P
PosteameloMuseo de Posts de Taringa!
Explorar Archivo
A

azazelbaal92

Usuario (Argentina)

Primer post: 13 dic 2014
2
Posts
0
Puntos totales
2
Comentarios
Los hackers han ayudado al progreso.
Los hackers han ayudado al progreso.
InfoporAnónimo12/13/2014

Chema Alonso: ‘Los hackers han ayudado al progreso de la sociedad’ No necesita presentación, Chema Alonso es uno de los hackers más reconocidos del mundo y, sin duda, una de las personas que mejor puede aconsejar a las empresas sobre las vulnerabilidades a las que se exponen en la Red, especialmente sobre los riesgos a los que se enfrentan en el ámbito de los ataques informáticos. Un hacker ilustre con un currículum extenso y brillante: CEO de Eleven Paths, doctor en Seguridad Informática, director del Máster de Seguridad de la Universidad Europea de Madrid, ponente habitual en conferencias de seguridad de renombre internacional y autor del influyente blog “Un Informático en el lado del mal”. P.- “Hay dos tipos de empresas: aquellas que han sido hackeadas y las que lo van a ser”, una afirmación tajante de Robert Mueller, director del FBI, ¿estás de acuerdo? Es difícil no estar de acuerdo con ella cuando sabemos que alcanzar el 100% de seguridad hoy en día es imposible. Siempre quedan vectores de ataque, aunque sea el de los seres humanos que utilizan los sistemas informáticos. El objetivo de los responsables de seguridad es mantener la empresa en unos niveles de seguridad aceptables y tener una buena gestión de los riesgos y las amenazas para poder garantizar la continuidad del negocio. P.- El 79% de los internautas españoles está preocupado por su privacidad en Internet, pero ¿estamos poniendo los medios adecuados para protegernos? La gente dice estar preocupada por la privacidad, pero la mayoría se lanza rápidamente a probar una nueva aplicación o un nuevo servicio en la web al que va a dar sus datos personales. Después, ya se preocupa de ver cuál es la política de seguridad cuando en los medios de comunicación algún hacker alerta de la inseguridad. Ahora Facebook ha endurecido las atribuciones que se da a los datos en su plataforma… ¿veremos al 79% de los usuarios dejando de usar Facebook? Lo dudo. P.- El tráfico malicioso y los ataques web se incrementan cada día a un ritmo vertiginoso, ¿qué estamos haciendo mal? Se ha creado una plataforma que permite socializar globalmente, comprar entradas para el cine desde el teléfono, enterarnos en tiempo real de lo que sucede en el otro lado del planeta o jugar en mundos virtuales con personas de cualquier rincón del globo terráqueo. Pensar que no hemos globalizado a “los malos” es no querer ver la realidad. Igual que desde tu equipo te puedes conectar a cualquier servidor del mundo para comprar algo en una tienda, cualquier “ciberdelincuente” del mundo puede conectarse a tu tienda e intentar robarte o conseguir tus claves para robar tu identidad. Hay que asumir el nuevo escenario y plantear cualquier nuevo servicio o uso que le demos a la red pensando en “los malos”. Seguridad desde el diseño y auditoría constante son los mejores ingredientes para una empresa. P.- El “cibercrimen” cuesta ya más de 320.000 millones de euros anuales en todo el mundo, ¿nos lo estamos tomando en serio en España? Los departamentos de seguridad de grandes empresas sí, pero esto aún no ha calado masivamente en las pymes y en muchos organismos conectados a la Red. Nos queda mucho por acelerar para llegar a unos niveles de seguridad aceptables en el nuevo escenario global. P.- La “ciberdelicuencia” evoluciona constantemente. ¿Cuáles son ahora mismo las técnicas más utilizadas por los hackers? Todas, hasta los detalles más sutiles. Una de las cosas que están empezando a solicitarnos las empresas es que apliquemos nuestro sistema de pentesting persistente Faast, para auditar a los proveedores que ganan contratos, ya que pueden ser susceptibles de ser usados como plataforma de ataque. Esto lo vimos en el caso de la RSA Conference, donde se consiguió atacar la web por medio del sistema de estadísticas de terceros que utilizaban. Los vectores son muchos hoy en día para atacar a una compañía. P.- ¿Cuál es la información más valiosa que un “ciberdelincuente” puede obtener de una empresa? De una empresa puede ser valioso todo. Hemos visto que algunos “ciberdelincuentes” siguen las cuentas de correo para robar las órdenes de pago, robos de información confidencial, pero también datos para extorsionar a directivos y conseguir el control de la compañía por medio de chantajes. Son muchos y variados. P.- ¿Qué ocurre si no gestionamos bien nuestras identidades digitales? El otro día, comprando en la frutería, la dependienta me preguntó cómo podría ayudarla. Le habían robado su identidad y le habían pedido créditos, además de contratar servicios a su nombre que luego no pagaron. Ahora no sabía cómo librarse de todo ello… El robo de identidad. P.- Seguimos teniendo un concepto muy equivocado del hacker, tú por ejemplo, luchas en el “lado de los buenos”. ¿Crees que es un trabajo infravalorado o empezamos a darle la importancia que merece? Los hackers son buenos siempre, aunque por desgracia muchos medios de comunicación han influido negativamente en la percepción que la gente tiene de ellos. La RAE ha definido al hacker como un pirata informático y nosotros hemos abierto una campaña de firmas para conseguir que cambien su definición. Recomiendo este vídeo en el que Chema Alonso explica en qué consiste realmente el mundo del hacking. Fin del post.

0
0
T
Técnica de Ataque en Contra de la Seguridad Informática
InfoporAnónimoFecha desconocida

Ingeniería Social, Técnica de Ataque Eficaz en Contra de la Seguridad Informática Muchas de las técnicas utilizadas para conseguir información de forma ilegal contemplan la utilización de mecanismos, herramientas, equipos, etc., y la mayoría de las veces quienes las ejecutan necesitan de sofisticados conocimientos técnicos y amplia experiencia para que los ataques sean efectivos, sin embargo, la llamada “ingeniería social” omite el dominio de cuestiones técnicas y se basa en el aprovechamiento del “eslabón más débil” dentro de la seguridad informática: el usuario. Mientras las nuevas tecnologías de comunicaciones han permitido que la brecha entre usuarios y máquinas sea cada vez menor, los complejos sistemas de comunicación también han desarrollado modelos que dan al usuario la capacidad de intercambiar información de una manera cada vez más rápida, fácil y sencilla. Ejemplos de esto es la evolución de los mensajes de correo electrónico, mensajeros instantáneos, redes sociales, mensajes de texto, etc., los cuales proporcionan una manera efectiva de intercambio de información. El uso y aprovechamiento de tecnologías de este tipo, conlleva que el usuario confíe en todo lo que hay detrás, es decir, si el usuario ve una interfaz amigable o “conocida”, normalmente supondría que el emisor de dicha información es precisamente quien la está publicando. En otras palabras, si ve un correo o cartel electrónico del banco X, supondrá que es efectivamente el banco X quien está emitiendo la información, o al menos es lo que la mayoría de los usuarios que no han sido informados de los riesgos y amenazas de seguridad informática tendrían en mente. Ingeniería social y las comunicaciones electrónicas Ahora, ¿cómo se relaciona la ingeniería social en todo esto? El saber que el punto más débil de toda una infraestructura de seguridad es el usuario, da pauta a que puedan omitirse todas las protecciones implementadas detrás de él. La ingeniería social se trata de “prácticas, técnicas especializadas o empíricas, acciones estudiadas, planeaciones estratégicas, etc., cuyo principal objetivo es manipular a una entidad, en este caso a las personas, para que directa o indirectamente realicen acciones que llevarán a conseguir un fin específico para quien las aplica”, en palabras sencillas, es la habilidad de engañar para obtener información de una persona o sistema. En base a lo anterior se puede entender o al menos imaginar gran cantidad de formas por las cuales pueden aplicarse técnicas de engaño en medios como el correo electrónico, mensajes de texto, páginas web, etc., de modo que los usuarios “ingenuos” proporcionen información o realicen acciones que deliberadamente han sido planeadas para lograr objetivos como robo de información, acceso a cuentas de usuario, etc. De hecho, en los últimos años han nacido términos como “phishing”, “hoax”, “shoulder surfing”, etc., los cuales se refieren a un conjunto de acciones aplicadas de ingeniería social. Abordando ejemplos específicos, el phishing consiste en suplantar a una entidad con la finalidad de obtener información tal como contraseñas, número de tarjetas de crédito, información personal de cuentas, etc., y el medio de propagación de esta amenaza se da principalmente por correo electrónico y portales web falsos. Generalmente tratan de dar la apariencia de la entidad que están suplantando, sin embargo, están diseñados de manera que el intercambio de información será entre el usuario y una entidad externa, así, ésta puede utilizar la información proporcionada por el usuario y utilizarla con los fines que se desee. Hay muchas referencias en donde asumen que el término de phishing proviene del concepto en que el engaño representa un “anzuelo”, y se está a la espera que el más ingenuo sea “pescado”. Realmente técnicas como el phishing no solamente pueden ser aplicados en comunicaciones electrónicas escritas como es el correo electrónico, también es utilizado en llamadas telefónicas, carteles electrónicos, etc., pero principalmente se ha dado una tendencia a suplantar portales bancarios porque ha demostrado que es una técnica eficiente para que los intrusos y usuarios maliciosos cometan delitos. Otra aplicación de la ingeniería social es la propagación de malware. Mediante engaños se hace creer a los usuarios por ejemplo que se visita algún sitio o se descarga una aplicación de utilidad, sin embargo, ésta puede estar modificada maliciosamente de modo que a parte de realizar las tareas para las cuales está diseñada, también se aprovecha de la confianza que ha adquirido del usuario y puede, de manera similar que el phishing, obtener información como contraseñas, información de cuentas de usuario, números de tarjetas de crédito, etc. Defensas, consideraciones y buenas prácticas Con todo lo anterior se puede formular la pregunta ¿existen defensas efectivas en contra de la ingeniería social? La respuesta es totalmente afirmativa, sin embargo los mecanismos a tomar en cuenta van más enfocados a una cultura informática y no tanto a una cuestión técnica. Se debe entender que una parte muy importante de la seguridad recae en el usuario. Tanto en las comunicaciones electrónicas como en la vida real, siempre se debe tener presente que hay cosas de las que debemos desconfiar, o manejar con particular cuidado. Hablando de amenazas específicas, podemos citar las siguientes recomendaciones que disminuirían de manera importante la posibilidad de ser víctimas de alguna técnica de ingeniería social aplicada: Si se recibe algún correo de remitentes desconocidos, debe tratarse con extremo cuidado, ya que no solamente puede tratarse de un correo con información falsa, sino que puede contener archivos maliciosos adjuntos. Como una medida de protección general, se debe saber que las entidades bancarias nunca solicitarán información confidencial por correo electrónico, o incluso cualquier tipo de información del usuario. Al utilizar servicios bancarios en línea, se deben verificar características como que se trata de una “pagina segura” (inicia con https), así como que la dirección del portal realmente pertenezca a la url de la entidad, por ejemplo, si el banco X ofrece servicios en línea, y con total seguridad se sabe que su dirección web es www.bancox.com, entonces cuidarse de direcciones aparentes. Una característica del phishing es que paginas auténticas pueden suplantarse con una simple similitud de las palabras, para el caso anterior podría ser que la página falsa fuera www.banncox.com. El simple hecho de que se parezca, hace que muchos usuarios desprevenidos caigan en este tipo de engaños que por muy triviales y sencillos que parezcan, siguen siendo muy efectivos. No enviar información de acceso personal por correo electrónico. El no aplicar este tipo de medidas a pesar de su sencillez, causa que más allá de los términos de seguridad informática, la ingeniería social represente un problema económico. Solo por citar un ejemplo, en el reino unido se alcanzó la cantidad de 52.5 millones de euros en 2008, más del doble 22.6 millones reportados en 2007 de casos de fraude en línea, imaginsen hoy día taringueros. En concreto, la ingeniería social realmente representa un problema serio de seguridad. No se necesita que el usuario sea un experto conocedor de seguridad, pero más allá de las consideraciones básicas se debe tener presente por lo menos cómo o en dónde están las amenazas, que muchas veces no serán virus, programas o equipos infectados, sino simplemente técnicas de engaño. Fin del post.

0
0
PosteameloArchivo Histórico de Taringa! (2004-2017). Preservando la inteligencia colectiva de la internet hispanohablante.

LEGAL

CONTACTO

18 de Septiembre 455, Casilla 52

Chillán, Región de Ñuble, Chile

Solo correo postal

© 2026 Posteamelo.com. No afiliado con Taringa! ni sus sucesores.

Contenido preservado con fines históricos y culturales.