Seguridad Informtica

Modulo 1 Clase 4
ndice

Los usuarios.............................................................................................2
Algunas afirmaciones errneas comunes acerca de la seguridad.............3
Ingeniera social......................................................................................5

p. 1
Los usuarios
Son las personas que utilizan la estructura tecnolgica, de comunicaciones y que
gestionan la informacin.

Causa del mayor problema ligado a la seguridad de un sistema informtico

(porque no le importa, no se da cuenta o a propsito).

La seguridad informtica debe establecer normas que minimizen los riesgos a la

informacin o infraestructura informtica. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones,
perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que
permita un buen nivel de seguridad informtica minimizando el impacto en el
desempeo de los funcionarios y de la organizacin en general.

p. 2
Algunas afirmaciones errneas comunes acerca de la
seguridad
Mi sistema no es importante para un cracker

Esta afirmacin se basa en la idea de que no introducir contraseas seguras en

una empresa no entraa riesgos pues quin va a querer obtener informacin
ma?. Sin embargo, dado que los mtodos de contagio se realizan por medio de
programas automticos, desde unas mquinas a otras, estos no distinguen
buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y
dejarlos sin claves es facilitar la vida a los virus.

Estoy protegido pues no abro archivos que no conozco

Esto es falso, pues existen mltiples formas de contagio, adems los programas
realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas.

Como tengo antivirus estoy protegido

En general los programas antivirus no son capaces de detectar todas las posibles
formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los
computadores aumenten las capacidades de comunicacin, adems los antivirus
son vulnerables a desbordamientos de buffer que hacen que la seguridad del
sistema operativo se vea ms afectada an.

Como dispongo de un firewall no me contagio

Esto nicamente proporciona una limitada capacidad de respuesta. Las formas de

p. 3
infectarse en una red son mltiples. Unas provienen directamente de accesos al
sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de
las que no me protege). Emplear usuarios con altos privilegios para realizar
conexiones puede entraar riesgos, adems los firewalls de aplicacin (los ms
usados) no brindan proteccin suficiente contra el spoofing.

Tengo un servidor web cuyo sistema operativo es un Unix actualizado a

la fecha

Puede que este protegido contra ataques directamente hacia el ncleo, pero si
alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) est desactualizada, un
ataque sobre algn script de dicha aplicacin puede permitir que el atacante abra
una shell y por ende ejecutar comandos en el.

p. 4
Ingeniera social
En el campo de la seguridad informtica, ingeniera social es la prctica de
obtener informacin confidencial a travs de la manipulacin de usuarios
legtimos. Es una tcnica que pueden usar ciertas personas, tales como
investigadores privados, criminales, o delincuentes computacionales, para
obtener informacin, acceso o privilegios en sistemas de informacin que les
permitan realizar algn acto que perjudique o exponga la persona u organismo
comprometido a riesgo o abusos.

El principio que sustenta la ingeniera social es el que en cualquier sistema "los

usuarios son el eslabn dbil". En la prctica, un ingeniero social usar
comnmente el telfono o Internet para engaar a la gente, fingiendo ser, por
ejemplo, un empleado de algn banco o alguna otra empresa, un compaero de
trabajo, un tcnico o un cliente. Va Internet o la web se usa, adicionalmente, el
envo de solicitudes de renovacin de permisos de acceso a pginas web o
memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando
as a revelar informacin sensible, o a violar las polticas de seguridad tpicas.

Con este mtodo, los ingenieros sociales aprovechan la tendencia natural de la

gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo
proporcionando detalles financieros a un aparente funcionario de un
banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas
informticos.

Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario

llevndolo a pensar que un administrador del sistema esta solicitando una
contrasea para varios propsitos legtimos. Los usuarios de sistemas de Internet
frecuentemente reciben mensajes que solicitan contraseas o informacin de
tarjeta de crdito, con el motivo de "crear una cuenta", "reactivar una

p. 5
configuracin", u otra operacin benigna; a este tipo de ataques se los llama
phishing (pesca). Los usuarios de estos sistemas deberan ser advertidos
temprana y frecuentemente para que no divulguen contraseas u otra
informacin sensible a personas que dicen ser administradores.

En realidad, los administradores de sistemas informticos raramente (o nunca)

necesitan saber la contrasea de los usuarios para llevar a cabo sus tareas. Sin
embargo incluso este tipo de ataque podra no ser necesario en una encuesta
realizada por la empresa Boixnet, el 90% de los empleados de oficina de la
estacin Waterloo de Londres revel sus contraseas a cambio de un bolgrafo
barato.

Otro ejemplo contemporneo de un ataque de ingeniera social es el uso de

archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "ntimas" de alguna
persona famosa o algn programa "gratis" (a menudo aparentemente
provenientes de alguna persona conocida) pero que ejecutan cdigo malicioso
(por ejemplo, usar la mquina de la vctima para enviar cantidades masivas de
spam).

Ahora, despus de que los primeros e-mails maliciosos llevaran a los

proveedores de software a deshabilitar la ejecucin automtica de archivos
adjuntos, los usuarios deben activar esos archivos de forma explcita para que
ocurra una accin maliciosa. Muchos usuarios, sin embargo, abren casi
ciegamente cualquier archivo adjunto recibido, concretando de esta forma el
ataque.

La ingeniera social tambin se aplica al acto de manipulacin cara a cara para

obtener acceso a los sistemas computacionales.

p. 6
Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin
Mitnick. Segn su opinin, la ingeniera social se basa en estos cuatro principios:

1. Todos queremos ayudar.

2. El primer movimiento es siempre de confianza hacia el otro.

3. No nos gusta decir No.

4. A todos nos gusta que nos alaben.

La principal defensa contra la ingeniera social es educar y entrenar a los usuarios

en el uso de polticas de seguridad y asegurarse de que estas sean seguidas.

p. 7