Informática Aplicada a las Ciencias Sociales
Grado en Ciencias Políticas y Gestión Pública. Universidad de Murcia
um.es/docencia/barzana > IACCSS > Seguridad-en-informatica.html

Seguridad en Informática

Introducción

Se puede considerar la seguridad como una característica de cualquier sistema (aunque no sea informático) que indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. El concepto de seguridad en informática es utópico porque no existe un sistema 100 % seguro. Para que un sistema se pueda definir como seguro ha de poseer las siguientes características:
  • Integridad
  • Confidencialidad
  • Disponibilidad
A pesar de lo útil que es internet, hay peligros, con el solo hecho de estar conectado el usuario está expuesto a riesgos, sobre todo con la ausencia de cortafuegos (firewall) y el uso de programas no seguros, como por ejemplo los productos Microsoft (Windows, Word, Internet Explorer, Outlook, ..), de forma que es fundamental extremar las medidas de seguridad.

Análisis de riesgos

El activo más importante que se posee es la información, y en consecuencia deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los que se encuentra. Estas técnicas las brinda la seguridad lógica, que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo permiten el acceso a las personas autorizadas. Existe un dicho en la seguridad informática: "lo que no está permitido debe estar prohibido" y esto es lo que debe proporcionar la seguridad lógica.

Los objetivos para conseguirlo son:
  • Restringir el acceso (de personas de la organización y ajenas) a los programas y archivos.
  • Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no les correspondan (sin una supervisión adecuada).
  • Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
  • Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
  • Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
  • Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o programas empleados.
El riesgo más habitual, que se verá en este capítulo, es el spam o correo basura, se trata de correo no deseado que llega de emisores desconocidos o con identidad falsa, suelen tener por finalidad engañar a la gente o vender productos de dudosa procedencia (por ejemplo medicamentos falsos como si fuera Viagra) o utilidad. Aunque parezca increíble a veces en la lista de correo de la Universidad de Murcia, se dan casos de spam originado en miembros de esta universidad.

Otro problema que se considerará, son los virus, generalmente vienen como adjuntos a los correos, o en macros para usar en programas Microsoft, consisten en programas ejecutables diseñados para infiltrarse en el ordenador y causar daños de diversa índole. Algunos se reenvían de nuevo a los contactos de correo.

Los vídeos de Ciencia Express (Cátedra de Cultura Científica de la UPV/EHU) pretenden presentar de forma breve y divertida ideas fundamentales de la ciencia. En el siguiente se muestra uno que trata de los virus y vacunas.



También se da el robo de identidades, como por ejemplo claves de acceso a determinados sitios o claves de tarjetas bancarias. Un ejemplo de funcionamiento de estos troyanos se muestra en el vídeo:



Algunos tópicos erróneos acerca de la seguridad en informática:
  • Mi sistema no es importante para un hacker. Este tópico se basa en la idea de que no usar passwords seguros en una empresa no entraña riesgos pues, quién va a querer obtener información mía. Sin embargo, dado que los métodos de contagio se realizan a través de sistemas automáticos, entre ordenadores, no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la difusión de los virus.
  • Estoy protegido pues no abro archivos que no conozco. Es falso, pues existen múltiples formas de contagio, además hay programas (sobre todo los de Microsoft) que realizan acciones sin la autorización del usuario poniendo en riesgo los equipos.
  • Como tengo antivirus estoy protegido. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer.
  • Como dispongo de un firewall o cortafuegos no me contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos.

Guía rápida sobre el fraude en internet

HOAXES (burlas, engaños)

Suelen ser mensajes de solidaridad para ayudar a supuestos enfermos, falsas alertas de virus, métodos para hacerse millonario o ser beneficiario de milagros. Cualquier cadena de mensajes que circule a través de internet sirve para obtener direcciones de correo electrónico y posteriormente saturar las cuentas de correo mediante spam.

Es habitual que repitan el esquema de las antiguas cadenas de la suerte a través del correo postal, que auguraban calamidades si cortabas la cadena y prometían convertirte en millonario si la seguías. En algunas se decía "no sé si será cierto pero por las dudas yo lo reenvío". Frente a los temerosos, supersticiosos y magufos, yo rompo todas las cadenas que recibo y como es lógico no me ha sucedido ninguno de los males predichos.

Básicamente, se pueden dividir los hoaxes en las siguientes categorías:
  • Alertas sobre virus informáticos irresolubles
  • Mensajes de contenido religioso
  • Cadenas de solidaridad
  • Cadenas de la suerte
  • Leyendas urbanas
  • Métodos para hacerse millonario
  • Regalos de grandes empresas
  • Otros
  • Mensajes tomando el pelo a la gente que envía hoaxes
Hay otros que no nacen como hoaxes pero pueden ser considerados como tales:
  • Poemas y mensajes de amor y esperanza (suelen venir en presentaciones muy "pesadas")
  • Mensajes para unirte a programas de afiliados y sistemas piramidales.
  • Chistes e imágenes que circulan en cadena.
SPAM (correo electrónico no solicitado)

SPAM de lata y correo electrónico Mediante el correo electrónico se reciben mensajes publicitarios no solicitados. Esta práctica, no es ilegal en muchos países, ya que no hay leyes que la prohíban, pero perjudica a todos los usuarios de internet, a veces inclusive a quienes la realizan. La fórmula comercial es sencilla, y consiste en pagar al creador del correo basura o spammer más dinero cuanto más correos envíe. Los spam de productos farmacéuticos, como los anuncios de falsa Viagra o los métodos para alargar el pene, en algunos momentos han encabezado la clasificación de los correos no deseados con una cuota del 30 por ciento. Durante cada segundo que se tarda en leer estas líneas, se envían más de 2,5 millones de correos electrónicos. el 67 % de ellos son spam. Según la empresa Internet Live Stats y en niveles similares se mueven los analistas de Kaspersky. A continuación se representan datos actualizados al primer trimeste de 2017:

Porcentaje de correo spam por meses:

El spam disminuye


Países fuentes de spam:
Países emisores de spam


Países blanco de envíos maliciosos masivos:

Países receptores de spam en 2014


Proporción de ataques por país:

Países receptores de spam en 2014


Por lo general, las direcciones son robadas o compradas. Es habitual recibir ofertas de bases de datos con millones de direcciones de email por unos pocos dólares. Además aclaran, con gran "dignidad", que no copian ni venden software. También ponen, por ejemplo, en sus mensajes (que dicho sea de paso son spam porque no son solicitados) "no compre bases truchas, todas nuestras bases cuentan con direcciones reales y activas".

Aunque hay algunos spammers que te envían solamente un mensaje, también hay muchos que te bombardean todas las semanas con el mismo mensaje con archivos adjuntos, como por ejemplo, sobre la necesidad de filtrar el agua de la ducha con un análisis de varias páginas, que nadie lee. De todos modos, si cada persona que abre un sitio en internet te fuera a enviar un email, el servicio de correo electrónico sería inservible.

Tampoco es lógico que, por ejemplo, envíen un mensaje en formato HTML promocionando un nuevo servicio de distribución de vídeos, exclusivo para la ciudad de Lima (Perú), cuando quien lo recibe vive a miles de km de distancia. Esto, además de ofrecer una imagen negativa sobre la empresa que lo envía, muestra la poca utilidad de las bases de datos conseguidas ilegalmente.

Por otro lado los spammers invocan una supuesta ley por la cual el mensaje que están enviando no puede ser considerado spam si tiene una forma de ser eliminado en sus bases de datos. Lo cual es falso, esa ley no existe. Además, la mayoría de las veces si uno contesta el correo pidiendo ser eliminado de la lista, lo único que hace es confirmar que la dirección existe. Por lo tanto, es conveniente no responder nunca a un mensaje no solicitado.

Lo mejor es aplicar filtros o reglas de clasificación de mensajes para evitar recibirlos de esas direcciones. Un programa para el entorno Windows, gratuito y muy bueno, es K9. Otra opción, es quejarse al postmaster del proveedor de de los servicios (ISP) de quien envía el spam.

Lo más peligroso de muchos correos no solicitados, es que pueden incluir archivos con virus o troyanos, y ser activados ya sea de forma involuntaria al intentar leerlos o incluso si se tiene un programa de correo como Outlook (de Microsoft) que entonces se activan automáticamente.

Es imprescindible el tener siempre un programa antivirus y otro que detecte los troyanos, uno de los más completos y gratuito es Ad-Aware (documentación sobre puesta en marcha y funcionamiento disponible en español), que se puede descargar de Lavasoft. Se ha de tener mucho cuidado con este tipo de programas, pues algunos eliminan los troyanos, pero ellos son otros troyanos.

Por ejemplo, un troyano, Whiter.F, está diseñado para eliminar todos los archivos del disco duro. Se propaga mediante correo electrónico, redes P2P, canales de IRC o transferencias FTP. EL usuario ve un mensaje que dice "cometiste un acto de pirateria, te lo mereces" y seguidamente borra los ficheros del disco duro.

La proliferación de filtros y virus se esta convirtiendo en un problema para los spammers profesionales. Resulta que muchos proveedores de internet impiden que los mensajes comerciales no solicitados lleguen a los buzones de los usuarios. Por supuesto que no están dispuestos a ver como ese millonario negocio se derrumba y ahora han centrado sus esfuerzos en acosar a los usuarios de otras aplicaciones.

En noviembre de 2008 en EE.UU. las autoridades procedieron al cierre de la empresa Mc Colo Corp y como consecuencia el tráfico mundial de spam cayó hasta menos de 10 mensajes por segundo, aproximadamente tres veces menos que los días previos, lo cual indica que son pocas las empresas que se dedican al spam.

PHISHING

Los ataques phishing emplean mecanismos electrónicos, como puede ser un mensaje de correo o una página web, para lograr que el usuario revele información sensible, que va desde datos personales hasta claves de acceso a servicios, como por ejemplo de una cuenta bancaria o de una tarjeta.

Los ataques de phishing son posibles por la combinación de unos mecanismos débiles de protección de acceso que generalmente no son otra cosa que una simple combinación de usuario y contraseña, y la tendencia innata de las personas a revelar cualquier información, sin cuestionar la seguridad.

El método utilizado con más frecuencia en los casos de phishing masivo consiste en el envío de mensajes que simulan ser enviados por alguien sobre quien en teoría confiamos (habitualmente bancos) y donde se nos comunica que, por cualquier circunstancia, es preciso revelar nuestra contraseña de usuario o bien "verificar" nuestros datos rellenando un formulario. La realidad muestra que hay personas que actúan de buena fe y se creen cualquier petición de datos privados, aunque se invoquen razones absurdas.

SMISHING

SMiShing es como se denomina a un nuevo tipo de delito usando técnicas de ingeniería social empleado mensajes de texto dirigidos a los usuarios de telefonía móvil celular. Las víctimas reciben mensajes de texto como por ejemplo: "Estamos confirmando que se ha dado de alta para un servicio de citas. Se le cobrarán 2 euros diarios a menos que cancele su petición: www.?????.com", cuando visitamos la dirección web, las víctimas son incitados o incluso forzados a descargar algún programa que en su mayoría suele ser un troyano y si operamos bajo Windows es fácil que se instale en el ordenador. Otras veces el mensaje señala un número para anular el servicio y una grabación pedirá datos personales, como un número de cuenta bancaria o tarjeta de crédito. Hay otros que avisan de que hemos recibido una foto, premio, vídeo, tarjeta de felicitación, etc, con el mismo resultado final de ser víctima de un fraude.

SITIOS FALSOS DE RECARGAS
  • Es una variante del phishing que solo busca un propósito, conseguir datos bancarios. Detrás de ofertas prometiendo recargas más económicas (habitualmente de telefonía móvil celular) se puede esconder una estafa, que lo único que busca es conseguir información de la víctima.
  • Este tipo de fraude puede ser algunas veces mas peligroso que el tradicional phishing, el ataque no es directo, se encuentra en los anuncios de los enlaces patrocinadores de buscadores de internet.
OFERTA FALSA DE TRABAJO SCAM O PHISHING LABORAL / MULERO

SCAM

El scam es captar personas por medio de correos, anuncios en web de trabajo, chats, redes sociales, etc... donde empresas ficticias ofrecen trabajar cómodamente desde casa y con buenos beneficios. Sin saberlo, la víctima esta blanqueando dinero obtenido por medio del phishing (generalmente procedente de estafas bancarias).
  • Siempre piden que se disponga o abra una cuenta bancaria.
  • Su trabajo consiste en recibir transferencias a su cuenta bancaria, retirar este dinero para posteriormente enviarlo al extranjero por medio de empresas remesadoras tales como Western Union o Money Gram.
  • Frases para captar a víctimas:
    • ¿Esta en paro y tiene ganas de trabajar?
      ¿Quiere obtener un dinero extra?
      ¿Quiere trabajar cómodamente desde casa?
      ¿Quiere tener beneficios de forma rápida?.
  • Mandan un falso contrato para hacer más creíble la oferta.
Una vez obtenidos los datos de la víctima, si no colabora será amenazada.

PHISHING-CAR - OFERTAS FALSAS DE VEHÍCULOS
El phishing-car consiste en la aptación de compradores de coches a precio muy bajo, la venta nunca se efectúa, esta persona realiza un pago como señal, se queda sin dinero y por supuesto sin coche. Se realiza mediante ofertas de vehículos lujosos, incluso tienen web con nombre de dominios muy similares a empresas de prestigio que se dedican a la venta de vehículos de ocasión. Todos los fraudes tienen algo en común:
  • El pago se realiza por medio de empresas de envío de dinero a otros países (Western Union, Money Gram, ...).
  • El vendedor oferta la entrega a domicilio.
  • En muchos casos el vehículo que venden esta fuera del país, de manera que solo se puede ver en fotos.
  • Piden primero el 30% o el 40% del precio ofertado como primera señal.
  • Captan a las víctimas por medio de anuncios en web de venta de coches o de segunda mano o mediante correos electrónicos.
  • Muchas veces el vendedor dice que es un español que vive en Gran Bretaña y por motivos laborales tiene que cambiar de coche por que se conduce por la izquierda y su coche al estar matriculado en España el volante esta al lado contrario y no se adapta, por este motivo lo vende de forma muy económica, enseñan un coche matriculado en España.
  • La mayoría de los estafados enviaron el dinero a Reino Unido.
PHARMING

Es una técnica para llevar a cabo estafas online, aunque en muchos medios comentan que no es necesario usar ingeniería social esta definición no es totalmente cierta ya que es necesario que nuestro ordenador o el remoto "sea manipulado". El pharming consiste en manipular las direcciones DNS que utiliza el usuario, con el objetivo de engañarle y conseguir que las páginas que visite el usuario no sean realmente originales aunque su aspecto sea idéntico. Resumiendo desvía el tráfico de internet de un sitio web hacia otro de aspecto similar, con la finalidad de engañar a los usuarios para obtener nombres y contraseñas de acceso, que se registrarán en la base de datos del sitio falso que fue creado antes y donde simula la web que suplantan.
  • Hay gusanos y troyanos que realizan esta función.
  • La víctima se entera cuando detecta un movimiento extraño en sus cuentas bancarias.
LOTERÍAS FALSAS

Falso premio de loterías, el usuario recibe un correo electrónico donde le notifican que tiene un premio de lotería, a quien responde a este correo le pedirán seguidamente los datos bancarios para un falso ingreso del premio.

En otros casos se le solicita un parte del premio que tendrá que enviarlo a un país para poder cobrar el premio completo. En todos los casos el premio es falso.

Botnet

Una botnet, o red robot, consiste en un número determinado de ordenadores que, sin el conocimiento de sus propietarios, han sido infectados por código malicioso y están siendo manipulados para enviar programas tipo spam y spyware, hacia otros equipos en internet, o provocar ataques masivos contra servidores, llegando a saturarlos. Tales ordenadores, llamados bot en el argot informático, operan bajo el control de una sola persona (o un pequeño grupo de ellos) conocido como botmasteri>.

Una vez que el botmaster ha creado la botnet, los ataques pueden ocurrir de diferentes formas: denegación de servicio distribuido (DDoS, Distributed Denial of Service), spam, keyloggers que son programas espías que capturan la actividad del teclado de los usuarios o ataques remotos.

Una de las principales estrategias de captación de atención de esta amenaza se basa en la ingeniería social. Por ejemplo, a través del envío de un email cuyo título indica: "Check out this picture! (¡Mira esta foto!)". Así, en un archivo adjunto infectado que simula ser una imagen .jpg, los hackers pueden inspeccionar en búsqueda de vulnerabilidades dentro del sistema operativo o navegador. En cuestión de segundos, la red puede quedar infectada.

Los síntomas que puede detectar el usuario para determinar si un equipo ha sido infectado son:
  • Lentitud anormal en el sistema.
  • Aumento en el consumo de ancho de banda.
  • Mensajes emergentes extraños.
SEXTING

Sexting (contracción de sex y texting) es un anglicismo para referirse al envío de contenidos eróticos o pornográficos a través de dispositivos móviles. En su origen (en países anglosajones, en el año 2005) hacía referencia al envío de mensajes de texto (SMS) de naturaleza sexual. Es una práctica común entre jóvenes, y cada vez más entre adolescentes. También se usa en español la palabra sexteo, como sustantivo, y sextear como verbo.

Engaño de identidad por internet. Humor, lobo feroz y caperucita roja
Se ha señalado al sexting como causante de ciertas consecuencias imprevistas y graves. Se ha relacionado con situaciones tan embarazosas, tras haberse pasado fotos a terceros, que han conducido al suicidio del remitente original. Asimismo, ha sido señalada como una actividad que puede exponer a los menores de edad al grooming (un adulto se hace pasar por adolescente, o niño en peores casos, y comienza a entablar conversaciones con diferentes jóvenes. A partir del engaño, se entabla una relación de amistad entre víctima y victimario, el último procede a hacer propuestas sexuales) y al acoso escolar (cyberbullying), como medio de presión y ridiculización contra la persona fotografiada.

Es un delito, los adolescentes deben saber que en España, EE.UU.y otros países, el envío de imágenes de menores desnudos o con contenido sexual se considera pornografía infantil, un delito grave. Y se considera que un adolescente menor de edad está cometiendo ese delito si recibe o envía, incluso aunque sean de sí mismo, imágenes sexualmente explícitas.



RASOMWARE

Se trata de un tipo de programas maliciosos (malware) que no busca el robo de información bancaria o personal, sino algo más sencillo e igualmente dañino, el secuestro de datos. Cuando un ordenador es infectado por algún ransomware, todos o parte de los archivos del equipo son encriptados por el atacante, de modo que para recuperarlos se ha de pagar una cantidad determinada, normalmente mediante portales en la Deep web) (Internet Profunda) y mediante bitcoins u otras monedas criptográficas. Los precios no suelen ser elevados, aunque se conocen casos en los que se han pagado importes superiores a los 20000 euros.

Policia y secuestro de ordenadores

Enlaces de ampliación:

Nuevas amenazas a la seguridad en la Web 2.0
http://www.um.es/docencia/barzana/DIVULGACION/INFORMATICA/Amenazas-seguridad-web20.html

Trece delitos que se pueden cometer con un simple post
http://www.inkilino.com/trece-delitos-que-se-pueden-cometer-con-un-simple-post.html

EDUTEKA. Ciudadanía digital
hhttp://eduteka.icesi.edu.co/articulos/CiudadaniaDigital

Intranet y Extranet. Carlos Serrano. Universidad de Zaragoza
http://ciberconta.unizar.es/LECCION/INTRANET/INICIO.HTML

La Sociedad de la Información
http://campus-oei.org/revistactsi/numero1/bustamante.htm

Las leyes fundamentales de la estupidez humana. Carlo M. Cipolla.
http://artesaniaenred.blogspot.com/2005/12/carlo-m-cipolla-estupidez-humana.html

Los pioneros de los nombres de dominio .es
http://www.domisfera.com/los-pioneros-de-los-nombres-de-dominio-es/

b2b.blog

Salir el primero en Google pagando no es tan buena idea.
http://www.jesusencinar.com/2007/05/salir_el_primer.html

Tiburones de la arena (hoax)
http://loscurris.blogspot.com/2007/01/tiburones-de-la-arena.html

Organizaciones:

AECOC
https://www.aecoc.es/

Confianza Online
https://www.confianzaonline.es

LSSI. Ministerio de Industria, Comercio y Turismo. España.
http://www.lssi.es/

Actualidad sobre seguridad::

Criptored
http://www.criptored.upm.es/
http://www.segu-info.com.ar/

Shellsecurity
http://www.shellsec.net/

Hispasec
https://hispasec.com/es/

Spamdexing
http://es.wikipedia.org/wiki/Spamdexing

Organizaciones:

Asociación de ingenieros e ingenieros técnicos en informática
http://ali.es/

incibe. Avisos de seguridad
https://www.incibe.es/protege-tu-empresa/avisos-seguridad

CERT Coordination Center
http://www.cert.org/

Espanix
http://www.espanix.net

Red Iris
http://www.rediris.es/

Servicio de informática de la Universidad de Murcia. ATICA
http://www.um.es/atica/


Página de inicio