Porque se debe tener cautela al momento de utilizar y compartir informacin en los sitios web

A diario nos vemos expuestos a problemas de seguridad y es igual en los sitios web, cuando realizamos nuestras labores de estudio o trabajo. En este sentido, es recomendable evitar fuga de informacin sensible tanto de nuestras labores como para cada uno de nosotros. Para proteger nuestra privacidad podemos adoptar algunas medidas simples pero tiles: En la jornada laboral o de estudio: No dejar documentos sensibles en el escritorio de las pantallas, pizarras, etc... Bloquear el acceso a nuestra informacin con claves, encriptando y dems. No escribir password ni otros datos sensibles en lugares que queden a la vista. Dejar bajo llave o en lugares seguros equipos y accesorios que contengan datos privados. Tener precaucin con la informacin que se muestra en la pantalla. Por ningn motivo, acceder o instalar el software sensible en un computador de un cibercaf. Cuando se acceda a sistemas por el Web, escribir siempre la URL en el navegador. No hacer clic en enlaces de correos u otros medios. Nunca seleccione la opcin recordar contraseas en ningn sistema o sitio Web. Borre el cache del navegador cuando termine su sesin Web, y cierre todas las ventanas del mismo que an estn abiertas. Evite usar informacin sensible en un computador utilizado frecuentemente por nios. Si por razones de fuerza mayor, requiere acceder desde un computador no confiable, desinstale y borre cuando termine su sesin. No utilizar el acceso en un computador que haga NAT (traduccin de direcciones) o de router para dar acceso a otros computadores a Internet. Con esto, estar dando la posibilidad a todos los otros computadores que estn en dicha red (NAT) de acceder a los mismos sistemas que usted est accediendo. Evitar cualquier otro mtodo a travs del cual terceros puedan enterarse de sus credenciales, de lo que hace u obtener acceso a los sistemas que usted accede.

Tambin es importante conocer y aplicar la normatividad en las leyes vigentes de Propiedad Intelectual, Delitos Informticos y Proteccin de la vida privada. Los Correos Masivos son transmisores de virus y dems como tambin ser bombardeados con correos electrnicos no deseados. El exceso de spam no slo es molesto, sino comunicacionalmente ineficaz y daino. Por eso tener en cuenta las siguientes buenas prcticas a la hora de enviar correos electrnicos masivos: Use un remitente y asunto claros. D la posibilidad de que el destinatario sepa de qu se trata la informacin sin abrir el correo. Segmente a sus destinatarios. No enve a todos, informacin dirigida a unos pocos. No abuse de signos y adjetivos. Evite utilizar signos de exclamacin y adjetivos como importante o urgente. Es el destinatario y no el emisor quien debe evaluar y calificar el contenido. Sea sinttico. Las personas estn sometidas a muchos estmulos informativos. Si su texto es muy largo, es probable que no lo lean o lo abandonen a medio camino. Revise cuidadosamente la ortografa y redaccin del mensaje. Existen herramientas en Internet para apoyar en estas reas: www.rae.es Sitio de la Real Academia Espaola de la Lengua. http://www.uc.cl/vcap/manualtextos/ Manual de estilo para textos No abuse de la herramienta. Repetir un mismo mensaje ms de una vez o enviar constantemente mensajes desde una misma unidad puede hacer que los destinatarios pierdan la confianza en usted como remitente. Sea selectivo Es probable que la respuesta a su envo masivo sea ms baja que sus expectativas. Usted puede considerar que es el medio ms eficiente ya que llega directo a la casilla de sus receptores; sin embargo stos no siempre leen lo enviado. Por eso, en estos tiempos de sobrecarga de informacin, en muchas ocasiones es necesario utilizar otros canales adems del correo masivo para que los mensajes sean recibidos. Al sistema de red inalmbrica por su naturaleza de acceso pblico es inseguro por esto como usuarios se deben adscribir condiciones y cuidados para usarla. El siguiente es un caso real, aqu se los comparto: Son las 09:34 y Juan recibe un mail de su banco, en el cual le avisan que hubo algn problema y que ya fue resuelto. Juan se sorprende porque efectivamente la semana pasada hubo un momento en que no pudo entrar a la pgina web. El mensaje le pide a Juan ir al sitio web del

banco e ingresar sus datos y contrasea. Juan hace clic en el link que aparece en el mensaje. Se abre el navegador con una pgina y ve que todo est como siempre, por lo tanto, procede a ingresar sus datos y la contrasea. Horas ms tarde, vuelve a ingresar y se da cuenta de que ya no tiene un peso en su cuenta corriente. Acaba de ser engaado. Esta historia se repite cada semana, cada da y siempre cobra vctimas. En una campaa de este tipo, con ms de 10 mil correos enviados, la posibilidad de que al menos una persona siga las instrucciones es altsima. Detrs de esto hay personas. Esto, ms que por un hacker, es llevado a cabo por el mismo tipo de personas que cometen cualquier fraude. Es algo que se hace desde las ms remotas pocas. El engao, el timo, etc. Todo fraude virtual en la gran mayora son realizados con el fin de obtener acceso a cuentas y robar dinero y/o informacin. En otros casos, simplemente se usan las cuentas con el fin de enviar SPAM. Las contraseas o claves hoy en da son casi equivalentes a las llaves de la casa. Uno no va por la vida repartiendo copias de las llaves a cualquier persona en la calle. En Internet es igual. Debemos resguardar las contraseas como si fueran las llaves de nuestra casa.

Las organizaciones que disponen servicios basados en Internet, no piden las contraseas a los usuarios. De hecho, la gran mayora tampoco las almacena, lo cual impide recuperarlas. Es por eso que cuando se olvida la contrasea suelen existir mecanismos para crear una nueva, pero no para recuperar la anterior, dado que es altamente inseguro el trnsito de la contrasea en texto claro por medios como Internet. Los sitios web que hacen esto no han sido bien diseados. Ninguna organizacin pide contraseas por mail o por telfono. Ni siquiera personalmente. Las contraseas slo deben ser usadas para autentificarse. Debemos ser muy celosos con este dato, pues al momento de ocurrir problemas derivados de este tipo de descuidos, algunas organizaciones suelen asociar completamente la responsabilidad al usuario, dejndolo casi a la deriva. La ingeniera social consiste en obtener informacin que usualmente la gente no entregara. Por ejemplo, un primer intento podra ser ir a la calle y pedir la contrasea bancaria al primer transente que veamos. Probablemente, no lograremos nada. Sin embargo, si en lugar de esto llamamos por telfono simulando ser un ejecutivo, probablemente lograremos algo. En Internet se hace lo mismo. Hoy, ms que ataques sofisticados desde el punto de vista tcnico, existe una sofisticacin en la ingeniera social. Cmo evitar caer en un fraude?

Cada da, mientras hay personas trabajando en hacer impenetrables los sistemas de seguridad, hay otras que intentan vulnerarlos. Debemos tener esto muy presente, dado que hoy los negocios se hacen sobre la red. El inters va a existir porque hay dinero de por medio. Aun as, podemos tomar algunas medidas de precaucin como las siguientes: Nunca entregar la contrasea a otras personas por ningn medio. Es personal. Cuando quieras entrar a un sitio web en el que debas ingresar tu contrasea, hazlo escribiendo directamente la direccin (url) en el navegador. No hagas clic en imgenes o enlaces que aparezcan en correos electrnicos, otros sitios web o incluso en el mismo navegador. Verifica que la direccin que aparece en el navegador, despus de presionar la tecla Enter, es la que ingresaste. No ingreses a tus servicios web desde cibercafs. Son ambientes muy contaminados e inseguros. Evita ingresar desde otros computadores, si no tienes certeza de que estn sanos. Mantn tu antivirus actualizado; de lo contrario, es como no tenerlo. Utiliza ms de un navegador. Si usas Windows, ten en consideracin que Internet Explorer: es el navegador ms usado y blanco masivo de ataques de seguridad. La gran mayora de sitios web que requieren uso de contraseas, utilizan HTTPS, un protocolo que permite que la comunicacin entre el navegador y el servidor viaje encriptada. Esto evita que terceros puedan capturar datos en el camino. No escribas tu contrasea en papeles o lugares visible. Utiliza contraseas fuertes, que incluyan nmeros, letras y ojal caracteres de puntuacin. Cambia tu contrasea con frecuencia. Si te conectas por medio de WiFi debes navegar en forma segura para acceder a tus servicios web. Cuando se dice que la contrasea no es guardada en un sitio web, lo que en realidad se almacena es una parte de tu contrasea, llamado hash, que corresponde al resultado de la aplicacin de una funcin matemtica sobre la contrasea original. Esta funcin es unidireccional, es decir, no se puede obtener la contrasea teniendo el texto del hash, slo se puede obtener el hash aplicando la funcin sobre la misma contrasea, en consecuencia nadie puede saber la clave de otro a menos que explcitamente su dueo la de o alguien la capture al ser transmitida por un medio inseguro (no encriptado). El robo de sesiones es tambin otro caso para tener precaucin: la Direccin de Informtica est al tanto de la problemtica del robo de sesiones de sitios web en la actualidad ya que es un problema presente globalmente en Internet y su causa principal es la omisin de medidas de

seguridad bsicas en la arquitectura de los sitios web afectados. Cabe aclarar que la responsabilidad principal de evitar estas vulnerabilidades es de quienes operan estos sitios web. Con lo anterior, se evitar situaciones como esta en la red inalmbrica UC, sin embargo, seguir ocurriendo afuera en otras redes, por lo tanto somos las personas las que debemos tomar medidas de precaucin en nuestros equipos (netbooks, laptops, tablets, celulares, etc).

Luego de la publicacin de una herramienta que permite robar sesiones sin conocimiento tcnico alguno, Facebook y Twitter (al menos estn haciendo algo ya que estos son los sitios de una alta vulnerabilidad) ya han ofrecido algunas caractersticas que permiten el uso de encriptacin durante toda la sesin, lo cual evita que los identificadores de sesin viajen por la red a vista y paciencia de cualquier usuario conectado a ella. El siguiente artculo da amplias indicaciones para disminuir los riesgos: http://informatica.uc.cl/index.php?id=311 Permtanme ejemplificar un sencillo robo de sesin; Juan lleg al centro comercial y se dio cuenta que Marcelo an no llegaba. Se sent en un banco. No tena nada que hacer, as es que encendi su computador porttil, activ la red inalmbrica, abri un gnome-terminal y comenz a ejecutar algunos comandos.

Personas pasaban y otras se sentaban formando una especie de grupo especial en el que todos socializaban o exponan informacin por medio de sus porttiles, tablets y celulares. Al cabo de un rato, Juan recibi una fuerte palmada en el hombro. Marcelo, su amigo, haba llegado y al ver la pantalla por sobre el hombro de juan exclama: - Ese es el Web 2.0, el web social -. En la pantalla de juan haba fotos y pginas de Facebook y Twitter de muchos usuarios que no eran amigos de Juan. Incluso, era posible reconocer a algunos sentados a 10 metros. Adems, juan pudo ver las redes de contacto de varias personas. Claro, haba estado haciendo "hijack" de sesiones web. - Ya, vamos que van a cerrar. - dice Marcelo, mientras Juan borra todo y se van. Esta situacin es ms comn de lo que creemos. Hoy en da hay herramientas que permiten hacer esto de forma amistosa. El problema radica en la confianza y descuido tanto de las personas como de quienes estn detrs de los sitios web. El hijack de sesin es un secuestro o robo de una sesin. En trminos prcticos consiste en acceder a la sesin que otra persona ha establecido con algn servicio. Cuando nos conectamos a Facebook, establecemos una sesin, que comienza luego de que nos autentificamos con nuestro correo y contrasea. Si otra persona conectada a la red hace "hijack" de esa sesin, entonces ha logrado acceder a nuestro Facebook, ver nuestros contactos y postear como si furamos nosotros.

Esta tcnica consiste en conectarse a una red inalmbrica donde la informacin no est separada fsicamente y adems es de libre acceso. Esto permite que la informacin, que viaja por el aire pueda ser capturada por cualquier equipo conectado a la misma red. Esa captura permitir al espa ver el contenido que viaja por la red y que no ha sido encriptado, por ejemplo, fotos de Facebook e identificadores de sesin. Si el espa tiene acceso al identificador de sesin, entonces puede hacer hijack de nuestra conexin. Esto se puede hacer porque el identificador de sesin no viaja encriptado. Twitter y Facebook son algunos de los tantos sitios que si bien es cierto, poseen encriptacin (SSL) no permiten su correcto uso facilitando que el identificador de sesin sea enviado encriptado y no encriptado, lo cual es equivalente a no encriptar nada. Hay herramientas como HTTPS Everywhere que reescriben los enlaces cuando estn apuntando a un destino (del mismo servicio) sin encriptacin. Esto permitir que el identificador de sesin y el contenido siempre viaje encriptado. Cabe sealar que para que este mecanismo funcione, el sitio web debe contar con encriptacin. Adicionalmente, el 26 de Enero/13, Facebook anunci oficialmente la activacin opcional de SSL para el trfico de sus usuarios. No es que antes no existiera, sino que ahora es constante si el usuario lo activa. La recomendacin es activarlo en las preferencias de tu cuenta. Tambin existe un plugin para firefox llamado Blacksheep que, si bien es cierto, no sirve para protegerse de estos ataques, si sirve para detectar el uso de una herramienta utilizada para facilitar el hijacking de sesiones. Para Chrome existe una extensin disponible para usuarios que permite hacer lo mismo que HTTP Everywhere. Se llama KB SSL Enforcer. Twitter tambin ha agregado la caracterstica de SSL en su sitio web. Se puede activar en las configuraciones de la cuenta. La mejor solucin es la encriptacin se usa en el web para evitar que terceros puedan ver a informacin que viaja entre un computador y un servidor. Si un sitio web encripta el proceso de autentificacin, es decir, el paso de usuario y contrasea, est correcto. Sin embargo, si luego permite el trfico de contenido sin encriptar, entonces no sirve de nada el primer paso. Si un sitio web permite tanta interaccin como Facebook o Twitter, entonces la encriptacin del identificador de sesin es una seal que no se est cumpliendo al 100%. Una de las principales formas de protegerse frente a la propagacin de posibles malware que aprovechen esta vulnerabilidad, es evitar el uso de Internet Explorer y activar DEP (Propiedades de Mi PC\Avanzadas\Rendimiento\Prev. Ejecucin de Datos), para todos los programas y servicios.

Algo tambin que creemos es que somos solo nosotros los que manejamos nuestros PC, no es as; sabes que tu computador podra estar enviando correo basura e incluso podras estar participando en ciber-ataques en la red, alguien ms, sin tu conocimiento, lo puede estar usando para otros fines que no tienen nada que ver con lo t quieres hacer. Esto ocurre con cientos de miles de computadores personales y porttiles al rededor del mundo, los cuales han sido tomados bajo el control de terceros, que los utilizan para fines comerciales delictuales. Estos cientos de miles de equipos conforman las llamadas botnet. La Botnet es una red de computadores controlados por una persona. Esta persona tiene a su disposicin los recursos de procesamiento, ancho de banda, almacenamiento, etc., que les provee un computador personal, y los utilizan para hacer negocios en el mercado negro como atacar sitios, enviar correo no deseado, distribuir malware, etc. Sin ir muy lejos, a comienzos del 2013 Twitter fue blanco de ataques realizados por botnets, lo que ha dejo en un par de ocasiones sin servicio a todos sus usuarios. Si no hemos sido cuidadosos con nuestros computadores, es muy probable que nuestros propios equipos hayan participado en el ataque a Twitter y otros sitios. La capacidad que tienen algunas botnet puede ser realmente de temer. Durante el primer semestre del ao 2008, en un trabajo investigativo y de prevencin, se detect una botnet que controlaba algunos computadores porttiles de alumnos, que en conjunto eran una pequea parte de esa red que contaba con ms s de 40 mil bots de distintos lugares del mundo en lnea, conectados a nodos controladores situados aparentemente en Japn. Su capacidad estimada era: Procesamiento: 97 Tera Hertz - Envo de datos: 45,6 Tera Bits / segundo Para tener una idea de las magnitudes: Hoy en da, un hogar cuenta con enlaces a Internet de entre 2 y 4 Mega bit/segundos, y un computador de escritorio puede tener 3Ghz de procesamiento. Un Tera corresponde a 1.000 Gigas y un Giga corresponde a 1.000 Megas. Suficiente para botar cualquier sitio web por medio de ataques de denegacin de servicio. Esto funciona as: Una persona desarrolla un malware y lo enva a la red por medio de mensajes de correo electrnico, mensajera instantnea como MSN, archivos que infectan pen-drives o discos duros porttiles, pginas web maliciosas, etc. Una vez que estos archivos llegan a un computador, el propietario es persuadido de alguna forma para ejecutarlo. Luego de esto, el computador ya se encuentra infectado y a libre disposicin del creador del malware. Cuando el computador ya est infectado se convierte en un bot, y es muy probable que no lo notemos en un principio. Se conectar a la botnet y enviar al controlador de sta, informacin sobre las capacidades del computador (ancho de banda, CPU, etc.), versin del malware, etc. La gran mayora de las botnet utilizan IRC para mantener conectados a los bots. Aunque se han detectado algunas utilizando MSN o HTTP. Cuando el bot est conectado a la botnet, el atacante enva instrucciones a la red para que todos los bot realicen alguna operacin. Cuando esto ocurre comienzan las molestias, ya que nuestro computador se "pone lento", cuesta ejecutar programas

o simplemente puede fallar. Adicionalmente, estos malware realizan captura de contraseas que nosotros utilizamos para ingresar a diversos sitios web. Pero lo importante es como lo prevenimos, por lo tanto ms all del software que utilicemos para protegernos (antivirus, antispyware, firewall personal, etc.), debemos ser cautos en lo que hacemos con nuestro computador. Hay muchas medidas que podemos tomar para evitar infectarnos y participar de ciber-delitos: No confiar en cualquier sitio que voy a visitar. Evitar, en lo posible, la utilizacin promiscua de medios de almacenamiento portables. No conectes tu pen-drive en cualquier computador si no ests seguro de su estado de salud. No descargar software pirata. Muchos programas pagados se ofrecen gratis en Internet para su descarga. En esta modalidad, la gran mayora contiene malware. No ejecutar archivos recibidos por MSN o correo electrnico. Evitar ejecutar programas que se encuentren en medios de almacenamiento portable como pen-drives. Creo que despus de este corto material la cautela en la web va a cambiar en su vida. Pero en el fondo, las redes sociales hacen pblicos a todos, a algunos ms, a otros menos. Hace unos das Mark Zuckerberg, fundador de Facebook, sugiri que la privacidad era un asunto del pasado. Segn l cada vez ms gente se siente ms cmoda compartiendo su informacin en la red, de manera ms abierta y con ms personas. Algunas semanas atrs, el CEO de Google, Eric Schmidt, declar en una entrevista con la cadena de televisin estadounidense CNBC, que quienes se preocupaban por su privacidad eran los que haban hecho algo malo y, por ende, no queran que nadie se enterara. Comentario que no comparto ya que pienso que siempre debe existir un lmite entre mi vida pblica y mi vida privada y que sea yo quien decida con quien la comparto. Los blogs son quiz uno de los mejores ejemplos de la apertura de lo pblico porque permiten la exposicin de quien escribe frente a los comentarios de quienes lo leen. Hace un par de aos a la mayora de la gente le preocupaba compartir con un sitio su correo electrnico y contrasea. Hace un ao la preocupacin era que no se vieran sus fotos. Ahora que no se sepa su direccin. Pero qu hay de ustedes? Su vida privada es del dominio pblico? O su vida pblica es del dominio privado? Durante junio/13, el Laboratorio de Investigacin de ESET Latinoamrica inform que las principales amenazas se centraron en vulnerabilidades crticas a plataformas masivas como Facebook, Windows y Flash, como tambin a dispositivos quirrgicos. Por un lado, sali a la luz un agujero de seguridad en Facebook que expuso informacin de seis millones de usuarios durante un ao. El fallo se produca cuando una persona descargaba su perfil en un archivo, ya que dichos datos incluan contactos de amigos de amigos, de personas sugeridas

por la red social como gente que podran conocer, e incluso informacin de personas a las cuales se les haba hecho una solicitud de amistad pero que an no haba sido aceptad A su vez, con respecto a Windows se detect un fallo que permita la elevacin de privilegios. Tuvo que ver con un 0-day, es decir, una vulnerabilidad en una plataforma que es descubierta y hecha pblica antes de que el fabricante emita la actualizacin. De acuerdo a la informacin disponible, Windows 7 es vulnerable y Windows 8 tambin podra serlo. Asimismo, otra vulnerabilidad afect a Flash y Google Chrome. En este caso, el fallo permita que un atacante pudiera obtener el control del micrfono y la webcam de la vctima. Posteriormente fue el turno de Linux Mandriva, cuyo mdulo de Apache posibilitaba que un atacante ejecutara cdigo de forma remota en versiones anteriores a la 2.2.25. Por ltimo, se report otro agujero de seguridad presente en dispositivos quirrgicos como desfibriladores, monitores de salud, y equipamientos de laboratorio y anlisis. Segn se analiz, pueden ser controlados remotamente con el objetivo de simplificar la configuracin de ciertos parmetros tcnicos. Sin embargo, al menos 300 aparatos mdicos poseen contraseas embebidas. Esto significa que un tercero puede obtener dicha clave para modificar aspectos crticos sin mayor dificultad. Es importante destacar que algunas organizaciones ya estn trabajando con los fabricantes para poder solucionar este fallo. Y ahora con la llegada de las vacaciones escolares existe la posibilidad de que nios y jvenes accesen a computadoras y dispositivos mviles sin supervisin. Por ello es indispensable que los padres conozcan los riesgos a que se exponen sus hijos al navegar por Internet de forma libre cuando se encuentran solos en casa. El decir es que es imposible alejar a los nios y jovenes del uso de Internet, ya que muchos han sido autorizados con el uso de dispositivos mviles y computadoras, sin embargo, existen muchas formas de protegerlos del uso incorrecto, como por ejemplo: del acceso a pginas para uso de pblico adulto, compartir informacin personal que pone en peligro la integridad de la familia completa, vulnerabilidad de ataque a los equipos por virus, Cyber bullying, entre otros. Es necesario que los padres conozcan importantes consejos, programas y servicios que pueden utilizar para tener control de estos dispositivos durante las vacaciones escolares. De acuerdo con Widefense al conectarse a Internet sus hijos pueden estar expuestos a: virus informticos que afectan a los dispositivos, "Cyber Bullying", tambin pueden ser vctimas de "phishing" y entregar informacin confidencial o brindar datos en redes sociales. Asimismo pueden ser vctimas de ingeniera social (tema que tratamos tambin en este documento), ingresar datos de pago online, en pginas creadas con fines maliciosos y ser vctima de robo de contraseas. Para evitar esos problemas, tome en cuenta los siguientes consejos:

 Cree contraseas inteligentes y potentes. Incorpore en ellas letras en mayscula, nmeros y caracteres especiales (al menos seis) y solicite a sus hijos compartirlas con ustedes. Utilice el correo electrnico adecuadamente. Aun cuando su computador cuente con un buen nivel de seguridad, es posible que los equipos de sus contactos no lo tengan. No enve informacin confidencial o privada, como direccin de su vivienda, nmero de telfono fijo o celular, nmeros de tarjetas de crdito o contraseas u otra informacin que pueda hacer vulnerable al usuario de Internet. Es importante saber cmo usar las redes sociales. Si emplea este tipo de herramientas, tenga mucho cuidado con la informacin personal que publica y sobre quines pueden acceder a ella. En Facebook y Twitter, por ejemplo, no acepte las invitaciones de amistad de desconocidos ni sea seguidor de personas o empresas que no conozca. Recuerde que este tipo de aplicaciones representa la cara actual de la llamada "ingeniera social". Tenga precaucin con los fraudes de "phishing". Este tipo de prcticas utilizan correos electrnicos fraudulentos y sitios web falsos que se enmascaran, para atraer a usuarios desprevenidos y hacer que revelen informacin privada. Promociones de viajes, promociones bancarias, entre otras, pueden ser ejemplos de este tipo de prctica fraudulenta. Preste atencin a las actividades en lnea de sus hijos. Tenga un equipo domstico en una zona comn para que pueda controlar las actividades de sus nios. Use software apropiado para menores y limite el tiempo que sus hijos estn conectados. Orintelos para que no accedan a sitios Web no deseados o compartan informacin a travs de las redes sociales o aplicaciones de mensajera. Para mayor proteccin se sugiere adquirir un antivirus que incluya "Control Parental". http://m.elsalvador.com/wap/articulo.aspx/47870/8337485/proteja-a-sus-hijos-de-las-amenazasal-navegar-en-internet#sthash.sCaQhhGt.dpuf