Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Seguridad en la Redes Sociales

Seguridad en la Redes Sociales

Una introducción al mundo de las redes sociales y cuales son los peligros de los que debemos cuidarnos.

Antonio Gálvez

November 19, 2012
Tweet

More Decks by Antonio Gálvez

Other Decks in Education

Transcript

  1. ¿COSEIN? Es una comunidad de Seguridad Informática Es un foro

    Cuenta con profesionales multidisciplinarios Es una radio Online
  2. Yo Antonio Gálvez Horna  Ing. de Sistemas y Lic.

    en Educación  Especialista en Seguridad Informática  Especialista en Networking  +15 años de experiencia  TUX I <3 U …y otras cosas http://antoniogalvezhorna.blogspot.com
  3. Nuestra Agenda Términos y Definiciones Introducción a la Seguridad Informática

    Redes Sociales Modelos de Ataque Modelos de Defensa Conclusiones
  4. Terminología  Adware Software, generalmente no deseado, que facilita el

    envío de contenido publicitario a un equipo.  Amenaza Informática Toda circunstancia, evento o persona que tiene el potencial de causar daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o negación de servicio (DoS).  Aplicaciones engañosas Programas que intentan engañar a los usuarios informáticos para que emprendan nuevas acciones encaminadas a causar la descarga de malware o para que los usuarios divulguen información personal confidencial.  Bot Es una computadora individual infectada con malware , la cual forma parte de una botnet.
  5. Terminología  Botnet Conjunto de equipos bajo el control de

    un bot maestro, a través de un canal de mando y control. Estos equipos se utilizan para actividades malintencionadas, como el envío de spam y ataques DoS. Las botnet se crean al infectar las computadoras con malware. Se ignoran que una máquina forma parte de una botnet, a menos que tengan software de seguridad que les informe acerca de la infección.  Caballo de Troya (Troyano) Código malicioso que parece ser algo que no es, y cuando se activan causa pérdida, incluso robo de datos. Por lo general, también tienen un componente de puerta trasera, que le permite al atacante descargar amenazas adicionales en un equipo infectado.  Crimeware Software que realiza acciones ilegales no previstas por un usuario que ejecuta el software. Estas acciones buscan producir beneficios económicos al distribuidor del software.
  6. Terminología  Ciberdelito Es un delito que se comete usando

    una computadora, red o hardware. El dispositivo puede ser el agente, el facilitador o el objeto del delito.  Encriptación Es un método de cifrado o codificación de datos para evitar que los usuarios no autorizados lean o manipulen los datos.  Exploits o Programas intrusos Los programas intrusos son técnicas que aprovechan las vulnerabilidades del software y que pueden utilizarse para evadir la seguridad o atacar un equipo en la red.  Filtración de datos Sucede cuando se compromete un sistema, exponiendo la información a un entorno no confiable. Las filtraciones de datos a menudo son el resultado de ataques maliciosos, que tratan de adquirir información confidencial.
  7. Terminología  Firewall Es un dispositivo o una aplicación de

    seguridad diseñada para bloquear las conexiones en determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles.  Ingeniería Social Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen una acción que normalmente producirá consecuencias negativas. Los ataques de phishing con frecuencia aprovechan las tácticas de ingeniería social.
  8. Terminología  Malware Es la descripción general de un programa

    informático que tiene efectos no deseados o maliciosos. Incluye virus, gusanos, troyanos y puertas traseras. El malware a menudo utiliza herramientas de comunicación populares, como el correo electrónico y la mensajería instantánea, y medios magnéticos extraíbles, como dispositivos USB, para difundirse.  Mecanismo de propagación Un mecanismo de propagación es el método que utiliza una amenaza para infectar un sistema.
  9. Terminología  Pharming Método de ataque que tiene como objetivo

    redirigir el tráfico de un sitio Web a otro sitio falso, generalmente diseñado para imitar el sitio legítimo. El objetivo es que los usuarios permanezcan ignorantes del redireccionamiento e ingresen información personal, como la información bancaria en línea, en el sitio fraudulento.  Phishing Tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).
  10. Terminología  Seguridad basada en la reputación Es una estrategia

    de identificación de amenazas que clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad de los archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego, se combinan los atributos para determinar la reputación de seguridad de un archivo. Son utilizadas después por los usuarios informáticos para determinar mejor lo que es seguro y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser parte de una estrategia de seguridad estándar de múltiples niveles.
  11. Terminología  Spam Conocido como correo basura, el spam es

    correo electrónico que involucra mensajes casi idénticos enviados a numerosos destinatarios, es correo electrónico comercial no solicitado (UCE). El malware se utiliza a menudo para propagar mensajes de spam al infectar un equipo, buscar direcciones de correo electrónico para luego reutilizarlas.  Spyware Paquete de software que realiza un seguimiento y envía información de identificación personal o información confidencial a otras personas. La información de identificación personal es la información que puede atribuirse a una persona específica, como un nombre completo. Los receptores de esta información pueden ser sistemas o partes remotas con acceso local.  Toolkit Paquete de software diseñado para ayudar a los crackers a crear y propagar códigos maliciosos.
  12. Terminología  Vector de ataque Un vector de ataque es

    el método que utiliza una amenaza para atacar un sistema.  Vulnerabilidad Estado viciado en un sistema informático (o conjunto de sistemas) que afecta las propiedades de confidencialidad, integridad y disponibilidad (CIA) de los sistemas. Las vulnerabilidades pueden hacer lo siguiente:  Permitir que un atacante ejecute comandos como otro usuario  Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas de acceso a los datos  Permitir a un atacante hacerse pasar por otra entidad  Permitir a un atacante realizar una negación de servicio
  13. Seguridad Informática  Disciplina responsable de proteger y resguardar la

    información gestionada, administrada y operada en dispositivos tales como:  Estaciones de trabajo.  Portátiles.  PDA’s y/o Tabletas  Equipos de comunicación.  Por ende su objetivo es proteger los sistemas informáticos frente a los riesgos a los que están expuestos.
  14. Seguridad de la Información  Es la disciplina responsable de

    proteger y resguardar la información gestionada, administrada y operada en una organización, independiente de su nivel de criticidad así ésta se encuentra de manera:  Electrónica.  Impresa.  Sonora. (grabaciones de audio o hablada).  Por ende, la correcta aplicación de la seguridad de la Información es responsabilidad del nivel más alto de dirección y liderazgo que se pueda identificar en una organización.
  15. Definición Según la norma ISO 27001:2005  La seguridad de

    la información se define como la preservación de las siguientes características:  Confidencialidad: se garantiza que la información sea accesible solo a aquellas personas autorizadas a tener acceso a ella.  Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.  Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.  Esta se logra implementando un conjunto adecuado de controles, que abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software, para garantizar que se logren los objetivos específicos de seguridad de la Información.
  16. Algunos ejemplos De cuando la seguridad no necesariamente depende del

    componente tecnológico:  Cuando estuve en Chiclayo me conecte a la red del hotel, al llegar a la oficina me conecte a la red empresarial sin saber que tenía un rootkit.  Pues el me llamo y se escuchaba con prisa yo le cambie las credenciales de acceso y se las dí …yo pensé que era el del Banco!!!  Los consultores al salir de nuestras oficinas hablaron de todas nuestras vulnerabilidades mientras se dirigían al hotel. El taxista era un ingeniero desempleado.  Estaba por fuera de la oficina y necesitaba información urgente entonces compartí mis credenciales de acceso.
  17. Gestión de la Información en el Espacio Todos los productos

    existentes en el mercado de la seguridad (sea informática o de la información) cumplen con al menos una de las tres funciones siguientes:  Disuadir / Prevenir: Aumentan el nivel de seguridad evitando que los atacantes tengan éxito. Intenta disuadir a los individuos de violar intencionadamente las políticas o lineamientos.  Detectar: Control que se encarga de velar porque todo esté en orden y de alertar cuando se produce una anomalía, normalmente debida a un intruso.  Recuperar: Control que garantiza que ante un incidente de seguridad, causado o fortuito, se pueda recuperar toda la información y retornar la normalidad en el tiempo esperado.
  18. Niveles de Clasificación de la Información La información en las

    organizaciones indiferente de su estructura organizacional, sector de desarrollo, tamaño o enfoque requiere ser clasificada en diferentes niveles para que su gestión se adecue a sus necesidades particulares.  Un posible esquema de clasificación puede ser el siguiente:  Información crítica: indispensable para asegurar el desarrollo de la organización. Sin esta la compañía perdería su razón de ser (secretos industriales).  Información valiosa: considerada un activo corporativo que representa gran valor en si mismo (desarrollos e investigaciones).  Información sensitiva: considerada como activo corporativo al cual se debe dar acceso de acuerdo al rol o función establecido en la estructura organizacional.  Información no clasificada: es aquella que a la organización no le afecta que se conozca la existencia de la misma.
  19. ¿Nuevos riesgos con las Redes Sociales? Para empezar, conviene señalar

    que las Redes Sociales no son las culpables. Se trata simplemente de una evolución de Internet donde confluyen una serie de servicios que ya venían existiendo, como la mensajería instantánea y la edición de blogs .
  20. ¿Nuevos riesgos con las Redes Sociales?  Cierto es que

    hay otras opciones nuevas de alto valor añadido y potencia, pero en esencia estamos hablando de datos personales, de contacto con otras personas y de edición de contenidos. Nada nuevo antes de las Redes Sociales. Internet no es sino una gran Red Social y éstas subconjuntos a medida de la misma.
  21.  Por su finalidad, estas plataformas invitan a la participación

    activa, a conocer otras personas (formando la Red), a “subir” contenidos (cada vez más audiovisuales) tanto propios como ajenos, que además van trazando los perfiles e intereses de cada cual.  … pero establecer los límites es un largo debate y volveríamos a usar la controvertida palabra “autorregulación”.
  22. ¿Afectan las redes sociales a la seguridad de la información?

    Podemos decir que sí han intensificado las probabilidades de riesgo a tenor de las características que les son comunes a la mayoría  Pérdida del criterio de referencia.  Exceso de operatividad sin intervención directa y consciente del usuario.  Funciones demasiado potentes y de efectos desconocidos a priori.  Concentran el universo de relaciones de manera intensiva.  Guardan, explícitamente o no, información muy precisa.  Presentan al usuario las opciones de manera demasiado interesada, lo que suele implicar pérdida de privacidad.
  23. Navega segur@ en Internet 5 reglas de seguridad  Protege

    tu información personal: mantén tu nombre y apellidos, dirección postal y electrónica, números de teléfono, fotos y nombre de tu escuela en secreto. Nadie te podrá engañar, robar, molestar o ponerte en peligro.  Deja tus amistades en el terreno de los píxeles. Nunca quedes en la vida real con gente que sólo conoces de Internet. Si alguien te lo propone, di "no gracias".  No tengas miedo de contar lo que pasa.  Olvida la cámara. En cuanto "subes" una foto tuya a Internet pierdes su control para siempre. Nunca podrás recuperarla ni borrarla. Cualquiera podrá alterarla y usarla para molestarte. Piénsalo bien antes de poner una foto tuya en la Red.  Sé un navegante inteligente. Si te conectas de sitios públicos nunca accedas a tu información personal.
  24. Ingeniería Social  Conseguir información confidencial manipulando usuarios legítimos y

    cercanos a un sistema  No se aprovechan vulnerabilidades del sistema, se aprovecha la confianza de las personas.  Cualquier método que permita engañar a los usuarios y llevarlos a revelar información es válido
  25. Enumeración Pasiva DESCUBRIENDO REDES  Se trata de obtener la

    información que sea posible sobre la topología de red de la víctima, utilizando métodos de búsqueda pasivos en sitios de internet públicos: (Passive Recon - Firefox) Sitios Publicos:  http://www.sunat.gob.pe  http://nic.pe  http://pipl.com/  http://www.123people.com/  http://whoozy.es/  http://whostalkin.com/  http://namechk.com/