, o PSI3 (Personal Software Inspector) para chequear las
aplicaciones.
ü Implementar
(en entornos corporativos) los WSUS4 (Windows Server Update Services) de
Microsoft.
ü También
en entornos corporativos, y sin importar la plataforma, se aconseja preparar
políticas de gestión de actualizaciones claras, que permitan coordinar y
administrar los parches de seguridad tanto de los sistemas operativos como de
las aplicaciones. Lo ideal es que esta política de gestión forme parte de la
PSI (Política de Seguridad de la Información).
· PROTECCIÓN DEL CORREO ELECTRÓNICO
El
correo electrónico constituye uno de los canales de propagación/infección de
malware más utilizados por atacantes; por lo tanto es importante que los
usuarios incorporen como hábito determinadas prácticas que permitan prevenir
los ataques realizados a través de códigos maliciosos.
En
consecuencia, a continuación se presenta una serie de medidas preventivas
orientadas a aumentar la seguridad durante el uso del correo electrónico.
ü No confiar en correos spam con archivos
adjuntos y explorar el archivo antes de ejecutarlo. Esto asegura que no se
ejecutará un malware.
ü Cuando
se reciben adjuntos, prestar especial atención a las extensiones de los mismos,
ya que suelen utilizar técnicas de engaño como la doble extensión o espacios
entre el nombre del archivo y la extensión del mismo.
ü Utilizar
filtros anti-spam que permitan el filtrado del correo no deseado. No responder
jamás el correo spam. Es preferible ignorarlos y/o borrarlos, ya que si se
responde se confirma que la dirección de correo se encuentra activa.
ü En
lo posible, evitar el re-envío de mensajes en cadena, ya que suelen ser
utilizados para recolectar direcciones de correo activas.
ü Si
de todos modos se desea enviar mensajes en cadena, es recomendable hacerlo
siempre Con Copia Oculta (CCO) para que quien lo recibe lea solo la dirección
del emisor.
ü Proteger
la dirección de correo utilizando una cuenta alternativa durante algún proceso
de registro en sitios web y similares. Esto previene que la dirección de correo
personal sea foco del spam.
ü Como
medida de seguridad extra, bloquear las imágenes de los correos y descargarlas
cuando se asegure de que el correo no es dañino.
Ø PROTECCIÓN
DE LA INFORMACIÓN PERSONAL
ü Tener
en cuenta que las entidades bancarias y financieras no solicitan datos
confidenciales a través de este medio, de esta manera se minimiza la
posibilidad de ser víctima de esta acción delictiva.
ü Desconfiar
de los correos que dicen ser emitidos por entidades que brindan servicios y
solicitan cambios de datos sensibles ya que suelen ser métodos de Ingeniería
Social.
ü No
hacer clic sobre enlaces que aparecen en el cuerpo de los correos electrónicos,
ya que pueden redireccionar hacia sitios web clonados o hacia la descarga de
malware.
ü Asegurarse de que la dirección del sitio web
al cual se accede comience con el protocolo https. La”s” final, significa que
la página web es segura y que toda la información depositada en la misma
viajará de manera cifrada.
ü Comunicarse
telefónicamente con la compañía para descartar la posibilidad de ser víctimas
de un engaño, si se tiene dudas sobre la legitimidad de un correo.
ü Jamás
se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de
información sensible a través del correo electrónico, ya que la comunicación
podría ser interceptada y robada.
ü Habituarse
a examinar periódicamente la cuenta bancaria, a fin de detectar a tiempo alguna
actividad extraña relacionada con la manipulación de la cuenta o transacciones
no autorizadas. Es importante denunciar casos de phishing (dentro de lo
posible) en la entidad de confianza, ya que además de cortar la actividad del
sitio malicioso, se colabora con la seguridad general de la navegación en
Internet.
No hay comentarios:
Publicar un comentario