Fernando de Bustos Rodríguez
Abril 2013
¿Estamos seguros?
 Riesgo
 Expectativas
 Contexto
Equilibrio seguridad / funcionalidad
Medidas de seguridad
Tecnología + Procesos + Personas
¿Qué queremos conservar?
 Confidencialidad (Privacidad)
 Integridad (Información)
 Disponibilidad (Servicio)
Tipos de incidentes
Incidencia
física
Ataque
lógico
Ataque
semántico
Hardware
(Equipos y
conexiones)
Software y
datos
Interpretación de
la información
- Catástrofes naturales.
- Incendios.
- Hurtos de equipos
- Intrusiones y accesos
no autorizados.
- Robo de información.
- Ingeniería social.
- Phishing.
- Timos.
- Hoax.
Incidentes con menores (I)
 Intimidad
- Grooming. (Acción deliberada de un adulto
hacia un joven para satisfacción sexual mediante
imágenes eróticas o sexuales).
- Datos privados.
- Uso y abuso multimedia.
- Reputación online.
- Sexting. (Enviar mensajes, fotos o videos
pornográficos sobre todo por el móvil)
Incidentes con menores (II)
 Ciberacoso (ciberbullying)
 Adicción.
 Contenidos inadecuados.
- Pornografía.
- Violencia (racismo, xenofobia, terrorismo,
redes criminales, etc.
- Apología a la anorexia/bulimia.
- Derechos de autor.
Activos de valor para el
usuario TIC
 Archivos informáticos.
 Archivos multimedia.
 Contraseñas y datos de acceso,
certificados, etc.
 Información financiera.
 Ancho de banda.
 Equipo informático.
Activos de valor para el
atacante.






Espacio del disco.
Potencia de cálculo.
Ancho de banda.
Credenciales.
Información financiera.
Otras motivaciones.
¿Seguridad?.
 Empresas e Instituciones: no tengo tiempo.
- No soy objetivo, no me pasará nada.
- ¿Cuánto vale el tiempo? ¿Y la información?.
- Seguridad física / lógica.
- Mezclar lo profesional con lo personal.
 Particulares: a mí no me afecta.
- Si te afecta: perderás tiempo y dinero.
- Ancho de banda, instalación, configuración…
- Fotos: del cole, vacaciones…
- Documentos: del cole, personales…
¿Para qué me quieren?.
 Lucro.
 Redes “zombie”.
 Puente de ataque.
 Enviar “Spam”.
 Alojar “Phishing”.
 Instalar servidores piratas
 Iniciación.
Redes “Zombie”.
- Millones de ordenadores esclavos al servicio de los estafadores en Internet.
- Ataques DDOS.
- Pasarela para comprometer sistemas.
- Envío de Spam.
- Realización de “Phishing” (alojamiento)
- Robo de datos personales.
- Robo de identidades.
- Alquiler de redes para organizaciones criminales
Grado de exposición.
 Uso compartido. (Cuando compartimos
archivos o documentos).
 Tipo de uso. (Profesional o personal).
 Tipo de S.O. (Sistema Operativo).
 Desconocimiento.
 Zona oscura: pornografía, cracks, serials,
descargas, p2p,.. o no tan oscura.
Amenazas.
 Malware.
 Intrusos.
 Fallos software.
 Fallos hardware.
 Contenidos: spam, phishing, adware,
fraudes….
 Errores humanos.
Malware (I)
 Virus informáticos. (Programa).
 Troyanos.
 Gusanos.
 Spyware y Adware.
 Keyloggers.
 Pharming.
 Phishing.
Malware (II)
 ¿Qué es un virus y cómo funcionan?
Los virus son programas maliciosos creados
para manipular el normal funcionamiento de
los sistemas, sin el conocimiento ni consentimiento de los usuarios.
Tipos de virus:
• por su capacidad de propagación
• por las acciones que realizan en el equipo
infectado.
 Según su capacidad de propagación.
Según a su capacidad de propagación, o mejor dicho de autopropagación, existen tres tipos de códigos maliciosos:
• Virus: Los ficheros infectados generalmente son ejecutables:
.exe, .src, o en versiones antiguas .com, .bat;
• Gusanos: Los gusanos se suelen propagar por:
• Correo electrónico
• Redes de compartición de ficheros (P2P)
• Explotando alguna vulnerabilidad
• Mensajería instantánea
• Canales de chat
• Troyanos: Carecen de rutina propia de propagación, pueden
llegar al sistema de diferentes formas, las más comunes son:
• Descargado por otro programa malicioso.
• Descargado sin el conocimiento del usuario al visitar una
página Web maliciosa.
• Dentro de otro programa que simula ser inofensivo.
 Según las acciones que realizan.
•
•
•
•
•
•
•
•
•
Adware.
Autorum
Bloqueador.
Bomba lógica.
Broma (Joke).
Bulo (Hoax).
Capturador de pulsaciones (Keylogger).
Clicker.
Criptovirus (Ransomware).
• Descargador (Downloader).
• El desbordamiento de memoria.
• Espía (Spyware).
• Exploit.
• Herramientas de fraudes.
• Instalador (Dropper).
• Ladrón de contraseñas (PWStealer).
• Marcador (Dialer).
• Payload.
• Publicidad incrustada (Spotify)
• Puerta trasera (Backdoor).
• Rogueware.
• Rootkit.
• Secuestrador del navegador (Browser hijacker).
• Software falso.
• Vulnerabilidades 0-day.
• Adware
Muestra publicidad, generalmente está relacionado
con los espías, es por lo que se suelen conectar a
algún servidor remoto para enviar la información
recopilada y recibir publicidad.
Algunos programas en sus versiones gratuitas o de
evaluación muestran este tipo de publicidad, en este
caso deberán avisar al usuario que la instalación del
programa conlleva la visualización de publicidad.
• Autorum
El principal objetivo de Autorun.INF es propagarse y
afectar a otros ordenadores.
Comprueba si el ordenador infectado se encuentra
conectado a una red. En caso afirmativo, realiza un
inventario de todas las unidades de red mapeadas y
crea una copia de sí mismo en cada una de ellas.
Mapeada: Es la acción por la cual se asigna una
letra a una unidad de disco, que se encuentra
compartida en una red de ordenadores, como si de
un disco más del ordenador se tratase
• Bloqueador
 Impide la ejecución de programas o aplicaciones,
también puede bloquear el acceso a determinadas direcciones de Internet.
 Generalmente impiden la ejecución de programas
de seguridad para que, resulte más difícil la detección
y eliminación de programas maliciosos del ordenador.
 Cuando bloquean el acceso a las direcciones de
Internet, éstas suelen ser de páginas de seguridad
informática; por un lado logran que los programas de
seguridad no se puedan descargar las actualizaciones, por otro lado, en caso de que un usuario se
quiera documentar de alguna amenaza informática, no
podrá acceder a las direcciones en las que se informa
de dicha amenaza.
• Bomba lógica
-Programa o parte de un programa que se instala en
un ordenador y no se ejecuta hasta que se cumple
determinada condición, por ejemplo, ser una fecha
concreta, ejecución de determinado archivo…
• Broma (Joke)
- No realiza ninguna acción maliciosa en el ordenador infectado pero, mientras se ejecuta, gasta una
“broma” al usuario haciéndole pensar que su ordenador está infectado, por ejemplo, mostrando un
falso mensaje de que se va a borrar todo el contenido del disco duro o mover el ratón de forma aleatoria.
• Bulo (Hoax)
- Mensaje electrónico enviado por un conocido que
intenta hacer creer al destinatario algo que es falso,
como alertar de virus inexistentes, noticias con contenido engañoso, etc, y solicitan ser reenviado a
todos los contactos.
- Algunos de estos mensajes pueden ser peligrosos
por la alarma que generan y las acciones que, en
ocasiones, solicitan realizar al usuario, por ejemplo,
borrando ficheros del ordenador que son necesarios
para el correcto funcionamiento del equipo.
• Capturador de pulsaciones (Keylogger)
Monitoriza las pulsaciones del teclado que se hagan
en el ordenador infectado, su objetivo es poder capturar pulsaciones de acceso a determinadas cuentas
bancarias, juegos en línea o conversaciones y mensajes escritos en la máquina.
• Clicker
Redirecciona las páginas de Internet a las que intenta
acceder el usuario, así logra aumentar el número de
visitas a la página redireccionada, realizar ataques de
Denegación de Servicio a una página víctima o engañar al usuario sobre la página que está visitando,
por ejemplo, creyendo que está accediendo a una
página legítima de un banco cuando en realidad está
accediendo a una dirección falsa.
• Criptovirus (Ransomware)
Hace inaccesibles determinados ficheros en el ordenador y coacciona al usuario víctima a pagar un
“rescate” (ransom en inglés) para poder acceder a la
información.
Por lo general, lo que hace es cifrar los ficheros con
los que suela trabajar el usuario, como por ejemplo,
documentos de texto, hojas Excel, imágenes…
• Descargador (Downloader)
Descarga otros programas (generalmente también
maliciosos) en el ordenador infectado.
Suelen acceder a Internet para descargar estos programas.
El desbordamiento de memoria
Es una forma de sobrepasar la memoria que hay
reservada para un dato, hablando en términos de
informática.
Cuando un programador hace un programa, no se
lía a escribir código todo secuencia, lo normal es
utilizar pequeñas funciones que estructuran ese
código y lo hacen más legible.
• Espía (Spyware)
Roba información del equipo para enviarla a un
servidor remoto. El tipo de información obtenida varía
según el tipo de espía, algunos recopilan información
relativa a los hábitos de uso del ordenador, como el
tiempo de uso y páginas visitadas en Internet; sin
embargo, otros troyanos son más dañinos y roban
información confidencial como nombres de usuario y
contraseñas. A los espías que roban información
bancaria se les suele llamar Troyanos Bancarios.
• Exploit
Tipo del software que se aprovecha de un agujero o
de una vulnerabilidad en el sistema de un usuario
para tener el acceso desautorizado al sistema.
• Herramienta de fraude
Simula un comportamiento anormal del sistema y
propone la compra de algún programa para solucionarlo.
Los más comunes son los falsos antivirus, que informan de que el ordenador está infectado, cuando
en realidad el principal programa malicioso que tiene es la herramienta fraudulenta.
• Instalador (Dropper)
Instala y ejecuta otros programas, generalmente
maliciosos, en el ordenador.
• Ladrón de contraseñas (PWStealer)
Roba nombres de usuario y contraseñas del ordenador infectado, generalmente accediendo a determinados ficheros del ordenador que almacenan esta
información.
• Marcador (Dialer)
Actúa cuando el usuario accede a Internet, realizando
llamadas a Números de Tarificación Adicional (NTA),
lo que provoca un considerable aumento en la factura
telefónica del usuario afectado.
Este tipo de programas está actualmente en desuso
porque sólo funcionan si la conexión a Internet se
hace a través del Módem, no se pueden realizar llamadas a NTA en conexiones ADSL o WiFi.
• Payload
Es el daño causado por un programa malicioso.
La palabra "payload" en inglés significa contador, pagador, pago
de carga, etc. En informática, payload son el o los efectos nocivos y hasta irreparables. El objetivo de un desarrollador de
virus, es generar un payload, no solamente dañino, sino que
genere efectos secundarios nocivos.
1. Daño a los archivos o áreas del sistema…
2. Corrupción de borrado de archivos.
3. Formateo de discos duros, etc.
4. La propagación a través de correo electrónico, Mensajería
Instantánea, Chat, redes compartidas Peer to Peer, liberación
de troyanos/Backdoor, etc.
5. Efectos secundarios como la deshabilitación o término de los
procesos de software antivirus, firewalls, etc.
6. Algunos mensajes o cajas de diálogo en la pantalla.
7. Todo el daño que la mente de los creadores de virus puedan
crear y desarrollar.
• Puerta trasera (Backdoor)
Permite el acceso de forma remota a un S.O., página Web
o aplicación, haciendo que el usuario evite las restricciones de control y autenticación que haya por defecto.
Puede ser utilizado por responsables de sistemas o
webmasters con diversos fines dentro de una organización, pero también puede ser utilizados por atacantes
para realizar varias acciones en el ordenador infectado,
por ejemplo:
Utilizar los ficheros que desee para leer su información,
moverlos, subirlos al ordenador, descargarlos, eliminarlos…
Reiniciar el ordenador
Obtener diversa información de la máquina infectada:
nombre del ordenador, dirección MAC, sistema operativo
instalado…etc.
• Rogueware
Rogueware es un término poco conocido pero debería
serlo, ya que actualmente es la forma más común para
la distribución de virus y malware.
Podemos definirlo como una aplicación que intenta asemejarse a otra, ya sea por nombre o por apariencia, con
la única finalidad de engañar y timar al usuario.
Este tipo de aplicaciones generalmente se crean con el
objetivo de conseguir una compensación económica por
su supuesto uso.
La forma más común de Rogueware es la que se aprovecha de la ingenuidad de la personas al ofrecerles la
descarga gratuita de programas antivirus/spam/adware
falsos que al ser instalados “hacen un análisis” cuyos
resultados indican que la computadora está infectada
con cientos de virus.
• Rootkit
-Toma el control de Administrador (“root” en sistemas
Unix/Linux) en el sistema, generalmente para ocultar
su presencia y la de otros programas maliciosos en el
equipo infectado; la ocultación puede ser para esconder los ficheros, los procesos generados, conexiones
creadas…
-También pueden permitir a un atacante remoto tener
permisos de Administrador para realizar las acciones
que desee.
- Cabe destacar que los rootkits hay veces que se
utilizan sin fines maliciosos.
• Secuestrador del navegador (browser
hijacker)
- Modifica la página de inicio del navegador, la página
de búsqueda o la página de error por otra de su elección, también pueden añadir barras de herramientas
en el navegador o incluir enlaces en la carpeta de
“Favoritos”.
-Todas estas acciones las realiza generalmente para
aumentar las visitas de la página de destino.
• Vulnerabilidad 0-day
Cualquier programa del ordenador puede tener una vulnerabilidad que puede ser aprovechada para introducir
programas maliciosos en el ordenador.
Es decir, todos los programas que haya instalados en el
equipo, ya sean: Sistemas Operativos, Windows, Linux,
MAC OS, etc, navegadores Web, Internet Explorer,
Firefox, Opera, Chrome, etc, clientes de correo Outlook,
Thunderbird, etc, o cualquier otra aplicación: reproductores multimedia, programas de ofimática, compresores
de ficheros, etc, es posible que tengan alguna vulnerabilidad que sea aprovechada por un atacante para
introducir programas maliciosos.
Para prevenir quedarse infectado de esta forma, recomendamos tener siempre actualizado el software el
equipo.
Otros tipos de virus
• Ejecutables.
• Macro.
• Polimórficos.
• Residentes.
• Del sector de arranque.
Vías de contagio: Internet.
 Internet.
• Vulnerabilidades (ataques TCP/IP navegación webs hackeadas).
• Drive-by Dowload: descarga y ejecución
de archivos.
• Correo electrónico: enlaces, adjuntos y
HTML.
• Mensajería instantánea.
• Redes sociales.
Otras vías de contagio.
• Medios físicos.
• Documentos manipulados.
• Software pirateado y cracks.
• Codecs de vídeo.
Nomenclatura del malware.
 CARO. Computer Research Antivirus Organization.
Familia/Grupo. Variante-tipo.
 W32/Hybris.A-mm. Virus Hybris para Windows 32 bit en su
variante A (primera) que tiene capacidad mass mailing o envío
masivo de correo electrónico infectado.
 W32/Bagle.dldr. Virus Bagle para Windows 32 bit con
capacidad de autodescarga (Downloader).
 [email protected] Virus Netsky para Windows 32 bit en su
variante P con capacidad mass mailing.
 W32/Sdbot.DKE.worm. Virus Sdbot para Windows 32 bit en su
variante DKE con capacidad de gusano.
 Generic/PWS.a-trojan. Troyano genérico (afecta a varios sistemas) de nombre PWS en su variante A.
 Exploit-PDF.q.gen!stream. Documento especialmente manipulado (Exploit) genérico (afecta a varios sistemas) en formato PDF
en su variante Q con capacidad de dividirse en subarchivos
(Stream).
Correo basura (Spam).
• Tosco, burdo, sin buena traducción.
• Falsos premios, novias rusas, rolex, viagra…
• Mulas.
• Evolución redes sociales y mensajería
instantánea.
• Control del Spam:
- Dirección alternativa.
- No publicación en web.
- Bugmenot.
Tendencias actuales
• Del hacker a las mafias.
• De los puntual a lo masivo.
• Aumenta el % de infectados.
• Rentabilidad: muchos delitos pequeños
mejor que uno grande, se diluye la persecución.
• Nuevos frentes:
- Wifi, Pendrives, Smartphones, Redes
Sociales…
Tendencias actuales
• Robo de credenciales personales.
• DUMPs. Paquetes de datos de tarjetas de
crédito (goldendump.com).
• Ciberdelito instantáneo, justicia lenta.
• Organizaciones pequeñas y muy especializadas: (programadores, distribuidores, recopiladores, revendedores, blanqueadores.)
• Alquiler bajo petición.
Lo más seguro…
• No conectar a Internet ni en red local.
• No instalar nuevos programas.
• No introducir medios externos (DVD, CD,
USB, etc.
• O bien...
¿Qué debo hacer?...
• No a los viejos consejos.
o ¿Sentido común?
o Con un antivirus estoy protegido al 100%.
o Si no abro ejecutables estoy protegido.
• No a la cuenta de administrador.
• Actualizar el software.
• Mantenerse informado.
• Protección física.
• Copias de seguridad.
Vacunas…
• Antivirus.
• Escaneadores.
• Antispyware.
• Cortafuegos (Firewall).
• Software alterternativo.
• Navegación SSL.
• Cuidado con la wifi.
• Sistema de alimentación ininterrumpida.
• Máquinas virtuales.
• Específicos para algunos virus.
… y remedios?
• El clásico formateo.
• Herramientas de eliminación (Removal tools).
• Congelador.
• Copias de seguridad.
• Restaurar sistema.
• Imágenes de disco.
• Live CD.
Herramientas I
• Contraseñas seguras, password.es.
• Keepass. Xmarks
• Antivirus free: Avira, AVG, Avast...
• Antivirus online.
• htpp://www.av-comparatives.org/
• Removal tools.
• Restaurar sistema.
• Actualizaciones automáticas.
Herramientas II
• Firewall o cortafuegos.
• Usuarios Windows / Linux, el problema del
administrador omnipresente.
• Originalidad: Firefox vs, Explorer, Linux vs,
Windows, Thunderbird vs, Outlook, etc
• Congelador.
• Copias de seguridad:
o Totales, diferenciales, incrementales.
o Cobian Backup.
Herramientas III
• Spyware.
• http://www.siteadvisor.com/
• Norton Ghost / Clonezilla / G4L
• Ipconfig, netstat, msconfig.
• Virus total.
• Protección en documentos (Office, PDF,….)
• Control parental.
• Máquinas virtuales.
• Útiles gratuitos de INTECO
Diseño red educativa.
• VLAN.
• Switches gestionables.
o Capa 2 y Capa 3
o Administración gráfica/comandos.
• Servidores.
• Firewall: protección local y perimetral.
• Proxy caché. Filtrado de contenidos.
• QoS.
• Optenet, CiberGest.
Biblioteca de recursos.
• INTECO: Instituto Nacional Tecnologías
de la Comunicación.
• VIL: Virus Information Library de Mcafee.
• Panda: Enciclopedia de virus.
• Symantec Security Response.
Citas I.
• Pienso que los virus informáticos muestran la naturaleza humana: la única forma
de vida que hemos creado hasta el momento es puramente destructiva.
Stephen Hawking
• Las contraseñas son como la ropa inte-
rior. No puedes dejar que nadie la vea,
debes cambiarla regularmente y no debes
compartirla con extraños.
Chris Pirillo
Citas II.
• El único sistema seguro es aquél que está
apagado en el interior de un bloque de hormigón protegido en una habitación sellada,
rodeada por guardias armados muy bien pagados, y aún así, permítanme dudarlo.
Gene Spafford
• Saber romper medidas de seguridad no hace que seas hacker, al igual que saber hacer
un puente en un coche no te convierte en un
ingeniero de automoción.
Eric Raymond
Descargar

Seguridad TIC dentro y fuera del aula (en