Crímenes y
Delincuencia en
Internet
Leobardo Hernández A.
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
Agenda












El Origen
El Principio de los males
El Paradigma Actual
Problema Conceptual
Amenazas
Internet y la Escena del Crimen
CyberCrimen, CyberTerrorismo y CyberCriminales
Phishing, Pharming e Ingenieria Social
Métodos y Formas de Ataque
Soluciones al problema
El Próximo Futuro
Algunas Reflexiones
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
2
El Origen

Y la computadora fue ........
 Computadora

(mainframe) centralizada
Aparece la PC(Personal Computer)
 Computadoras
 Oficina


(1970)
de escritorio
y hogar
Las redes proliferaron…………
(70’s)
Surge TCP/IP como lenguaje común para todo tipo
de computadoras
 Todos

(1945)
con todos, a toda hora y en cualquier lugar
Inicia la pesadilla …..
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
3
Virus
 Programa de Software que se adhiere por sí
mismo a otro archivo o programa
 En memoria o en disco
 Se distribuye por sí mismo
 Objetivos específicos:




Despliegue de mensajes
Borrar datos
Mal funcionamiento del equipo
Impedir laborar o utilizar el equipo (Negación de
servicio)
 Molestar
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
4
Evolución de los Virus
Hoy
Fase III
“Serio Impacto
en los Negocios”
Fase II
“Macro Era”
Fase I
“Floppy Era”
Melissa, Explorezip, Bubbleboy, DDoS Attacks,
Virus en Internet se distribuyen rapidamente!
Empiezan primeros virus para PDA’s!
LibertyCrack borra aplicaciones en PalmOS!!
Creadores de Virus conocen ampliamente la
Tecnología y las vulnerabilidades en los negocios
Ej. Remote Explorer
95 - 98 Crecimiento exponencial de Virus. Se
distribuyen rapidamente
Ej. Macro Virus via E-Mail
80’s -94 Ataques focalizados. Conocimeinto de
fechas de activación Ej. Michelangelo
Daño y sofisticación se han incrementado con los años
Daño
1raGen
Boot
Sector
floppies
Stoned
1986
1ra Gen
dispersa
en el
mundo
noticias de
Miguel Angel
Principios
’90s
2da Gen
Macro
virus
Infectan
archivos
Concept
1995
3ra Gen
Mass
Mailers
Melissa
Love Bug
1999
4ta Gen
•Amenazas
combinadas
•Exploit de
vulnerabilidades
• Creacion de
backdoors
•Dispersion de
diversas formas
Code Red
Nimda
Funlove
2001
Sofisticación & Velocidad de Infección
5ta Gen
Wireless &
Applicaciones
comunes
•Amenazas
combinadas
•Mas daño
• Rapida
dispersion
Otras calamidades (No Virus)

Worm (gusano)
 Programa que se replica por sí mismo en un sistema,
pero no infecta directamente otros archivos
 Caballos de Troya
 Programa que contiene código malicioso y dañino.
Parece programa o archivo inofensivo
 No se distribuye automáticamente

Hoaxes
 Falsas

alertas que generan pánico y desconfianza
Malware
 Código
maliciosoDGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
7
Paradigma Actual
La Red es la Computadora
 Es una computadora hipermasivamente
paralela
 ¿El medio es el mensaje?
 ¿Somos el medio?
 Los datos e información están dispersos
 Los programas están dispersos

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
8
Paradigma Actual
Confidencialidad
 Integridad
 Accesibilidad
 Autenticidad


Confiabilidad proporcional a las políticas
establecidas
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
9
Problema Conceptual

Internet:
 Sistema
de información no acotado
administrativamente
No existe perímetro natural
 No existe lista de usuarios con
autenticadores
 No se puede verificar la trayectoria de la
información
 Hay muchos puntos de ataque

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
10
Amenazas
Intercepción (y lectura) de datos en tránsito
 Acceso a programas o datos en host
remotos
 Modificación de programas o datos en host
remotos
 Modificación de datos y programas al vuelo
 Interrupción del flujo de información
 Fabricación de información

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
11
Amenazas
Suplantación de un usuario para añadir
comunicaciones
 Inserción de una repetición de una
secuencia
 Bloqueo de tráfico selecto
 Negación del servicio
 Ejecución de un programa en un host
remoto

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
12
Internet
¿Qué hay en Internet de interesante que
todo mundo quiere acceso a la red?
 Más de 1100 millones de usuarios Internet
 70% de la información es digital
 30 billones de páginas Web
 Empresas y organizaciones importantes
 Comercio, banca, negocios y servicios
 Grandes bancos de información

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
13
Internet
Nuevas Amenazas y vulnerabilidades
 El lado obscuro y tenebroso de Internet
 Mucho de esto se desconoce
 Problema de educación y conciencia
 El peligro acecha en todas partes, desde
cualquier lado, a todas horas
 El atacante es invisible y ubicuo

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
14

WORLD INTERNET USAGE AND POPULATION STATISTICS
World Regions
Africa
Population
( 2007 Est.)
Population
% of World
Internet Usage,
Latest Data
% Population
( Penetration )
Usage
% of World
Usage
Growth
2000-2007
933,448,292
14.2 %
32,765,700
3.5 %
3.0 %
625.8 %
3,712,527,624
56.5 %
389,392,288
10.5 %
35.6 %
240.7 %
Europe
809,624,686
12.3 %
312,722,892
38.6 %
28.6 %
197.6 %
Middle East
193,452,727
2.9 %
19,382,400
10.0 %
1.8 %
490.1 %
North America
334,538,018
5.1 %
232,057,067
69.4 %
21.2 %
114.7 %
Latin America/Caribbean
556,606,627
8.5 %
88,778,986
16.0 %
8.1 %
391.3 %
34,468,443
0.5 %
18,430,359
53.5 %
1.7 %
141.9 %
6,574,666,417
100.0 %
1,093,529,692
16.6 %
100.0 %
202.9 %
Asia
Oceania / Australia
WORLD TOTAL
Internet

Mucha confusión sobre políticas
relacionadas a Internet
 Nada

está definido
Desempleo de profesionales jóvenes
 Potenciales

Cyber Criminales
Alarmante crecimiento de casos de Cyber
Crimen
 Especialmente
contra instituciones financieras,
personas y recursos de información sensible
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
18
Pero…Internet también es:

Vehículo de progreso

De la globalización a la localización ….

….. el futuro es la personalización

Medio actual de comunicación rápida

Internet … every where
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
19
CyberCrimen y CyberTerrorismo
De Internet a Undernet
 Del Cyber Crimen al Cyber Terrorismo
 Amenazas internas en crecimiento
 Ingeniería social
 Era desconocida
 Sistemas de defensa sin políticas de
seguridad

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
20
Esceneario del Crimen (Internet)
Comercialización y crecimiento masivo
 Arena de actividad económica que involucra
a millones de usuarios anónimos
 Anonimato y alcance global
 Actividad y riqueza almacenada en
información
 Banca y comercio electrónicos
 Bajo riesgo y alto rendimiento para el
crimen

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
21
CyberCrimen y CyberCriminales
Valor de la información y transacciones
 El CyberCrimen es crimen organizado
 El CyberCrimen es actividad profesional
 Objetivos del Cybercrimen y
CyberCriminales:

 Datos
financieros
 Información de identificación personal
 Propiedad intelectual
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
22
Categorías de CyberCrimen









Extorsión
Daño de Prestigio y Reputación
Fraude
Phishing
Quebranto del Servicio
Robo de Información
Lavado de Dinero
Explotacion de Menores
Tráfico de todo tipo
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
23
Categorías de CyberCrimen

Extorsión
 Amenaza
de: quebranto de red, negación de
servicio, robo de información
 Secuestro virtual de personas
 Secuestro real de información vital

Daño de Prestigio y Reputación
 Alteración,
deformación o cambio de imagen
pública (sitios web)
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
24
Categorías de CyberCrimen

Fraude
 Tiendas
falsas (no solo se quedan con el dinero, sino
también con los datos de la tarjeta)
 Ofertas de negocios fabulosos
 Oferta de productos casi regalados
 Oportunidades de ganar o compartir millones

Phishing
 Falsos
mails de bancos o compañías de tarjetas de
crédito solicitando datos personales y bancarios
 Sitios suplantados pero indistinguibles de los legítimos
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
25
Categorías de CyberCrimen

Quebranto del Servicio
 Negación
de Servicio
 Código malicioso a través de virus y gusanos

Robo de Información
 Robo
de información financiera, personal
 Robo de propiedad intelectual
 Robo de secretos científicos, industriales,
comerciales, de estado, militares, etc.
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
26
Categorías de CyberCrimen

Lavado de Dinero

Transacciones bancarias anónimas
 Geográficamente dispersas
 Difíciles de rastrear y autenticar

Explotación de Menores
 Pornografía

infantil
Tráfico
 Drogas
 Personas
 Órganos
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
27
Jerarquía de CyberCriminales

Script Kiddy
 Atacante
joven (< 20 años) y no técnicamente
sofisticado
 Usa herramientas que otros escribieron. No
comprende cómo funcionan

Cyber Punk
 Usa
sus habilidades para atacar
 Grafitero de sitios Web
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
28
Jerarquía de CyberCriminales

Hacker y Crackers
 Disfruta
aprendiendo técnicas (lenguajes,
protocolos)
 Disfruta jugando con los sistemas

Coders
 Veteranos
de la comunidad hacking
 Años de experiencia
 Producen herramientas (trojans, mailers,
custom bots) o servicios (hacer un código
indetectable por los AV)
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
29
Jerarquía de CyberCriminales

Drops
 Convierten
el “dinero virtual” obtenido en el
CyberCrimen en dinero real
 Usualmente localizados en países con leyes laxas con
el cybercrimen (Bolivia, Indonesia y Malaysia son muy
populares)

Cyber Gangs o Mobs
 Grupos
de profesionales (carreras técnicas) y hackers
 Tienen y adquieren el equipo que necesitan para atacar
 Contratan servicios de los anteriores
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
30
Herramientas del CyberCrimen

Bots
 Computadora
en la cual, un virus o gusano, ha
instalado programas que se ejecutan
automáticamente
 Permiten al atacante acceso y control

Bot Network
 Colección
de máquinas infectadas,
comprometidas semanas o meses antes por los
atacantes
 Se usan para lanzar ataques simultáneos
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
31
Herramientas del CyberCrimen

Keylogging
 Programa
que captura y registra los teclazos del
usuario
 Después accesa o envía secretamente los datos
al atacante

Bundling
 Pega
virus o spyware a descargas que hace el
usuario
 Cuando el usuario instala el software
descargado, también instala el programa del
atacante
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
32
Herramientas del CyberCrimen

Negación de Servicio
 Ataque
diseñado específicamente para evitar el
funcionamiento normal de una red o sistema y
evitar el acceso de usuarios autorizados

Packet Sniffer
 Programa
de software que monitorea el tráfico
de red
 Usados para capturar y analizar datos,
especialmente passwords
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
33
Herramientas del CyberCrimen

Rootkit
 Conjunto
de herramientas usadas por el
atacante después de infiltrar una computadora
 Le permiten:
Mantener el acceso
 Evitar detección (oculta proceso y archivos)
 Construir backdoors ocultas
 Obtener información de la computadora
comprometida y de los otras computadoras en la red

 Los
hay disponibles para la mayoría de S.O.
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
34
Herramientas del CyberCrimen

Spyware
 Software
que obtiene información sin el conocimiento
del usuario
 Típicamente viene adherido con otro programa
(legítimo)
 El usuario desconoce que al instalar uno instala el otro
 Monitorea la actividad del usuario en la red y
retransmite esa información al atacante
 Captura y mantiene: direcciones de correo, passwords,
números de tarjetas de crédito, información
confidencial, etc.
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
35
Herramientas del CyberCrimen

Scripts
 Programas
o listas de comandos, disponibles
como shareware en sitios de hackers
 Pueden copiarse e insertarse remotamente en
una comutadora
 Usados para atacar y quebrantar la operación
normal de una computadora

Ingeniería Social
 Todo
tipo de técnicas de engaño
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
36
Herramientas del CyberCrimen

Troyano
 Programa malicioso inadvertidamente descargado e instalado por el usuario

Algunos pretenden ser aplicaciones benignas

Muchos se ocultan en la memoria de la máquina con nombres no
descriptivos

Contiene comandos que la computadora ejecuta automáticamente sin
conocimiento del usuario

Algunas veces actúan como zombies y envían spam o participan en un
ataque de negación de servicio distribuido

Pueden ser un Keylogger u otro programa de monitoreo que colecciona
datos que envía encubiertamente al atacante

Muchos troyanos ahora intentan desabilitar los programas antivirus
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
37
Herramientas del CyberCrimen

Worms




Viajan a través de las redes
Se duplican a sí mismos y se auto envían a direcciones que
están en la computadora host
Se propagan enviando copias de sí mismos a otras
computadoras por e-mail o por Internet Relay Chat (IRC)
Virus





Programa o pieza de código que se difunde de computadora a
computadora sin consentimiento del usuario
Causan eventos inesperados y negativos cuando se ejecutan en
la computadora
Contaminan programas legítimos
Son introducidos a través de anexos en e-mails
Usan nombres ingeniosos para atraer la curiosidad del lector
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
38
Herramientas del CyberCrimen

Zombie
 Computadora
ejecutando programas que dan el control a
alguien distinto del usuario
 Ejecutan automáticamente comandos de alguien distinto
al usuario, sin el conocimiento de este
 Se crean poniendo código ejecutable en una máquina de
usuario (normalmente usando un troyano)
 El atacante obtiene el control de la computadora y
automáticamente ejecuta un comando para iniciar:



Un ataque de negación de servicio
Envío de spam
Etc.
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
39
¿Dónde se consiguen esas herramientas?

En los sitios de Hackers:

http://packetstormsecurity.org/

http://neworder.box.sk/
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
40
¿Contramedidas y actualidad sobre
ataques?
En los sitios:
 http://www. securityfocus.com/
 http://www.grc.com/
 http://www.csoonline.com/
 http://www.cert.org/
 http://www.nist.org/

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
41
Phishing y Pharming (Pescadores y
Granjeros)

El Problema:
 Autenticación
 Control

de Acceso
Los S.O. implementan mecanismos de
Autenticacion y Control de Acceso para
impedir que accedan a recursos y servicios
personas no autorizadas
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
42
Robo de Identidad

Cualquiera que conozca el nombre de
usuario y la contraseña será considerado por
el S.O. como el usuario legítimo al que
pertenece esa información confidencial


Si el que usa esta información no es el
usuario legítimo sucede una suplantación, o
sea un robo de identidad
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
43
¿Qué hacen los pescadores?
(Phishing)

Engañar a la víctima para que entregue
información confidencial que permita el
acceso a sus tesoros
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
44
Métodos de Phishing

Métodos psicológicos, o sea Ingeniería Social
 El
“pescador” puede hacerse pasar por una entidad
confiable que hace preguntas concretas
 El “pescador” puede espantar a la víctima haciéndole
pensar que sus tesoros han sido atacados

Métodos técnicos
 Colocar
código malicioso (malware) en la computadora
de la víctima
 Dirigir una solicitud a un servidor de páginas falso
 Falsificar la dirección del remitente de un mensaje
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
46
Ingeniería Social


Éxito de estafadores basado en comprensión,
intuitiva o basada en experiencia, de los sesgos
cognoscitivos de las víctimas y en su ignorancia
computacional
El uso de los sesgos cognoscitivos se llama
pretextar
 Pretextar
es el acto de crear y usar un escenario ficticio
(el pretexto) para convencer a la víctima de que debe
entregar información confidencial o de que realice una
acción que lo puede dañar
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
47
Mensajes
Llamada Telefónica
 Correo Electrónico y Spam
 Entrega a través de la red
 IRC y Mensajería Instantánea
 Servidores con contenido malicioso

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
49
Correo Electrónico







Mensajes que parecen ser institucionales
Copias de mensajes legítimos con pequeñas
variaciones en el URL
Correo basado en HTML para ofuscar el URL del
destinatario
Anexos a mensajes que contienen virus o gusanos
Redacción de mensajes personalizados
Mensajes maliciosos en grupos de discusión o
listas de correo
Falsificación del domicilio del originador
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
51
La Red







URL disfrazados
Anuncios falsos que lleven a la víctima a un sitio
del atacante
Fallas de los navegadores
Ventanas instantáneas
Inserción de código malicioso
Colocación de código malicioso en alguna
página
Abusar de la configuración de seguridad del
navegador de la víctima
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
53
Internet Relay Chat y Mensajería
Instantánea
Muchos clientes de IRC y mensajería
permiten incluir contenido dinámico
(gráfico, multimedia, URL)
 Se pueden emplear métodos automáticos
para enviar masivamente mensajes
instantáneos

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
54
Contenido Malicioso
Se puede usar una PC invadida como
origen de muchos ataques de pesca.
 Registradores de la mecanografía

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
55
Amenaza y Crimen (Secuestro Virtual)
Método de ingeniería social de otra
naturaleza, muy peligroso, es la amenaza
de violencia física a la víctima o a su familia
 El atacante debe estar buscando una
ganancia que valga la pena, pues se está
cometiendo un crimen, no un fraude o un
delito cibernético sino un crimen común y
corriente

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
56
Ataques Cibernéticos y Delitos Informáticos
Los ataques cibernéticos son análogos a
la pesca con caña y carrete
 Se exhibe a la víctima potencial un
señuelo y, cuando el señuelo es tomado,
se captura a la victima
 En nuestro caso la pesca es el robo de la
identidad cibernética de la víctima, o sea
la divulgación de su información
confidencial

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
57
Métodos de Ataque
Hombre en medio
 URL ofuscados
 Cross site scripting
 Sesiones preestablecidas
 Ataques encubiertos
 Obtención de datos del uso
 Vulnerabilidades de los clientes

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
58
Hombre enmedio
URL ofuscado
Nombres de dominio maliciosos
http://mybank.com:[email protected]/phishing/fakepa
ge.htm
username = mybank.com,
password = ebanking
Servicios de simplificación de URL
Ofuscación del nombre del servidor
• Decimal – http://210.134.161.35/
• Dword – http:// 3532038435/
• Octal – http://0322.0206.0241.0043/
• Hexadecimal – http://0xD2.0x86.0xA1.0x23/ o bien
http://0xD286A123/
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
60

Para que puedan funcionar en varios
idiomas, muchos navegadores y clientes
de correo permiten codificar los datos de
maneras alternas:
 %hexhex
 Unicode
 Unicode
UTF-8
 Codificación múltiple
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
61
Cross Site Scripting

Cuando se tienen varias ventanas abiertas
todas están mutuamente accesibles

Incluyendo las que contienen páginas
provenientes de otros sitios
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
62
Sesiones Preestablecidas

Para seguir a los usuarios de una aplicación y
administrar los recursos mediante autenticación
se usan identificadores de sesión tales como
 Galletas
(cookies)
 Campos ocultos
 Campos que forman parte del URL


El pescador usa una página legítima pero
inserta un identificador de sesión al que vigila
hasta que aparezca una página restringida
Si el usuario no se autentica con éxito, recibirá
mensajes de error del servidor de la aplicación
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
64
Obtención de datos de uso
Registradores de mecanografía
 Captura de flujos de clicks

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
66
Vulnerabilidades de los Clientes

Uso de la combinación de Internet Explorer
y Media Player para permitir que servidores
remotos lean archivos locales, transiten por
los directorios y ejecuten código

Corrupción de la memoria que el S.O.
asigna a una aplicación para que guarde
sus datos mediante Real Player
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
68
Ataque mediante mensajes falsos
Ataque mediante mensajes falsos
Copias de mensajes legítimos con
pequeñas variaciones en el URL
 Correo basado en HTML para ofuscar el
URL del destinatario
 Mensajes donde se ha falsificado el
domicilio del remitente
 Mensajes falsos convincentes

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
70
Ataque Mediante inyección de código
malicioso
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
71
Ataque Mediante inyección de código
malicioso
Archivos anexos a mensajes de correo
electrónico
 Mensajes en grupos de discusión, listas de
correo o charlas electrónicas
 Wikis
 Blogs
 Anuncios falsos en los resultados de
búsquedas que lleven a la victima a un sitio
del atacante

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
72
Ataque Mediante inyección de código
malicioso
Páginas Web que contienen código
ejecutable
 Páginas Web espurias diseñadas para que
los buscadores las encuentren
 Flujos de información ( sonido y video)
 Programas aparentemente inocuos
(caballos de Troya)
 Ventanas instantáneas

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
73
Ataque mediante servidores de páginas
falsificados
Ataque mediante servidores de páginas
falsificados
Las páginas que presente el pescador
deben ser convincentes
 El pescador aprovecha las debilidades de
la victima
 Aparece una cuestión fundamental para
los que diseñan la interfaces de usuario,
pues es allí, en las interfaces, que se da la
batalla entre los pescadores y las víctimas

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
75
Defensa contra Pescadores

Vigilar actividades potencialmente maliciosas:
 Uso
de sitios de Web
 Registros de nombres de dominio




Autenticar (firmar digitalmente) los mensajes de
correo electrónico y descartar los que no tengan
firma conocida
Detectar el uso no autorizado de marcas, logotipos
y otras imagines que son propiedad de alguna
empresa
Instalar en los clientes programas que detecten
código malicioso
Usar información personal para autenticar los
mensajes de correo electrónico
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
76
Defensa contra Pescadores





Avisar a los usuarios cuando se detecte un servidor
fraudulento
Establecer una trayectoria confiable cuando se
efectúe un dialogo, es decir, autenticar a ambas
partes del dialogo
Usar sistemas de autenticación de dos partes
Obligar a que cada servidor tenga contraseñas
propias que no se compartan con otros servidores
Usar certificados digitales que especifiquen para
que se pueden usar
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
77
Defensa de los Clientes
Protección de la computadora
 Correo electrónico más sofisticado
 Uso de la capacidad de los navegadores
 Correo Firmado
 Capacitación y sensibilización de los
usuarios

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
78
Defensa de los Servidores
Autenticación de los servidores
 Verificación de la correspondencia
institucional
 Vigilancia del dominio
 Servicios de compuertas
 Servicios administrados

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
79
Causas del Phishing

Ignorancia

Sobre sistemas de Cómputo




Debilidades de los sistemas operativos
Estructura del sistema de domicilios de Internet
Sistema de encabezados de mensajes
Sobre la seguridad y los indicadores de seguridad




Significado del candado como icono de seguridad
Ubicación de ese icono en la pagina
Significado de los certificados de identidad de sitios
Verificación del URL del sitio al que se van a conectar
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
80
Causas del Phishing

Engaños visuales

Texto engañoso




Imágenes que enmascaran texto


Colocación de una imagen de una ventana
Colocación de una imagen que simula un diálogo
Ventanas que enmascaran ventanas



Uso de hiperenlaces en los que aparece una imagen quedando el
URL oculto
Imágenes que imitan ventanas



Sintaxis de los apuntadores
Confusión entre la “i” y el “1”
Uso de símbolos que no se pueden imprimir o desplegar
Ventanas fraudulentas encima o muy cerca de una ventana legitima
Ventanas que provienen de fuentes distintas
Presencia engañosa


Aspecto de una ventana falsa muy parecida a una verdadera
Logotipos, textos e imágenes verdaderas con funciones falsas
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
81
Causas del Phishing

Atención limitada


Falta de atención a los indicadores de
seguridad
Falta de atención a la ausencia de
indicadores de seguridad
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
82
Pharming (Granjeros) ¿Qué hacen?

Manipulan las maneras en las que un
usuario ubica y se conecta con un servidor
de nombre (DNS) conocido, mediante la
modificación del proceso de traducción de
los nombres a domicilios IP

Su propósito es obtener información
personal del usuario del cliente
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
83
Pharming (Granjeros) ¿Qué hacen?



Cambian el domicilio que aparece junto a un
nombre en la lista del DNS, poniendo allí el
domicilio de un servidor malicioso
Ese servidor simula al que se quería conectar
originalmente el usuario, quien al ser engañado
entrega su información de autenticación: su nombre
y contraseña
Una vez que el granjero logra obtener esta
información, envía un mensaje de error y transfiere
la conexión al servidor legítimo ante el cual el
usuario se tiene que volver a autenticar
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
84
Pastores… ¿Qué hacen?




Lo primero que hacen es infiltrar una computadora
grande y colocar un programa servidor de IRC
Luego infiltran muchas otras computadoras
pequeñas y grandes y colocan un cliente IRC en
cada una
Finalmente crean su rebaño,regresando al
programa servidor y suscribiendo a todas las otras
computadoras , y a la suya propia, a la red IRC
De esta manera se pueden comunicar con su
rebaño y enviarles instrucciones a las
computadoras infiltradas
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
85
Uso de los Rebaños
Envío masivo de mensajes de correo
electrónico
 Apoyar el trabajo de los pescadores
 Llevar a cabo ataques distribuidos de
denegación de servicio
 Obtención de informacion contenida en
computadoras selectas

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
87
Rebaños

Los rebaños pueden ser enormes

Uno famoso llamado Phatbot Network contaba con
más de medio millón de computadoras infiltradas

Los pastores llevan a cabo concursos mundiales

En los ultimos, algunos pastores han exhibido
control de más de 1,200,000 computadoras,
aunque mantener ese control es difícil
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
88
Mecanismos de Defensa

Comportamiento del tráfico

Los miembros de una red tienen que
comunicarse para organizarse y atacar
 Esto cause patrones de tráfico identificables
 Los mecanismos más frecuentes empleados
por las redes maliciosas son IRC y HTTP
 Un flujo anormalmente alto de paquetes de
estos protocolos indica la presencia probable
de una red maliciosa
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
89
Mecanismos de Defensa

Comportamiento de computadoras
 Puesto
que las redes dependen de la instalación de
código malicioso en sus miembros, se pueden usar
todas las técnicas de detección de virus

Comportamiento correlacionado global
 El
comportamiento correlacionado global está ligado a
las estructuras fundamentales de las redes y de sus
mecanismos de funcionamiento
 Todas las redes maliciosas del mismo tipo presentan
comportamientos globales iguales, y detectables
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
90
InfoWar

MessageLabs y Counterpane reportaron en April 2006:


El 61% de las computadoras tienen “algun tipo” de spyware or
adware instalado
El uso de Tryanos para espionaje entre competidores es muy comun

D&B Israel launches industrial espionage system

INDIA ACCUSES US OF SPYING
By KonstantinKornakovJul 31 2006
After several high profile arrests within the Indian security
forces, the country’s government has decided to lodge an
official protest with the US embassy in New Delhi. Indian
authorities accuse the US of using a joint Indian-US cyber
security forum as cover for spying activities in which several
senior national security
officials were involved.
DGSCA Centro Nuevo León, UNAM,


Mayo 16, 2007
91
Vislumbrar Solución
Esquemas de seguridad en el ámbito
computacional enfocados principalmente a
la autenticación y a la criptografía
 Pero en casi todos los casos se ha ignorado
el factor humano y su impacto en los
ataques a la seguridad
 Por lo tanto, hay que tomar conciencia del
peligro y educar en esa dirección

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
92
Vislumbrar Solución
El destino nos alcanzó a todos en la era de
las TI y de Internet
 La preocupación de seguridad informática
entró al ámbito personal y familiar
 La solución no es única ni del mismo ámbito
 Pasa por el aspecto humano (psicología e
ingeniería social) y el aspecto técnico
 Lo mismo hay que tomar conciencia que
conocer el aspecto técnico

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
93
Recomendaciones

Conocer el problema y estar actualizado
(sitios especializados)

No confiarse y seguir los checklist para
configuraciones seguras en el ámbito que
nos toca
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
94
Recomendaciones
Autenticación mutua (SSL, TLS)
 Autenticación de 2 factores
 Certificados Digitales
 Biometría
 Tokens en banca electrónica
 Comercio electrónico con Protocolos
Seguros (SET, SPP, iKP) y Certificados
Digitales

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
95
Recomendaciones
Canales Cifrados (SSH, SSL) para sesiones
remotas
 Correo Electrónico firmado y cifrado (PGP)
 Asegurar que el Código libre que se baja de
red tenga asociado un Certificado Digital y
venga firmado
 Asegurarse, para transacciones y datos
sensibles, entrar a sitios certificados
 Asegurarse de usar sitios con protocolo https

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
96
El Próximo Futuro

Amenazas a Dispositivos Móviles
 Teléfonos

Celulares
Cada vez más parecidos a la computadora
 Asistentes


Personales (PDA’s)
Cada vez se guarda más información de alto valor
Voz sobre IP (VoIP)
 Servicios
telefónicos
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
98
El Próximo Futuro

Código Malicioso por E-mail
 Los
virus por e-mail, a la baja
 A la alta, nuevas formas de malware por e-mail

Explotación de Redes Inalámbricas
 Redes
inalámbricas difíciles de asegurar
 Las vulnerabilidades serán peores que las
anteriores
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
99
El Próximo Futuro

Spam y Spyware
 Formas

de insertar código malicioso
Phishing y Robo de Identidad
 Psicología
 Ingeniería
Social
 Falta de educación en riesgos en uso de la
tecnología
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
100
Algunas Reflexiones




La motivación principal de los atacantes en Internet
se ha apartado del vandalismo y la fama y ahora se
dirige a las ganancias económicas
El atacante de hoy trata de explotar a individuos y
empresas para obtener ingresos o beneficios
económicos
Esto causa pérdidas enormes para las víctimas
Un estudio realizado por las autoridades en los
EE.UU. cuantifican los daños en año 2006 en 67.2
miles de millones de dólares
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
103
Algunas Reflexiones
La Nueva Selva Virtual nos obliga a
cuidarnos y defendernos para sobrevivir
 La Era de las TI e Internet conlleva una
nueva forma de terror y de esclavitud
 Nos sorprendió la tecnología cuando no
estamos preparados para asumir sus riesgos
 Podemos no usar la tecnología… o usarla
selectivamente?

DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
104
Algunas Reflexiones

Marshall McLuhan tenían razón?
 “Somos
lo que vemos”
 “Formamos
nuestras herramientas y luego ellas
nos forman a nosotros”
 El
mensaje es el medio
 Somos
el medio
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
105
Muchas Gracias !!..............
Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
[email protected]
Tel. 01 55 56231070
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
106
Seguridad y TI en la UNAM






Diplomado de Seguridad Informática
http://siberiano.aragon.unam.mx/
Diplomado en Tecnologías de Información
http://siberiano.aragon.unam.mx/dti/
LLaboratorio de Seguridad Informática, CTA
http://leopardo.aragon.unam.mx/labsec/
DGSCA Centro Nuevo León, UNAM,
Mayo 16, 2007
107

Aplicaciones Criptográficas
SSH (Secure SHell)
http://www.ssh.com/support/downloads/
OpenSSL: http://www.openssl.org/source/
PGP: http://www.pgp.com/downloads/index.html
GPG: http://www.gnupg.org

Correo Electrónico Seguro
S/MIME: http://www.ietf.org/html.charters/smimecharter.html

PKI (Public Key Infrastucture)
Verisign: http://www.verisign.com/productsservices/security-services/pki/index.html
OpenCA: http://www.openca.org/

Autoridades Certificadoras
Verisign: http://www.verisign.com/
Entrust: http://www.entrust.com/
 IDS (Intrusion Detection
Snort: http://www.snort.org
System)
Real Secure (ISS):
http://www.iss.net/latam/spanish/products_service/enterpris
e_protection/index.php
Cisco:
http://www.cisco.com/en/US/products/sw/secursw/ps2113/in
dex.html
 Firewalls
http://www.checkpoint.com/
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
http://www.watchguard.com/
http://europe.nokia.com/nokia/0,,76737,00.html
 Monitores
de Red
Ntop (Network Top) http://www.ntop.org
Nagios http://www.nagios.org
 Sniffers
TCPDump http://www.tcpdump.org/
Ethereal http://www.ethereal.com
Windump http://www.winpcap.org/windump/
Etthercap http://ettercap.sourceforge.net/

Analizadores de Vulnerabilidades
Nessus http://www.nessus.org
LANGUARD http://www.gfi.com/languard/
Internet Scanner (ISS)
htttp://www.iss.net/products_services/enterprise_pr
otection/vulnerability_assessment/scanner_interne
t.php
Passwords Crackers
John de Ripper
http://www.openwall.com/john/

ISO/IEC 17799-2005
http://www.iso.org/iso/en/prodsservices/popstds/informationsecurity.html

ISO/IEC 27001
http://www.bsiglobal.com/News/Releases/2005/Novemb
er/n4368cedc60947.xalter

Sarbanes Oxley http://www.s-ox.com/
ANTIVIRUS
AVAST (libre)
http://www.avast.com/eng/free_virus_protectio.ht
ml
CLAM WIN (libre) http://www.clamwin.com/

SYMANTEC http://www.symantec.com/index.htm
MCAFFE http://www.mcafee.com/es/
PANDA http://www.pandasoftware.com
AVG http://www.grisoft.com/doc/1
Descargar

Terrorismo y Delitos Informaticos: Nueva Realidad