Академический Документы
Профессиональный Документы
Культура Документы
Seguridad de La Informacion - Conceptos Fundamentales - Oficina Nacional de Tecnologias de Informacion
Загружено:
asddsa123456Авторское право
Доступные форматы
Поделиться этим документом
Поделиться или встроить документ
Этот документ был вам полезен?
Это неприемлемый материал?
Пожаловаться на этот документАвторское право:
Доступные форматы
Seguridad de La Informacion - Conceptos Fundamentales - Oficina Nacional de Tecnologias de Informacion
Загружено:
asddsa123456Авторское право:
Доступные форматы
Seguridad de la Informacin
Conceptos Fundamentales
SGP SsGE INAP
SECRETARIA DE LA GESTION PUBLICA Subsecretara de Gestin y Empleo Pblico Instituto Nacional de la Administracin Pblica
Seguridad de la Informacin: ndice
ndice
> >
Presentacin............................................................................................................................... 2 Fundamentos de la seguridad de la informacin........................................................................... 5 Conceptos fundamentales Principios de seguridad: condencialidad, integridad y disponibilidad Riesgos para la seguridad de la informacin Estrategias de ataque ingeniera social Ingeniera de datos Ataques a contraseas Polticas de Seguridad de la Informacin (PSI) Buenas prcticas: escritorios y pantallas limpios
>
Uso de Contraseas..................................................................................................................... 15 Control de acceso lgico a los sistemas de informacin Clave de acceso Caractersticas de una contrasea segura Fortaleza de la clave de acceso Recomendaciones para la eleccin de contraseas Recomendaciones para el uso de contraseas
>
Phishing: solicitud de datos condenciales.................................................................................. 21 Correo electrnico: Conceptos fundamentales Direccin de correo electrnico Dominio de Internet Sitios de Internet: indicadores de seguridad Cadenas de correo electrnico Mensajes no solicitados (SPAM) Estrategias de ataque: Phishing Identicacin de tcnicas de engao Recomendaciones para evitar ser vctima de Phishing
> >
Glosario....................................................................................................................................... 30 Normativa.................................................................................................................................... 33
Seguridad de la Informacin: Presentacin
Presentacin
Le damos la bienvenida al curso Seguridad de la informacin: conceptos fundamentales. Esta propuesta de capacitacin electrnica est orientada a contribuir al desarrollo de las polticas de seguridad informtica de la Ocina Nacional de Tecnologas de la Informacin (ONTI). Se enmarca en el Programa de Capacitacin Electrnica (PROCAE), cuyo objetivo es el desarrollo de la formacin en la modalidad e-learning (formacin en lnea) de los agentes de la Administracin Pblica Nacional (APN). Se encuentra dirigida a la formacin generalizada de los agentes de la APN usuarios de computadoras a cargo de tareas administrativas, sin conocimientos previos en seguridad informtica. A travs de la comprensin de ciertos conceptos elementales se espera generar un proceso de reexin sobre las implicancias de ciertas prcticas que pueden afectar la informacin tanto personal como de los organismos en donde se desempean, y promover la realizacin de prcticas responsables en el manejo de herramientas informticas de uso habitual.
Contenidos
El contenido del curso se estructura a partir de dos situaciones habituales que pueden generar incidentes para la seguridad de la informacin: el uso de contraseas y la solicitud de datos condenciales (phishing). Estas situaciones se presentan en el material multimedia del Entorno Virtual de Aprendizaje del Procae. A partir del anlisis de los casos, se desarrollan diferentes conceptos y recomendaciones. El contenido de este material impreso se divide en tres secciones, y se organiza fundamentalmente a partir de la secuencia que presentan los casos del material multimedia. La primera seccin desarrolla algunos conceptos bsicos que se retomarn a lo largo de todo el curso. Las secciones siguientes abordan cada uno de los ejes problemticos de las situaciones: el uso de contraseas y la solicitud de datos condenciales: Fundamentos de la seguridad de la informacin Conceptos fundamentales Principios de seguridad: condencialidad, integridad y disponibilidad Riesgos para la seguridad de la informacin Estrategias de ataque ingeniera social Ingeniera de datos Ataques a contraseas Polticas de Seguridad de la Informacin (PSI) Buenas prcticas: escritorios y pantallas limpios
>
>
Uso de Contraseas Control de acceso lgico a los sistemas de informacin Clave de acceso Caractersticas de una contrasea segura Fortaleza de la clave de acceso Recomendaciones para la eleccin de contraseas Recomendaciones para el uso de contraseas
Seguridad de la Informacin: Presentacin
>
Phishing: solicitud de datos condenciales Correo electrnico: Conceptos fundamentales Direccin de correo electrnico Dominio de Internet Sitios de Internet: indicadores de seguridad Cadenas de correo electrnico Mensajes no solicitados (SPAM) Estrategias de ataque: Phishing Identicacin de tcnicas de engao Recomendaciones para evitar ser vctima de Phishing
En este material podrn encontrar un glosario de trminos informticos y el listado de normativa vigente en Argentina vinculada a la seguridad de la informacin.
Materiales
Teniendo en cuenta que se trata de una capacitacin a distancia, en la modalidad e-learning los participantes cuentan con los siguientes recursos para llevar adelante su estudio.
Material impreso
El presente material contiene los desarrollos conceptuales y las recomendaciones principales que se derivan de los temas abordados en los casos que se presentan en el material multimedia. Los contenidos, que se detallaron ms arriba, se organizan en tres secciones.
Material multimedia
El material multimedia presenta dos situaciones cotidianas a modo de casos, en los que la seguridad de la informacin tanto personal como de las organizaciones donde trabajamos- puede verse amenazada: Uso de contraseas y Phishing: solicitud de datos condenciales. El anlisis de los casos permite introducir algunos conceptos fundamentales y reexionar sobre consecuencias de algunas prcticas habituales. A su vez, de este anlisis se derivan una serie de recomendaciones que promueven un uso seguro de la informacin. A travs de la barra lateral de navegacin podr optar por visualizar las diferentes secciones de cada caso, todas las veces que considere necesarias.
Otros recursos
Adems de los materiales detallados, contar con los siguientes recursos y herramientas para favorecer el estudio a distancia:
> > >
Lecturas: para consultar otros textos de lectura complementaria al material del curso. Sitios Web relacionados: son accesos a las pginas de Internet que ofrecen contenidos relacionados con las temticas del curso. Glosario: con los trminos o expresiones que adquieren signicado especco en el curso. Se encuentra disponible tanto en este material impreso como en el entorno virtual, para consultar en lnea.
Seguridad de la Informacin: Presentacin
> > >
Normativa: incluye un listado de la normativa vigente que regula aspectos de la seguridad de la informacin. Videos relacionados que ilustran situaciones de la vida cotidiana vinculadas con la seguridad de la informacin y un video introductorio que ilustra la dimensin de la problemtica que se aborda en el curso. Adems, desde la pgina principal del Programa (https://procae.sgp.gov.ar) puede accederse a una Mesa de Ayuda, para solicitar asistencia ante cualquier problema con la plataforma o acceso al curso.
Espacios de interaccin
En el entorno virtual, encontrar diversas herramientas de comunicacin:
>
Foro de los Participantes: que permite promover el intercambio asincrnico de opiniones sobre las temticas del curso entre los inscriptos de todo el pas. Espacio del Tutor: en el cual un tutor publicar las respuestas a las consultas referidas a los temas del curso. Este es un espacio de uso exclusivo del tutor. El tutor es un especialista en los contenidos del curso al que el participante podr recurrir cada vez que lo necesite. La frecuencia con la que atender y responder las consultas ser comunicada a los participantes en su primer mensaje.
>
Evaluacin
En el entorno virtual encontrar 2 autoevaluaciones para realizar en lnea. El propsito fundamental es que a partir de ellas usted vaya sistematizando el contenido desarrollado en el curso. Para acreditar el curso es necesario aprobar las 2 actividades de evaluacin. Para nalizar, le acercamos algunas sugerencias para el estudio. Lea atentamente cada una de las secciones y autoevale su aprendizaje realizando las actividades. No deje de recorrer los vnculos recomendados ni de leer las lecturas complementarias: lo ayudarn a profundizar sobre las distintas temticas desarrolladas. Aproveche todos los recursos que estn disponibles para usted en el entorno virtual. Encontrar en el entorno una explicacin detallada sobre Cmo navegar este curso? Lo alentamos especialmente a interactuar con sus compaeros del curso en el Foro de Participantes para intercambiar experiencias y opiniones que seguramente sern valiosas para su aprendizaje. Si tiene dudas, no deje de consultar a su tutor o tutora. Lo invitamos a iniciar la lectura y la navegacin
Fundamentos de la seguridad de la informacin
Seguridad de la Informacin: Fundamentos de la seguridad de la informacin
Conceptos fundamentales
La informacin es un activo importante con el que cuentan las organizaciones para satisfacer sus objetivos y es crtica para su desempeo y subsistencia. Por este motivo, es fundamental tener presente que existen amenazas que pueden afectarla. Es por ello que deben tomarse recaudos e implementar controles para protegerla. Para abordar la complejidad del proceso de seguridad de la informacin, deben tenerse presente ciertos conceptos que explican cmo puede originarse un riesgo y qu efectos puede provocar. El siguiente esquema muestra las nociones centrales que se relacionan con la temtica de la seguridad de la informacin y sern desarrolladas a continuacin:
Amenaza
Vulnerabilidad
Riesgo
Incidente
Seguridad de la Informacin
Confidencialidad
Integridad
Disponibilidad
Cuando en el mbito de la seguridad informtica mencionamos el concepto de incidentes nos referimos a aquellos eventos adversos en un entorno informtico, que pueden comprometer o comprometen la condencialidad, integridad y/o disponibilidad de la informacin as como tambin las amenazas inminentes de violacin o las violaciones concretas de una poltica de seguridad de la informacin, de polticas de uso aceptable o de mejores prcticas de seguridad.
Principios de seguridad: condencialidad, integridad y disponibilidad
Qu podra ocurrir si en la dependencia donde trabajamos alguien accediera a la informacin personal que se tiene de los ciudadanos o de los empleados del organismo (por ejemplo, ingresos anuales, deudas impositivas, domicilio o historia clnica), sin la debida autorizacin? Podemos imaginar una serie de riesgos que afectan a las instituciones y cmo podran impactar negativamente en la vida cotidiana de las personas. En estos casos, se entiende que debe protegerse no solo la informacin en su totalidad, sino tambin las piezas individuales que pueden ser utilizadas para inferir otros elementos de informacin condencial.
La propiedad por la cual se garantiza el acceso a la informacin slo a aquellas personas autorizadas para evitar su divulgacin inapropiada se denomina condencialidad.
Seguridad de la Informacin: Fundamentos de la seguridad de la informacin
Qu ocurrira si se alteraran los datos contenidos en nuestras PC o se cambiara su conguracin, sin la debida directiva o autorizacin? Seguramente en muchos casos, esto tendra graves consecuencias para nosotros, para el organismo y/o para terceros. Es necesario proteger la informacin contra la modicacin sin el permiso del dueo. La informacin a ser protegida incluye no slo la que est almacenada directamente en los sistemas de cmputo sino que tambin se deben considerar otros elementos como respaldos, documentacin, registros de contabilidad del sistema, trnsito en una red, etc. La propiedad por la cual se garantiza la proteccin contra modicaciones no autorizadas para evitar su alteracin de la informacin se denomina integridad.
Supongamos ahora que un organismo publica informacin importante en su sitio web, como por ejemplo vencimientos de pagos, instrucciones para realizar un trmite complicado como la presentacin en lnea de declaraciones juradas, y alguien impide que se pueda acceder a dicho sitio. De nada sirve la informacin si se encuentra intacta en el sistema pero los usuarios no pueden acceder a ella. Proteger la informacin tambin signica garantizar que se encuentre disponible en tiempo y forma para aquellas personas autorizadas, de manera que puedan acceder al sistema, actualizar o modicar trabajos existentes, etc.. Esta propiedad se conoce como disponibilidad.
Riesgos para la seguridad de la informacin
Las buenas prcticas en seguridad de la informacin protegen a este activo contra una amplia gama de amenazas, tanto de orden fortuito destruccin parcial o total por incendio inundaciones, eventos elctricos, etc. - como de orden deliberado fraude, espionaje, sabotaje, vandalismo, etc. Las amenazas a la seguridad de la informacin son sucesos que atentan contra la condencialidad, integridad y/o disponibilidad de la informacin. Existen diferentes tipos de amenazas y distintas formas de clasicarlas. El esquema que sigue presenta una posible clasicacin:
Naturales Internas Maliciosas Humanas
Amenazas
Externas No Maliciosas
Impericias
Las amenazas naturales son fortuitas, y su origen se asocia a catstrofes naturales: huracanes, terremotos, tormentas de nieve, erupciones volcnicas, inundaciones, etc.
Seguridad de la Informacin: Fundamentos de la seguridad de la informacin
Las amenazas humanas pueden ser tanto fortuitas o accidentales como intencionales. En el primer caso se consideran amenazas no maliciosas. Estos eventos accidentales pueden deberse a explosiones, incendios, cortes de energa u otros suministros, rotura de tuberas, desastres nucleares, choques de vehculos. Estos eventos se explican ms por la impericia que por la intencin de causar daos. Las amenazas maliciosas, en cambio, se vinculan con eventos intencionales, deliberados, como las posibilidades de robo de equipamiento, sabotaje, suplantacin de identidad, interrupcin deliberada de servicios, etc. y pueden provenir de integrantes de la organizacin o de personas externas a ella. Una amenaza implica una violacin potencial a la seguridad. Luego la amenaza puede o no materializarse, explotando una vulnerabilidad. Una vulnerabilidad es una debilidad en un control, o la inexistencia de este. Por ejemplo, si una ocina no cuenta con los extintores de incendios reglamentarios, entonces decimos que presenta una vulnerabilidad, ya que no existe el control necesario para tratar posibles incendios. El riesgo resulta de la combinacin de la probabilidad de que una amenaza explote una vulnerabilidad y del impacto resultante en la organizacin. En el mbito de la seguridad informtica, nos referimos a impacto en trminos de los posibles efectos negativos sobre la seguridad de la informacin. Un incidente de seguridad ocurre en el preciso momento en que una amenaza explota una vulnerabilidad existente. Un incidente puede afectar a recursos fsicos (ej.: impresoras, servidores de archivos), recursos lgicos (ej.: bases de datos) y servicios (ej.: correo electrnico, pgina Web). Existen cuatro tipos de incidentes en el modelo de relacin productor consumidor de informacin.
1. El primer tipo de incidente que muestra el esquema es la interrupcin. En este caso resulta afectada la disponibilidad de la informacin. Esta alteracin se observa por ejemplo cuando alguien da de baja el servidor y se ve afectado el servicio de correo electrnico, lo que impide enviar correos. En otros casos la interrupcin puede deberse a la falta de energa elctrica que impide encender la impresora y por lo tanto, imprimir un documento y tenerlo disponible en formato papel. 2. El segundo tipo de incidente se denomina intercepcin y pone en riesgo la condencialidad de la informacin que un productor transmite a un consumidor. Por ejemplo, con el objetivo de leer informacin, una persona no autorizada a hacerlo puede implantar un programa que duplique los correos electrnicos de una direccin y enve la copia de cada correo a otra direccin. 3. Un tercer caso de incidentes se conoce como modicacin y afecta directamente la integridad de los datos que le llegan al consumidor. Por ejemplo, si alguien logra ingresar al servidor Web como webmaster y cambia los contenidos, los datos que mostrar la Web no sern los reales. Otra modicacin puede darse sobre la base de datos de pagos en cuentas corrientes de un banco, al implantarse un programa que redondea en menos los pagos y carga los redondeos a una cuenta corriente predeterminada. 4. El cuarto y ltimo tipo de incidentes es el de la produccin impropia de informacin. En este caso la informacin que recibe el consumidor es directamente falaz y por lo tanto se afecta a la integridad. Esta situacin puede darse si alguien se apropia de la contrasea del webmaster, ingresa al servidor y modica el direccionamiento de manera que se cargue, en lugar de la pgina original de la organizacin, otra pgina Web.
Seguridad de la Informacin: Fundamentos de la seguridad de la informacin
Veamos la relacin de los conceptos que venimos deniendo en un ejemplo. Vulnerabilidades: > escasos o decientes controles fsicos de acceso a la ocina y en las instalaciones en general; > falta de proteccin de la informacin importante contenida en las computadoras porttiles. Amenaza: posibilidad de robo de computadoras porttiles. Probabilidad de ocurrencia de la amenaza: dos veces al ao. Incidente: acceso a las ocinas y robo de computadora porttil del jefe de compras. Impacto: prdida y divulgacin de informacin, prdida econmica, etc. Riesgo1: medio. Las amenazas a los sistemas de informacin pueden aumentar por diversas razones:
> > > > > > >
mayor dependencia de los sistemas, servicios de informacin y de tecnologas asociadas; crecimiento exponencial de las redes y usuarios interconectados; profusin de las bases de datos en lnea; inmadurez de las nuevas tecnologas; alta disponibilidad de herramientas automatizadas para ataques a la seguridad; usos maliciosos de las tecnologas; crecimiento de la delincuencia informtica.
1 El nivel del riesgo vara de acuerdo a la escala denida por cada organizacin, y se establece en base a la combinacin de la probabilidad de ocurrencia y el impacto.
Seguridad de la Informacin: Fundamentos de la seguridad de la informacin
Estrategias de ataque
Dentro de las estrategias de ataque a la seguridad de la informacin vamos a referirnos a tres procedimientos: Ingeniera Social, Ingeniera de datos y ataques a contraseas.
Ingeniera Social
Se dice que la nica computadora segura es la que est desenchufada.en una caja fuerte, con la cerradura sellada y enterrada bajo hormign...y aun as existen riesgos. Generalmente estamos acostumbrados a asociar la seguridad de un sistema con las herramientas informticas que aplican seguridad o bien con controles fsicos. Pero olvidamos que las personas se encuentran directamente relacionadas con los sistemas de informacin. Precisamente la Ingeniera Social explora el factor ms vulnerable de todo sistema: el ser humano, aprovechando, por ejemplo, excesos de conanza, falta de reserva y otras debilidades de las personas. El concepto de Ingeniera Social proviene del ingls: Social Engineering. Se trata de un conjunto de tcnicas de engao que se aplican sobre las personas para obtener de ellas informacin de inters para el atacante, o para lograr que efecten alguna accin deseada por este. A travs de trucos, engaos o artimaas se busca confundir a una persona para que entregue informacin condencial o bien los datos necesarios para acceder a ella o para comprometer seriamente un sistema de seguridad. Por ejemplo: para averiguar el horario de trabajo de un integrante de la familia, alguien puede realizar llamados al hogar y hacerse pasar por un vendedor, con una buena oferta. Depender de quin atienda, el brindar o no esa informacin. Con estas tcnicas se suelen recolectar datos personales como nmeros de telfono, celular, nmero de documento, composicin familiar, gustos, enfermedades, cuentas bancarias, tarjetas de crdito, claves de seguridad, etc. Siempre depender de la vulnerabilidad de la vctima y de la habilidad de quien realiza el engao. La mejor manera de estar prevenido es tener conocimiento del tema. Para evitar que la Ingeniera Social sea utilizada para atacar la informacin, se debe primeramente informar a las potenciales vctimas sobre este tipo de tcnicas, de forma que se encuentren prevenidas y puedan reaccionar con el objeto de rechazar estos ataques. Adems, es necesario tener en cuenta que continuamente se ingenian nuevas estrategias, por lo que insistimos con ser precavidos y estar alertas. A lo largo de este curso trabajaremos conceptos y procedimientos fundamentales para mitigar los intentos de Ingeniera Social y de otras estrategias.
Ingeniera de datos
Tambin se realiza ingeniera cuando se recolectan datos publicados por los usuarios en Internet. En especial, quienes realizan estas acciones indagan varias fuentes: perles en redes sociales, fotologs, blogs, participacin en foros o grupos. De esta forma se obtiene informacin personal que luego puede ser utilizada para congurar pruebas metdicas y obtener el acceso a sistemas de informacin. Es por este motivo que se recomienda no subir ningn tipo de informacin personal a estos sitios.
10
Seguridad de la Informacin: Fundamentos de la seguridad de la informacin
Ataques a contraseas
Para lograr el acceso a un sistema se pueden utilizar adems diversas herramientas que realizan intentos para descubrir cmo acceder a un sistema de manera automtica. Existe una prueba metdica de contraseas para lograr el acceso a un sistema en el que se prueban una a una todas las palabras de un diccionario. Esta prueba se denomina ataques por diccionarios. El diccionario puede inclusive estar confeccionado especialmente de acuerdo al tipo de usuarios (profesionales, informticos, etnias, zonas geogrcas, etc.). Existen, por ejemplo, diccionarios argentinos donde encontramos palabras propias de nuestro dialecto. Debido al poder computacional de los equipos actuales este tipo de ataques no representan un tiempo signicativo ni necesidades extraordinarias de equipamiento. Por otra parte, se han desarrollado programas que generan todas las combinaciones posibles de letras, nmeros y smbolos y forman as contraseas. Luego, cada una de estas combinaciones se prueba de manera automtica. Esta tcnica se denomina ataque por fuerza bruta. Dependiendo del mecanismo de proteccin y de la longitud de las claves, esta tcnica puede ser ms o menos efectiva al igual que el ataque por diccionario.
11
Seguridad de la Informacin: Fundamentos de la seguridad de la informacin
Polticas de Seguridad de la Informacin (PSI)
Hasta el momento hemos analizado cules son los riesgos a los que se encuentra expuesta la seguridad de la informacin y especicamos los motivos por los que es necesario asegurar este activo tan importante para las organizaciones y las personas. Es en este contexto que cobran relevancia las Polticas de Seguridad de la Informacin que determinan qu conductas en relacin con los sistemas de informacin son permitidas y cules no. La PSI es un documento2 en el que el mximo nivel de la organizacin expone su intencin de proteger la informacin del organismo que administra y de brindar las garantas de seguridad. Se trata de un conjunto de directrices generales sobre las cuales deben asentarse todas las deniciones y acciones de seguridad. El diseo de la poltica contendr los lineamientos generales y debe ser seguida de una serie de normas y procedimientos detallados que se derivan de ella. Es decir, debern existir procedimientos y normas3, aceptadas, escritas, difundidas y controladas que materialicen la poltica para que no quede en una expresin de buenas intenciones. Para lograr proporcionar direccin y apoyo gerencial y brindar as seguridad de la informacin a toda la organizacin, son necesarios al menos dos requisitos:
> >
la designacin de un propietario que ser el responsable de su mantenimiento y su actualizacin a cualquier cambio que se requiera; la garanta de accesibilidad, de forma que los empleados estn al tanto de su existencia y entiendan su contenido.
El primer propsito de estas polticas es lograr un aumento de los niveles de seguridad en las organizaciones. La implementacin de una PSI permite a las organizaciones cumplir una gestin efectiva de los recursos de informacin crticos e instalar y administrar los mecanismos de proteccin adecuados. Esto redundar en una efectiva reduccin de los niveles de riesgo y de las vulnerabilidades, lo cual, en denitiva, se traduce en el ahorro de tiempo y dinero, la generacin de una mayor conanza y fortalecimiento de la imagen institucional. Las PSI implican una precisa planicacin de actividades. A travs de la actuacin de distintos actores, las organizaciones pueden armar una efectiva planicacin de las actividades a desarrollar, con el objetivo de hacer ms seguros sus sistemas. Esto es importante pues no slo asegura que se abarquen todas las reas relevantes, sino tambin el cumplimiento de los objetivos. Cuando se implementan PSI, se deben proyectar tambin las acciones a mediano y largo plazo que permitan una mejora continua. La PSI describe no solamente los aspectos a tener en cuenta en el proceso del alcance de los objetivos en materia de Seguridad de la Informacin, sino tambin los criterios de revisin y mejora continua para mantenerlos. Por ltimo, cabe reiterar que el xito de las PSI requiere el involucramiento y el conocimiento de cada uno de los integrantes de una organizacin. Y no solo de aquellos que son usuarios de sistemas informticos.
12
Puede ser un documento nico o estar inserto en un manual de seguridad. Las normas son deniciones concretas sobre el vnculo de cada uno de los temas de seguridad con las distintas tareas desarrolladas en la organizacin. Los procedimientos son un detalle de los cursos de accin a seguir por el personal ante distintas situaciones que surgen de las actividades operativas.
2 3
Seguridad de la Informacin: Fundamentos de la seguridad de la informacin
Escritorios y pantallas limpias
Debe tenerse en cuenta que la informacin sensible no solo es manejada en los sistemas informticos, sino que tambin se encuentra dispersa en otros medios, como por ejemplo archivos fsicos en papel, CDs, pendrives, formularios, etc. Es por ello que se deben establecer medidas de seguridad para la informacin fuera de los sistemas informticos. Como hemos visto, es crucial evitar que la informacin sensible llegue a manos de personas no autorizadas. Las ocinas son visitadas frecuentemente por proveedores, consultores, clientes, personal de limpieza y otros compaeros de trabajo. Una buena prctica consiste en mantener su escritorio lo ms limpio y organizado posible. Si est desordenado, es muy probable que usted no se d cuenta de que le falta algo. Es prioritario prestar atencin a la informacin sensible. De acuerdo al caso, puede considerarse informacin crtica o sensible alguno de los siguientes ejemplos:
> > > > > >
datos de empleados contratos nmeros de cuenta informes condenciales informacin con propiedad intelectual nombres de usuarios y contraseas
Respecto a la seguridad fsica, durante el da, es importante tomar los siguientes recaudos:
> > > >
Guardar los documentos sensibles bajo llave. Si se utiliza una notebook, mantenerla en un lugar seguro para evitar robos y asegurarla en lo posible con cables de seguridad. No dejar pendrives, CDs, disquetes, u otro elemento removible con informacin en lugares visibles y accesibles. Guardar su portafolio o cartera en muebles seguros.
El concepto de pantallas limpias apunta a no exponer en el monitor informacin que pueda ser utilizada por personas no autorizadas. Si una pantalla se encuentra desatendida podra ser una amenaza a la seguridad de la informacin del usuario y del organismo ya que otra persona podra operar de manera no autorizada. Las recomendaciones en este caso son:
> >
No dejar nunca desatendida su terminal. Si se debe abandonar, aunque sea momentneamente, su puesto de trabajo, bloquear la terminal con las facilidades que provee el sistema operativo o con un salvapantallas que solicite el ingreso de una clave para desbloquear la terminal.
Al terminar el da, es importante tomarse unos minutos para:
13
> >
Juntar y guardar en forma segura el material sensible. Cerrar con llave gabinetes, cajones y ocinas.
Seguridad de la Informacin: Fundamentos de la seguridad de la informacin
> > >
Asegurar el equipo costoso (notebook, PDA o computadoras de mano, etc.). Destruir en forma efectiva los documentos sensibles que tir al canasto de basura (usar mquinas picadoras de papel, etc.). Revisar que el lugar de trabajo est en orden, los equipos apagados y ningn documento sin guardar, antes de irse denitivamente de la ocina.
14
Uso de Contraseas
Seguridad de la Informacin: Uso de Contraseas
Control de acceso lgico a los sistemas de informacin
Conocer los mecanismos de control de acceso lgico a los sistemas de informacin es clave para proteger la disponibilidad, condencialidad e integridad de la informacin, Para asegurar el acceso a la informacin, se deben realizar tres pasos fundamentales:
Identicacin Autenticacin Autorizacin
Indicarle al sistema cul es la cuenta de usuario a utilizar. Demostrarle al sistema, por ejemplo mediante la introduccin de una clave, que el usuario es quien dice ser. Obtener los permisos que el usuario posee para acceder al recurso.
Se debe tener presente que se trata de conceptos diferentes: la identicacin es el proceso mediante el cual un usuario presenta una determinada identidad para acceder a un sistema mientras que la autenticacin es el mecanismo para validar la identidad del usuario. Todos los sistemas deben contar con un control de acceso adecuado mediante los tres pasos mencionados. Lo ideal para una autenticacin fuerte es contar al menos dos de los siguientes factores:
> > >
Algo que se conoce (Nombre de Usuario y Clave de Acceso) Algo que se posee (Por Ejemplo: una tarjeta magntica) Algo que se es, una caracterstica personal y nica (Por ejemplo: la huella digital)
Clave de acceso
Una clave de acceso o contrasea es un conjunto de caracteres utilizado por un sistema para completar el proceso de identicacin y autenticacin de un usuario que solicita acceder a un recurso, es decir, para asegurarse de que el usuario es quien dice ser. Estas contraseas son requeridas para acceder a la mayora de los servicios que se brindan por Internet, ya sea correo electrnico, redes sociales, banca electrnica o home banking, sitios de compra en lnea, servicios de Chat, portales de juegos, etc. No menos importantes son los accesos a redes internas corporativas o gubernamentales, conocidas como intranets, a las estaciones de trabajo o equipos hogareos, y a dispositivos de conexin, como routers o switches. Los escenarios donde se utilizan son muy variados y los lmites entre el uso laboral y hogareo no son jos. Si bien una clave de acceso brinda la posibilidad de ingresar a un servicio, debemos saber que se trata de un mecanismo de proteccin de recursos, como por ejemplo archivos de datos, sistemas de informacin, correo personal, etc., y que el nombre de usuario y la contrasea son las credenciales que nos permiten identicarnos para tener ese recurso disponible. Cuando un equipo informtico pertenece a una red interna que se encuentra conectada a Internet, el cuidado que debe tener cada integrante de la organizacin es ms importante ya que la responsabilidad sobre la seguridad integral de la informacin y de la red, es la suma de las responsabilidades que cada uno tiene al hacer uso de los recursos brindados para trabajar.
16
Seguridad de la Informacin: Uso de Contraseas
La falta de cuidado en la clave de acceso a un servicio puede poner en riesgo a toda la organizacin, poniendo en peligro no solo la informacin que pudiera ser personal, sino tambin los datos de la misma organizacin o de terceros. En el caso de una clave de correo electrnico, las consecuencias tambin son graves, ya que cualquier mensaje enviado ser adjudicado inicialmente al usuario habitual de esa cuenta. Si un tercero llega a hacerse de la clave de correo de un usuario puede leer sus correos y enviar otros a su nombre. Cualquier desconocimiento del envo de correos electrnicos deber ser probado, lo que implica una complicada investigacin. Por esta razn, el establecimiento de Polticas de Seguridad de la Informacin que mencionamos en el apartado anterior, su difusin, aplicacin y cumplimiento, resultan tan importantes. Descuidar una contrasea, o elegirla sin un buen criterio, posibilita que pueda ser obtenida muy fcilmente y utilizada para perjudicarlo de diversas maneras, tanto a usted como a la organizacin a la que pertenece. Es por ello que se deben establecer normas para el uso adecuado de las contraseas, para prevenir que estas sean vulneradas y utilizadas por terceros para acceder a su informacin y a los sistemas de forma ilegtima. Especcamente, se pueden generar los siguientes riesgos:
>
>
>
Suplantacin de identidad: una clave fcil de averiguar o mal preservada puede permitir que alguien se haga pasar por nosotros incluso sin que nos demos cuenta. Cuando se usa la misma clave para muchos servicios este riesgo crece. Robo de informacin: debido a que el nombre de usuario y contrasea es el mecanismo de proteccin de los sistemas ms utilizado, si este mecanismo es vulnerado por un descuido en la manipulacin de sus elementos, todo aquello que se desea proteger queda expuesto y es susceptible de ser robado. Intrusiones: la clave de acceso a un equipo est protegiendo tanto a la informacin como al equipo en s mismo. Las capacidades de procesamiento de los equipos pueden ser utilizadas en conjunto para diversos objetivos, como el envo de spam, ataques de sitios, robo de datos, etc. La intrusin es el acceso ilegtimo y est penado en nuestro Cdigo Penal 4.
Caractersticas de una contrasea segura
Para ser segura, una clave debe caracterizarse por ser:
> > > >
>
Personal: signica que se debe asignar una contrasea a cada persona que acceda al sistema. Secreta: signica que slo el usuario de la contrasea debe conocerla. Intransferible: la contrasea no puede ser revelada a ningn tercero para su uso. Modicable solo por su titular: el cambio de contrasea, sea cual fuere el motivo, debe ser realizado por el usuario. nicamente en situaciones excepcionales podra ser cambiada por el administrador, por ejemplo, cuando el usuario la hubiera olvidado o si estuviera en riesgo la seguridad de la organizacin, como sera en el caso de que fuera divulgada o detectada como dbil luego de una auditora5. Difcil de averiguar: para ser segura, el usuario debe seguir ciertos lineamientos que impidan su averiguacin: las claves no deben asociarse a caractersticas personales, como nombres, nmero de documento, etc.
17
4 5
Para mayor informacin puede consultarse el art. 8 de la Ley 26.388 disponible en www.infoleg.gov.ar En este caso, el usuario debe cambiarla inmediatamente despus de acceder a su cuenta.
Seguridad de la Informacin: Uso de Contraseas
Fortaleza de la clave de acceso
La importancia que tiene la longitud de la clave seleccionada, como as tambin el conjunto de caracteres utilizado, son aspectos importantes en la construccin de claves. Ilustramos para ello con el cuadro de las cantidades de combinaciones posibles de claves, segn su longitud y conjunto de caracteres incluidos. Cuantas ms combinaciones se puedan lograr, ms difcil ser su averiguacin mediante herramientas de fuerza bruta.
Longitud 6 8 8
Conjunto de Caracteres (*) 26 26 36
Cantidad de Combinaciones Posibles 308915776 208827064576 2821109907456
(*) Solo usando letras minsculas y letras minsculas + nmeros.
Usando una misma PC estndar, se verica que el tiempo necesario para encontrar todas las combinaciones posibles, probando 100000 claves por segundo, vara de acuerdo a la longitud de caracteres y del tipo y cantidad de caracteres que se utilizan para su combinacin. Longitud en caracteres 6 7 8 9 10 26 letras minsculas 50 minutos 22 horas 24 das 21 meses 45 aos 36 letras y dgitos 6 horas 9 das 10,5 meses 32,6 aos 1.159 aos 52 letras (minsculas y maysculas) 2,2 das 4 meses 17 aos 881 aos 45.838 aos 96 letras, dgitos, maysculas, minsculas y caracteres especiales 3 meses 23 aos 2,287 aos 219.000 aos 21.000.000 aos
Teniendo en cuenta los riesgos y las estrategias de ataque previstas, es necesario que se dena el procedimiento adoptado para la creacin de contraseas as como las condiciones de uso y el tipo de informacin al que se brinda acceso. Este procedimiento debe especicar:
> > > >
Un plazo de caducidad. Una longitud mnima. El conjunto de caracteres utilizables (en ciertas aplicaciones no se permiten, por ejemplo, caracteres especiales como *, $, #, etc.). Un diccionario de trminos no permitidos, como nombres propios, das de la semana, meses, estaciones del ao, etc., si fuera aplicable.
Recomendaciones para la eleccin de contraseas
Veamos ahora algunas de las tcnicas que pueden utilizarse para formar una clave robusta o fuerte, que conlleve cierta dicultad para averiguarla, pero que al mismo tiempo, permita ser recordada sin dicultad.
18
Seguridad de la Informacin: Uso de Contraseas
No utilice palabras comunes ni nombres de fcil deduccin por terceros (Ej: nombre de mascota). No la vincule a una caracterstica personal, (Ej: telfono, D.N.I., patente del automvil, etc.). No utilice terminologa tcnica conocida (Ej: admin). Combine caracteres alfabticos, letras maysculas y minsculas, nmeros, caracteres especiales. Utilice al menos 8 caracteres. Use un acrnimo de algo fcil de recordar (Ej: NorCarTren -Norma, Carlos, Tren). Aada un nmero al acrnimo para mayor seguridad (Ej: NorCarTren09 -Norma, Carlos, Tren, Edad del hijo). Sustituya ciertas letras por ciertos nmeros o smbolos (*, #, @, etc.), aplquelo a una frase de su cancin favorita o a una frase que conozca, y use algunas maysculas. (Ej: Verano del 42: VerDel4&d0s). Mejor an, elija una frase no conocida por otros (Ej.: 3duard0palmit0). Elija una palabra sin sentido, aunque pronunciable (Ej: galpo-glio). Elija una clave que no pueda olvidar, para evitar escribirla en alguna parte (Ej: arGentina6-0). Utilice las primeras letras de un dicho o frase clebre. Por ejemplo: NpmmsamT (No por mucho madrugar se amanece ms temprano). Preferentemente incluya adems signos de puntuacin: Npmm,samT. Dena su propia regla de construccin sobre la base de una cancin, frase, poema o texto que pueda recordar u obtener fcilmente. Por ejemplo, una regla podra ser: a. seleccionar la frase; b. elegir la primera letra de cada palabra; c. poner las primeras dos letras en minscula, las segundas dos en maysculas y as sucesivamente, hasta tener una longitud de 8 caracteres (mmMMmmMM); d. elegir un nmero de 2 cifras (que recordemos): si el nmero es impar entonces colocarlo al inicio de la clave; si por el contrario es par colocarlo al nal; e. agregar al nmero un carcter especial, - entre los dgitos. Por ejemplo: si el nmero es 01, quedara 0-1. Si tomamos por ejemplo, la letra de la cancin de Mara Elena Walsh: Manuelita viva en Pehuaj, pero un da se march. Nadie supo bien por qu, a Pars ella se fue un poquito caminando y otro poquitito a pie. ..... y elegimos el nmero 04 (que corresponde al nmero del mes en el que debo cambiar la clave), entonces la nueva contrasea, segn la regla de construccin sera: mvEPpuDS0-4 Otra sugerencia para lograr una mayor longitud, es directamente utilizar frases separando las palabras por algn carcter. Por ejemplo: manuelitA-viviA_En-Pehuajo. Si el sistema lo permite, puede tambin utilizar frases de longitud considerable como contrasea. Este mtodo es mencionado en algunas ocasiones como passphrase. Siguiendo el ejemplo anterior, podra utilizar Manuelita viva en Pehuaj, un poquito caminando, y otro poquitito a pie.
Recomendaciones para el uso de contraseas
De nada sirve crear una contrasea fuerte, si esta no guarda la condicin de secreta e intransferible. Veamos algunas recomendaciones para el uso adecuado de claves de acceso.
19
Cuide que no lo vean cuando escribe su clave y no observe a otros mientras lo hacen. No comparta su clave con otros, ni pida la clave de otros. No escriba la clave en un papel ni la guarde en un archivo sin cifrar. Si por algn motivo tuvo que escribir la clave, no la deje al alcance de terceros (debajo del teclado, en un cajn del escritorio) y NUNCA pegada al monitor. No dude en cambiar sus contraseas si sospecha que alguien puede conocerlas. No utilice ni permita que le asignen una cuenta sin contrasea.
Seguridad de la Informacin: Uso de Contraseas
No habilite la opcin de recordar claves en los programas que utilice. NUNCA enve su clave por correo electrnico ni la mencione en una conversacin, ni se la entregue a nadie, aunque sea o diga ser el administrador del sistema. No mantenga una contrasea indenidamente. Cmbiela regularmente, aunque las polticas de administracin de claves no lo obliguen. Hgale saber al administrador de la red cualquier incidente que tenga con su cuenta. Si se le ha otorgado una contrasea para el primer acceso a un sistema, proceda a cambiarla en forma inmediata, an cuando el mismo sistema no se lo requiera. Evite acceder a su correo o realizar operaciones monetarias desde sitios pblicos como cibercafs. Si debe hacerlo indefectiblemente, considere que su clave puede haber sido espiada o comprometida, por lo que se recomienda que proceda a cambiarla ni bien le sea posible. No utilice la misma contrasea para mltiples servicios. Otros controles
Qu otros controles contribuyen a evitar ataques?
>
>
Muchos sistemas fuerzan una eleccin de determinados caracteres, pero como hemos visto en el ejemplo, esto a veces no alcanza. Los controles de accesos fallidos, por ejemplo, estn destinados a permitir una cantidad ja de intentos en los que se puede errar la clave, para luego bloquear el acceso. Los captchas son un mecanismo para evitar las pruebas automatizadas, ya que se trata de una prueba del tipo desafo-respuesta utilizada para intentar determinar cundo el acceso es de un usuario humano o no. Esta tcnica se utiliza en algunos sitios cuando se ha probado una contrasea varias veces sin acertar, o cuando se quieren evitar intentos automticos de acceso.
Ingrese los caracteres que visualiza en la imagen:
20
Phishing: solicitud de datos confidenciales
Seguridad de la Informacin: Phishing: solicitud de datos condenciales
Correo electrnico - Conceptos fundamentales
El correo electrnico es una de las herramientas ms utilizadas hoy en da para intercambiar informacin. Es una herramienta muy verstil, que permite comunicaciones entre partes distantes de manera mucho ms veloz que el correo convencional. Sin embargo, debe tenerse presente que su uso puede conllevar algunos riesgos, si no se toman ciertas precauciones. Antes de continuar, resulta necesario precisar brevemente algunos trminos fundamentales vinculados a la Web y al uso de correos electrnicos, de acuerdo al alcance de este curso bsico.
Direccin de correo electrnico
Una direccin de correo electrnico adopta generalmente la siguiente forma: nombre-usuario@dominio Por ejemplo: este.es.mi.correo@gmail.com donde, haciendo una analoga con el sistema de correspondencia postal, el dominio se asimila a todos los datos necesarios y correspondientes al destino donde la carta debe llegar (cdigo postal, direccin, ciudad, pas, etc.) y el nombre-usuario, con el nombre del destinatario de esa carta en ese domicilio.
Dominio de Internet
El nombre de dominio de Internet es una secuencia de caracteres, generalmente fcil de recordar que permite la ubicacin o identicacin de los sitios por parte de las personas. Est constituido por expresiones alfanumricas concatenadas por medio de puntos (.), en varios niveles organizados de forma jerrquica. Cuando accedemos a un sitio Web, o pgina de Internet, dentro de toda esa cadena de texto (direccin URL), el dominio se encuentra en la siguiente ubicacin: URL: http://DOMINIO/carpeta/archivo.ext Este dominio, como dijimos anteriormente, sigue una estructura jerrquica que se lee de izquierda a derecha. Por lo general, los nombres de dominio tienen tres niveles. Veamos un ejemplo: www.entidad.gob.ar El nivel superior, top level domain (TLD), que en nuestro ejemplo es gob.ar, puede contar con tres variantes: 1) el country code (ccTLD) o cdigo pas, que est basado en una norma internacional (ISO 3166) y est conformado por dos letras (.ar en el caso de Argentina), 2) el genrico (gTLD), como .com, .net, .org, .gov, etc., que por convencin pertenece a dominios registrados en los EEUU, o 3) las variantes com.ar, net.ar, org.ar, etc. que clasican tanto el tipo de organizacin a la que pertenece el dominio como su nacionalidad.
22
El nivel secundario, second level domain (SLD), que en nuestro ejemplo es entidad, identica al dominio propia-
Seguridad de la Informacin: Phishing: solicitud de datos condenciales
mente dicho y generalmente se asocia al nombre de una organizacin, organismo, empresa, persona, producto, etc. Finalmente, la expresin www es un dominio de tercer nivel, que permite el acceso a un servicio Web. Existen ms niveles de dominio, pero rara vez se los utiliza. Esta estructura jerrquica nos permite identicar el lugar donde se ha registrado el dominio y a qu tipo de organizacin pertenece. Por ejemplo:
> > > >
organizaciones comerciales: .com, .net entidades gubernamentales: .gov, .gob entidades militares: .mil entidades acadmicas: .edu
As, un dominio nalizado en gob.ar ser un dominio registrado por un organismo del gobierno de Argentina, dado que ar es para el pas y gob identica a una entidad de gobierno. Luego el nombre de dominio completo identica a la entidad. En este punto es donde debe prestarse especial atencin. Veamos algunos ejemplos:
> >
seguridadinformatica.sgp.gob.ar: el dominio es sgp.gob.ar, donde seguridadinformatica, es un subdominio dentro del dominio sgp.gob.ar. Se trata de un dominio legtimo. www.sgp.gov.au: en este caso se trata de un dominio de gobierno que estara registrado de Australia, por la au. Claramente no es un dominio registrado en Argentina.
La URL (Uniform Resource Locator, o Localizador Uniforme de recursos) es una secuencia de caracteres con la cual se asigna una direccin nica a cada uno de los recursos de informacin disponibles en Internet. Existe una URL nica para cada pgina de la World Wide Web. Veamos la diferencia entre el dominio y la URL: URL: http://www.ejemplo.net/indice.html Nombre de dominio: www.ejemplo.net Nombre de dominio registrado: ejemplo.net
Sitios de Internet: indicadores de seguridad
Los usuarios de Internet deben tomar recaudos al acceder a un sitio Web si van a ingresar algn dato que consideren que debe estar protegido durante su transferencia al sitio al que est dirigido. Los recaudos a tener en cuenta son los siguientes:
>
Por un lado, visualice el inicio de la URL del sitio. Si puede observar la expresin https, se trata de un sitio que ofrece cierta garanta de que la informacin que se intercambia entre quien ingresa (cliente) y quien recibe los datos (servidor) se encuentra cifrada, es decir no resultar comprensible para alguien que pueda visualizarla mientras viaja.
23
Seguridad de la Informacin: Phishing: solicitud de datos condenciales
>
Por otro lado, verique la existencia del candado cerrado que se encuentra en el margen inferior derecho de la pantalla en la mayora de los navegadores. Haciendo clic en el candado, el sistema debe mostrar el certicado de seguridad. Asimismo conviene observar en el contenido del certicado que la denominacin se corresponda con el nombre del sitio al que est ingresando.
Cadenas de correo electrnico
Las cadenas no suelen ser SPAM (mensaje no solicitado), porque no es alguien que enva masivamente un mensaje, las cadenas suelen llegar de remitentes conocidos. Armar cadenas de correos electrnicos es una de las herramientas que se utiliza comercialmente para obtener direcciones de correo electrnico y armar bases de datos con ellas. Tambin es una oportunidad que se le brinda a los piratas informticos, pues obtienen blancos reales a los que enviarles virus y todo tipo de software malicioso. Es comn leer en las cadenas de correo electrnico: No s si ser cierto, pero por las dudas lo reenvo Debera cambiarse esa forma de pensar, por esta: No s si ser cierto, pero por las dudas NO lo reenvo La opcin de reenviar un correo, cuando es mal utilizada, es uno de los causantes de:
> > >
Falta de privacidad de las direcciones y del contenido de correo electrnico. Distribucin de cdigo malicioso (malware). Saturacin del sistema de correo debido a mensajes no solicitados (SPAM).
Recuerde que, al reenviar un correo electrnico sin tomar precauciones, se copian:
> > >
El Asunto, anteponiendo RE o FW. El contenido del mensaje original. Las direcciones de correo del remitente y de los destinatarios originales.
Muchas personas no quieren que sus direcciones de correo electrnico sean conocidas por terceros. Debe respetarse el uso de las direcciones de correo de otros como un dato que no debe hacerse pblico. Si por algn motivo debe reenviar un correo electrnico y no tiene la autorizacin para hacer pblicas las direcciones que contiene dicho correo, proceda de la siguiente manera:
> > >
Borre la/s direccin/es de correo del/los remitente/s. Mejor an: copie el contenido del correo original y arme uno nuevo. Si lo reenva a ms de una persona, utilice la opcin de enviar con Copia Oculta.
Suele decirse habitualmente que: Finalmente, reenviar un e-mail no cuesta nada, slo un click Pero s tiene un costo:
> > >
La privacidad de las direcciones de los remitentes y destinatarios originales. El tiempo que emplearn los destinatarios en leerlo. El consumo de recursos (carga del servidor de correo, espacio en disco utilizado, ancho de banda, etc.).
24
Seguridad de la Informacin: Phishing: solicitud de datos condenciales
Mensajes no solicitados (SPAM)
SPAM son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas. Los spammers (quienes envan SPAM) utilizan diversas tcnicas para armar largas listas de direcciones de correo a las cuales enviarles SPAM:
> > > > >
Bsqueda de direcciones en pginas Web y foros. Captura de direcciones de cadenas de correo. Suscripciones a listas de correo. Compra de bases de datos de direcciones de correo. Acceso no autorizado en servidores de correo.
Los mensajes no solicitados pueden adoptar tres formas, entre otras:
> > >
Hoax Scam Phishing
Ahora nos concentramos en los hoax y los scam. Dedicaremos un apartado especco para desarrollar los casos de phishing.
Hoax
Hoax es un trmino ingls que signica engao o broma. Los engaos u hoax son mensajes fraudulentos que contienen informacin inexacta o falsa, que inducen al receptor a reenviar el mensaje a n de difundir su contenido o a realizar acciones que, muy probablemente, le ocasionarn problemas. Muchas cadenas de correos electrnicos, aquellas que obligan al destinatario a reenviar el mensaje bajo pena de diversos males, se inician solo con el n de recolectar direcciones de correos, en general para continuar con una actividad de SPAM. No pretenden ganancia econmica directa. Los hoax suelen ser del siguiente tipo:
> > > > > > >
Alertas sobre virus incurables. Mensajes de temtica religiosa. Cadenas de solidaridad. Cadenas de la suerte. Leyendas urbanas. Mtodos para hacerse millonario. Regalos de empresas grandes conocidas.
Estos mensajes tienen caractersticas comunes que permiten identicarlos:
> > > > > >
Suelen tener frases catastrcas y/o alarmistas. Suelen no estar rmados ni tener informacin vlida de contacto. Pueden contener frases amenazantes o que lo pueden hacer sentir mal. Suelen estar mal redactados, o con vocablos que no son propios del pas o regin. Algunos son malas traducciones del ingls u otro idioma (traductores automticos). Siempre piden al destinatario que reenve el mensaje a uno o a varios.
25
Seguridad de la Informacin: Phishing: solicitud de datos condenciales
Scam
Se denomina scam, (estafa en ingls), a un correo electrnico fraudulento (o pginas Web fraudulentas) que pretenden estafar econmicamente por medio del engao, generalmente presentado como donacin a recibir, lotera o premio al que se accede previo envo de dinero. En la mayora de estos mensajes, se inventa una historia en la que quien recibe el correo debe hacer un depsito o un pago previo con la promesa que luego le ser reembolsado y devuelto con ganancias. As puede ser alguien que resulta ser heredero de una fortuna que tiene que cobrar, pero necesita alguna colaboracin para realizar el trmite de cobro. As, quien recibe el mensaje es engaado y estafado. La caracterstica principal de este tipo de mensajes es que piden al receptor el gasto de un monto determinado. El siguiente es un ejemplo de Scam: Asunto: Requerimos personal honesto y agil para vacante en Espana. Es usted una persona responsable y esta buscando un trabajo de medio tiempo muy bien pagado? Somos una compaa familiar especializados en varias operaciones con antigedades y joyera Antigua, somos di-genaro Ltd , y estamos buscando gente honesta y responsable para que se nos una.. No te pierdas esta oportunidad - somos exactamente lo que estas buscando! Ganaras mas de EUR 1500 por mes, utilizando solo 3-4 horas de tu tiempo. Es real con nosotros!. Nosotros no hacemos conversacin de venta que requiera que pagues cargos de inscripcin o inscribirte a una lista de correo. No queremos que inviertas dinero. Este trabajo requiere solo un monto limitado de tu tiempo.. Te pagaremos en la primera semana de trabajo No requerimos ninguna experiencia ni habilidad especial. Trabajaras como un contratado independiente desde tu hogar. Si estas interesado, por favor sintete libre de pedir informacin adicional y las provisiones generales. Escrbenos ahora, te responderemos al instante. Por favor responde a este mail: support@domain.com
Recomendaciones para evitar la propagacin de mensajes no solicitados
> > > > > >
26
No deje su direccin de correo electrnico en cualquier formulario o foro de Internet. No responda los correos no solicitados. Brrelos. Es lo ms seguro. En general, no conviene enviar respuesta a la direccin que gura para evitar envos posteriores. Congure ltros o reglas de mensaje en el programa de correo para ltrar mensajes de determinadas direcciones. No congure respuesta automtica para los pedidos de acuse de recibo. No responda a los pedidos de acuse de recibo de orgenes dudosos.
Seguridad de la Informacin: Phishing: solicitud de datos condenciales
Estrategias de ataque: Phishing
Phishing es una forma de engao mediante la cual los atacantes envan un mensaje (anzuelo) a una o varias personas, intentando convencerlas para que revelen sus datos personales. Usualmente, esta informacin es luego utilizada para realizar acciones fraudulentas, como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crdito u otras acciones delictivas que pueden efectuarse mediante la utilizacin de esos datos. Actualmente el modo de difusin ms utilizado por los atacantes para realizar un ataque de phishing es el correo electrnico. Estos correos suelen ser muy convincentes, y simulan haber sido enviados por una entidad conocida y conable, con la cual la persona opera habitualmente, como por ejemplo un banco o una empresa que realice operaciones comerciales por Internet. En el mensaje se alegan diversos motivos, como problemas tcnicos o la actualizacin o revisin de los datos de una cuenta, y a continuacin se le solicita que ingrese a un sitio Web para modicar o vericar sus datos personales: nombre completo, DNI, claves de acceso, etc. Dicha pgina Web es en realidad un sitio falsicado que simula ser el de la organizacin en cuestin. El diseo de estas pginas Web suele ser muy similar, y a veces prcticamente idntico, al de las pginas Web reales de la organizacin cuya identidad se simula. Asimismo, estos sitios tienen direcciones Web que pueden confundir a un usuario desprevenido por su parecido con las direcciones Web autnticas. En la mayora de los casos, el texto que el usuario visualiza en el enlace escrito en el correo electrnico es la direccin real del sitio Web. Sin embargo, si el usuario hace clic en ese enlace, se lo redirige a una pgina Web falsa, controlada por el atacante. Tambin se han detectado casos en los cuales el usuario recibe un mensaje SMS a su telfono celular, un mensaje en un contestador automtico o una llamada telefnica, en los cuales, mediante tcnicas muy similares, se lo intenta convencer para que llame a un nmero telefnico indicado en el mensaje. Al llamar a dicho nmero, un sistema automatizado, hacindose pasar por la organizacin, le solicitar sus datos personales, los que luego sern utilizados sin su autorizacin, con las previsibles consecuencias gravosas.
Identicacin de tcnicas de engao
El phishing suele utilizar varias tcnicas de engao, algunas fcilmente detectables y otras no tanto. Por el alcance de este curso, nos remitiremos a las ms simples de identicar.
>
>
>
>
El usuario recibe un correo electrnico que simula ser enviado por una entidad (por ejemplo, un banco). Para ello, se utilizan nombres de cuenta engaosos para que resulten crebles, con imgenes, grcos y tipografa de la entidad. Generalmente, el correo electrnico incluye una URL que redirecciona a un sitio fraudulento. Esta URL, suele tener errores, o le falta una letra o tiene una letra cambiada, por ej. una o (letra) por un 0 (cero), para que el usuario no lo note. Si el usuario recibe sus correos en formato html, tambin puede visualizar un link (URL), mientras que el enlace real es otro. Esto se puede apreciar a simple vista, cuando se posiciona el cursor sobre ese enlace y se verica al pie que el enlace no coincide con el texto del link html. La direccin real a la que se dirige al usuario (URL) tambin puede ser engaosa en cuanto a los subdominios que muestra.
27
Seguridad de la Informacin: Phishing: solicitud de datos condenciales
Veamos un ejemplo. Recibimos el siguiente correo en ingls donde se solicita que actualicemos nuestros datos de cuenta en el sistema de pago por Internet PayPal:
El link que aparece visible en el correo es: https://www.paypal.com/cgi-bin/Webscr?cmd=_login-run Sin embargo, si nos posicionamos con el mouse en el link se puede leer al pie la siguiente direccin: http://paypal.verifying-database.com/index.htm En este ejemplo, la direccin mostrada tambin cuenta con la cadena https:// que indicara que opera con protocolo HTTP seguro (es decir, HTTPS), pero la direccin real a la que va a dirigir al usuario ser la direccin no segura y de dudosa procedencia que se muestra en segundo lugar. Adems sabemos que el dominio real es www.paypal.com, por lo tanto: paypal.cualquiercosa.com, no es el sitio de Paypal.
Recomendaciones para evitar ser vctima del phishing
Las siguientes medidas buscan asistirlo para minimizar los efectos negativos de un ataque de phishing y de ser posible, impedirlo: Si recibe un correo electrnico que le pide informacin personal o nanciera, no responda.
28
Si el mensaje del correo electrnico lo invita a acceder a un sitio Web a travs de un enlace incluido en su contenido, no lo haga.
Seguridad de la Informacin: Phishing: solicitud de datos condenciales
Las organizaciones que trabajan seriamente estn al tanto de este tipo de fraudes y por consiguiente, no solicitan informacin por medio del correo electrnico, ni telefnicamente, ni mediante mensajes SMS ni por fax. Utilice medios conables Si le preocupa el estado de la cuenta que posee en la organizacin que dice haber enviado el correo, o que lo ha contactado, comunquese directamente utilizando un nmero telefnico conocido y provisto por la entidad u obtenido a travs de medios conables, como por ejemplo de su ltimo resumen de cuenta. Alternativamente, puede ingresar en la pgina ocial de la organizacin, escribiendo usted mismo la direccin de Internet correspondiente en el navegador. No enve informacin personal usando mensajes de correo electrnico. El correo electrnico, si no se utilizan tcnicas de cifrado y/o rma digital, no es un medio seguro para enviar informacin personal o condencial. Para mayor informacin sobre recomendaciones para el uso del correo electrnico seguro, puede consultar las lecturas del Entorno Virtual. No acceda a sitios de entidades nancieras o de comercios desde lugares pblicos. En la medida de lo posible, evite ingresar al sitio Web de una entidad nanciera o de comercio electrnico desde un cyber-caf, locutorio u otro lugar pblico. Las PCs instaladas en estos lugares podran contener software o hardware malicioso destinado a capturar sus datos personales. Verique los indicadores de seguridad del sitio Web en el cual ingresar informacin personal. Si es indispensable realizar un trmite o proveer informacin personal a una organizacin por medio de su sitio Web, escriba la direccin Web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al acceder al sitio Web, usted deber notar que la direccin Web comienza con https://, donde la s indica que la transmisin de informacin es segura. Verique tambin que en la parte inferior de su navegador aparezca un candado cerrado. Haciendo clic sobre ese candado, podr comprobar la validez del certicado digital y obtener informacin sobre la identidad del sitio Web al que est accediendo. Mantenga actualizado todo el software de su PC. Instale las actualizaciones de seguridad de su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente Web y de correo electrnico. La mayora de los sistemas actuales permiten congurar estas actualizaciones en forma automtica. Revise sus resmenes bancarios y de tarjeta de crdito tan pronto los reciba. Si detecta cargos u operaciones no autorizadas, comunquese de inmediato con la organizacin emisora. Tambin contctese con ella si se produce una demora inusual en la recepcin del resumen. No descargue ni abra archivos de fuentes no conables. Estos archivos pueden tener virus o software malicioso que podran permitir a un intruso acceder a su computadora y por lo tanto, a toda la informacin que almacene o introduzca en esta. Recuerde - No conteste ningn mensaje que resulte sospechoso. Si un mensaje en su contestador le avisa sobre un evento adverso vinculado a su cuenta bancaria y le solicita que llame a un telfono gratuito, no lo haga. Si recibe un correo electrnico que le pide lo mismo, no lo crea. Si del mismo modo le envan un SMS de bienvenida a un servicio que no ha contratado, brrelo y olvdese. Las mencionadas prcticas no son sino diversas modalidades que persiguen el mismo n: obtener sus datos personales para defraudarlo. Finalmente: permanezca siempre atento para evitar el acceso indebido a su informacin personal. Observamos que da a da aparecen nuevas estrategias de engao. Su desconanza y el cuidado con que analiza los sitios Web en los que ingresa sus datos de identidad, son su mejor proteccin.
29
Seguridad de la Informacin: Glosario
Glosario
Aclaracin: los trminos que se incluyen en el glosario se denen en el contexto de su uso en el mbito de la seguridad informtica.
Amenaza: Evento que puede desencadenar un incidente. Las amenazas pueden ser accidentales o intencionales y se aprovechan de las vulnerabilidades para provocar incidentes. Las amenazas a la seguridad de la informacin son sucesos que atentan contra la condencialidad, integridad y disponibilidad de la informacin. Existen amenazas relacionadas con fallas humanas o tcnicas, con ataques destinados a causar daos o con catstrofes naturales. Ataques a contraseas: Prueba metdica de contraseas para lograr el acceso a un sistema. Este tipo de ataques puede ser efectuado:
> >
Por diccionario: existiendo un diccionario de palabras, una herramienta intentar acceder al sistema probando una a una las palabras incluidas en el diccionario. Por fuerza bruta: una herramienta generar combinaciones de letras, nmeros y smbolos formando posibles contraseas y probando una a una en el login del sistema.
Auditora: Conjunto de procesos destinados a vericar en forma independiente del rea que realiza las operaciones el cumplimiento de las polticas, normas y estndares establecidos. En particular, la auditora de un sistema consiste en determinar qu transacciones se realizaron en el sistema, quin las realiz y en qu momento a efectos del control de la administracin de los recursos, la investigacin de incidentes y la vericacin del cumplimiento de las polticas de seguridad del organismo y las normas que rijan su misin. Autenticacin: Mecanismo para validar la identidad del usuario. Clave de acceso: Cadena de caracteres que se le asigna a una persona para ser autenticada en el acceso a un recurso o sistema informtico. De esta forma, una persona slo podr acceder mediante la presentacin de dicha clave. Condencialidad: Propiedad por la cual se garantiza el acceso a la informacin nicamente a quien est autorizado, para evitar su divulgacin inapropiada. Control de Acceso lgico: Es el control de acceso aplicado a sistemas informticos. Control de Acceso: Facultad de permitir o denegar el acceso de una persona a un recurso. Control de intentos fallidos: Accin destinada a contabilizar la cantidad de veces que las credenciales se han ingresado de manera errnea a un sistema informtico, con el objeto de bloquear el acceso luego de una determinada cantidad de intentos fallidos. Este es un control que evita el tipo de ataque a contraseas. Credenciales: Conjunto de elementos que sirven para autenticar a una persona ante un sistema informtico. Ej.: nombre de usuario y contrasea. Disponibilidad: Propiedad que garantiza que la informacin se encuentre disponible en tiempo y forma para aquellas personas autorizadas. Dominio de Internet: Es un nombre que facilita la ubicacin o identicacin de sitios Web por parte de las personas, constituido por expresiones alfanumricas concatenadas en varios niveles organizados de forma jerrquica. Fraude informtico: Perjuicio econmico o moral efectuado a una persona mediante la utilizacin de herramientas informticas. Ej.: robo de credenciales de homebanking de una persona y operacin con sus cuentas bancarias.
30
Hoax: Los engaos u Hoax son mensajes fraudulentos que contienen informacin inexacta o falsa, que inducen al receptor a reenviar el mensaje a n de difundir su contenido o a realizar acciones que, muy probablemente, le ocasiona-
Seguridad de la Informacin: Glosario
rn problemas. Muchas cadenas de correos electrnicos, aquellos que obligan al destinatario a reenviarlo bajo pena de diversos males, se inician solo con el n de recolectar direcciones de correos. No pretenden ganancia econmica directa. Identicacin: Proceso por el que el usuario presenta una determinada identidad para acceder a un sistema. Impacto: Conjunto de posibles efectos negativos sobre un sistema de informacin como consecuencia del aprovechamiento de una vulnerabilidad. Incidente de seguridad informtica: Evento adverso en un entorno informtico, que puede comprometer o compromete la condencialidad, integridad o disponibilidad de la informacin. Violacin o inminente amenaza de violacin de una poltica de seguridad de la informacin, de polticas de uso aceptable de uso o de mejores prcticas de seguridad. Ingeniera de datos: Se reere a la recoleccin de datos de distintas e ingeniosas fuentes (blogs, datos de redes sociales, participaciones en foros, nombres de usuarios en juegos, consultas en sitios, etc.) para luego utilizarlos de manera que sirvan para realizar algn tipo de ataque. Ingeniera Social: Se trata de un conjunto de tcnicas de engao que se aplican sobre las personas para obtener de ellas informacin de inters para el atacante, o para lograr que aquellas efecten alguna accin que este persigue. Integridad: Propiedad por la cual se garantiza la proteccin contra modicaciones no autorizadas, para evitar su alteracin. Malware: Con este nombre se denomina genricamente a los programas que tienen un n malicioso. Su expresin sinnima en castellano es cdigo malicioso. No repudio: Mecanismo por el cual, dada una determinada transaccin, ninguno de los intervinientes puede negar haber ejecutado las acciones realizadas. Phishing: Es una forma de engao mediante la cual los atacantes envan un mensaje (anzuelo) a una o a varias personas, con el propsito de convencerlas de que revelen sus datos personales. Generalmente, esta informacin es utilizada luego para realizar acciones fraudulentas, tales como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crdito u otros comportamientos delictivos que requieren el empleo de dichos datos. Polticas de Seguridad de la Informacin: Marco general establecido por las autoridades que dene las pautas para preservar la seguridad de la informacin de una organizacin y del que se derivan las normas y procedimientos operativos para implementar esas disposiciones. Riesgo: Combinacin de la probabilidad de que una amenaza se aproveche de una vulnerabilidad y del impacto resultante de dicho evento adverso en la organizacin. Robo de identidad: Obtencin y utilizacin - por medios informticos- de credenciales y otros datos ajenos (nombre, nmero de tarjeta de crdito, informacin bancaria, nmero de aliado a un sistema de salud, etc.) sin autorizacin, con el propsito de realizar actividades fraudulentas en nombre de otra persona. SCAM: Se denomina scam (estafa en ingls) a un correo electrnico fraudulento (o pginas Web fraudulentas) que pretenden estafar econmicamente por medio del engao, generalmente presentado como donacin a recibir, lotera o premio al que se accede previo envo de dinero. SPAM: Es la denominacin del correo no deseado, enviado de manera masiva. Suplantacin de identidad: Accin de utilizar datos de identidad robados para hacerse pasar por otra persona.
31
URL: Uniform Resource Local es la cadena de caracteres con la cual se asigna una direccin nica a cada uno de los
Seguridad de la Informacin: Glosario
recursos de informacin disponibles en Internet. Vulnerabilidad: Debilidad o inexistencia de control. Las vulnerabilidades pueden ser aprovechadas por las amenazas para ocasionar un incidente de seguridad.
32
Seguridad de la Informacin: Normativa
Normativa
Algunas de las temticas abordadas en el curso se encuentran reguladas desde la legislacin nacional. El siguiente listado no pretende ser exhaustivo, pero presenta algunas normas que alcanzan principalmente al Sector Pblico Nacional.
>
Decisin Administrativa N 669/2004 de la Jefatura de Gabinete de Ministros: Polticas de Seguridad de la Informacin para el Sector Pblico Nacional. http://infoleg.mecon.gov.ar/infolegInternet/verNorma.do?num=102188&INFOLEG_OLD_QUERY=true Ley N 25.164: Ley marco de regulacin del Empleo Pblico Nacional (Art. 23). http://infoleg.mecon.gov.ar/infolegInternet/anexos/60000-64999/60458/norma.htm Ley N 25.188: tica en el servicio de la funcin pblica (Art. 2). http://infoleg.mecon.gov.ar/infolegInternet/anexos/60000-64999/60847/norma.htm Ley N 26.388: Modicacin del Cdigo Penal en materia de delitos informticos. http://infoleg.mecon.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm Ley N 25.326: Proteccin de Datos Personales. http://www.infoleg.gov.ar/infolegInternet/anexos/60000-64999/64790/texact.htm
>
>
>
>
33
Вам также может понравиться
- Apunte Tecnicas de ProgramacionДокумент56 страницApunte Tecnicas de ProgramacionAdrian CaldasОценок пока нет
- Significado de NullДокумент73 страницыSignificado de Nullbrokeeen100% (3)
- SubnetingДокумент5 страницSubnetingAAnDrewNОценок пока нет
- Unidad N° 1 Sistemas de Numeración - IngДокумент22 страницыUnidad N° 1 Sistemas de Numeración - Ingasddsa123456Оценок пока нет
- Redes Neuronalesivan MartinezДокумент19 страницRedes Neuronalesivan Martinezasddsa123456Оценок пока нет
- Lacomunicacion 1Документ48 страницLacomunicacion 1Angie MoraОценок пока нет
- Data WareHouse FinalДокумент14 страницData WareHouse Finalasddsa123456Оценок пока нет
- BusquedasДокумент36 страницBusquedaskaliche9999Оценок пока нет
- Concapanxxiii Prolog 090615181944 Phpapp01Документ41 страницаConcapanxxiii Prolog 090615181944 Phpapp01asddsa123456Оценок пока нет
- Ejercicio de Seguridad para Los AlumnosДокумент1 страницаEjercicio de Seguridad para Los Alumnosfelixsergio1966Оценок пока нет
- 933-Utente Ed Installatore Ac2784e-Rev.06 U I-EДокумент9 страниц933-Utente Ed Installatore Ac2784e-Rev.06 U I-EcatxoperroОценок пока нет
- El MouseДокумент9 страницEl MouseJhonny Asencio MendezОценок пока нет
- Guía completa de la interfaz de PowerPointДокумент3 страницыGuía completa de la interfaz de PowerPointAlvaro OwenОценок пока нет
- Aprendizaje: trabajo con ensamblajes de AutoCAD Civil 3DДокумент37 страницAprendizaje: trabajo con ensamblajes de AutoCAD Civil 3DSociedadNariñenseDeTopógrafosSonartopОценок пока нет
- Como Hacer Tu Propia Distribución Basada en LinuxДокумент3 страницыComo Hacer Tu Propia Distribución Basada en LinuxEdwin Domínguez Castro100% (1)
- Regla de Cramer: Resuelve sistemas de ecuacionesДокумент3 страницыRegla de Cramer: Resuelve sistemas de ecuacionesOswaldin ZamОценок пока нет
- Seguridad Lógica en Redes 2Документ4 страницыSeguridad Lógica en Redes 2contareaОценок пока нет
- Presentación 1Документ30 страницPresentación 1greisonparracadenaОценок пока нет
- Curso Allievi RapidoДокумент29 страницCurso Allievi Rapidojohansarache1986Оценок пока нет
- Ejercicios Repititivos Diagrama de FlujoДокумент3 страницыEjercicios Repititivos Diagrama de FlujoYestinApazaОценок пока нет
- Launch 4 JДокумент9 страницLaunch 4 Jjj2_mm29930Оценок пока нет
- Cómo Limpiar Virus Del CelularДокумент3 страницыCómo Limpiar Virus Del CelularMerin MerinОценок пока нет
- Corel Draw BásicoДокумент118 страницCorel Draw Básicodeejaykuroi100% (5)
- Manual de Personalización y Configuración Del Sistema Operativo Windows 7Документ19 страницManual de Personalización y Configuración Del Sistema Operativo Windows 7JeronimoLunaОценок пока нет
- Protecciones ElectricasДокумент94 страницыProtecciones ElectricasEIEE100% (1)
- Sistemas Numéricos. Romanos, Mayas y Binarios.Документ2 страницыSistemas Numéricos. Romanos, Mayas y Binarios.Jorge Arturo César MartínezОценок пока нет
- SextingДокумент29 страницSextingAnonymous 1kMpLnpdmОценок пока нет
- Cuaderno de Practicas de Microsoft WordДокумент23 страницыCuaderno de Practicas de Microsoft Wordjorwin0% (1)
- Afiliación AdeaДокумент2 страницыAfiliación AdeaRubel De La Hoz SantanaОценок пока нет
- PROFORMASДокумент249 страницPROFORMASXavier FelixОценок пока нет
- Programacin Mysqlejercicios439 131027071437 Phpapp01 PDFДокумент19 страницProgramacin Mysqlejercicios439 131027071437 Phpapp01 PDFSaul ZeballosОценок пока нет
- Diagrama HIPOДокумент2 страницыDiagrama HIPOandi50% (2)
- Módulo Word 2013 PDFДокумент29 страницMódulo Word 2013 PDFCarlos Laurente ChahuayoОценок пока нет
- 001 - Modelado de Personajes - Bocetos 2D A 3DДокумент4 страницы001 - Modelado de Personajes - Bocetos 2D A 3DHernan Altamira FonsecaОценок пока нет
- Capitulo 8Документ34 страницыCapitulo 8wvaliente2011Оценок пока нет
- Codigos de LíneaДокумент8 страницCodigos de LíneaAnonymous mobI3gwОценок пока нет
- Lenguaje C para MicrocontroladoresДокумент37 страницLenguaje C para MicrocontroladoresArmando CajahuaringaОценок пока нет
- Tarea 2 Parcial 2 Cobay Santa Rosa 1S: Conociendo El Ambiente de Trabajo de ExcelДокумент45 страницTarea 2 Parcial 2 Cobay Santa Rosa 1S: Conociendo El Ambiente de Trabajo de ExcelGuadalupe GranielОценок пока нет
- Fortran5 ArraysДокумент43 страницыFortran5 ArraysalexanderОценок пока нет
