Hilo de Seguridad Informatica

El usuario suele ser el principal problema en cualquier entorno, sea windows unix o mac y no debemos de olvidar los sitemas operativos, los Smartphones son ordenadores portatiles practicamente

donde hay mucha informacion de nosotros asi como fotos, mensajes y otros ficheros que pueden poner en riesgo nuestra intimidad.

Bien vamos a empezar por ago muy basico como puede ser nuestras contraseñas que segun la definicion de Wikipedia es " Una contraseña o clave es una forma de autentificación que utiliza información

secreta para controlar el acceso hacia algún recurso. La contraseña debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. A aquellos que desean acceder a la información se

les solicita una clave; si conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso ".

Una norma basica en el uso de contraseñas es usar contraseñas faciles de recordar para nosotros pero no para los demas y no nos sirve de nada una contraseña dificil si la pregunta de seguridad

para recuperar nuestra contraseña tiene preguntas de este estilo

" ¿ Como se llama mi perro ?
" ¿ Donde Nacio mi Madre ?
" ¿ Matricula de mi coche ?

Puede parecer algo muy tribal pero muchas veces el acceso a una cuenta de correo o blog son simplemente por saber la respuesta correcta, y en caso de no saberla podrian llegar a usar varias

artimañas como ingenieria social para sacar la informacion necesaria.

Si te preguntas entonces que tipo de contraseñas puedo usar y que hago con las respuestas secretas para recuperar mi cuenta, el consejo seria que cambiaras tus contraseñas de forma periodica,

intenta que no sean consecutivas es decir

- Agosto2011-> Septiembre2011

Y las preguntas secretas puedes responder cualquier otra cosa relacioanda con otra pregunta, por ejemplo ¿ cual es la matricula de mi coche ? - Respuesta " Madrid80 ", ¿ Se entiende ?, otra idea es no usar contraseñas sencillas ni muy genericas por ejemplo entre las 500 contraseñas mas usadas del mundo estan 12345678 y Princesa01 , lo ideal es usar una contraseña y cambiar un poco su distribucion ¿ como ?.

Por ejemplo imaginemos que nuestra contraseña es Agosto2011, podemos cambiar algunas letras Ag0st02o11, Simplemente cambiamos las o por 0 y los 0 por o, la contraseña es algo mas dificil de averiguar pero hay formas de averiguar nuestras contraseñas por fuerza bruta lo cual seguramente tengan incluso algo como Ag0st02o11 en las llamadas WordList.


Podemos seguir las directrices de seguridad en contraseñas que tiene la universidad de almeria por ejemplo

La longitud de las contraseñas no debe ser inferior a ocho caracteres. A mayor longitud más difícil será de reproducir y mayor seguridad ofrecerá.

Construir las contraseñas con una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas), dígitos e incluso caracteres especiales (@, ¡, +, &).

Usar contraseñas diferenciadas en función del uso (por ejemplo no debe usarse la misma para una cuenta de correo que la usada para acceso a servicios bancarios).

Un buen método para crear una contraseña sólida es pensar en una frase fácil de memorizar y acortarla aplicando alguna regla sencilla.

Se deben cambiar las contraseñas regularmente. (Dependiendo de la criticidad de los datos puede ser cada X meses)

.Se debe evitar:

La contraseña no debe contener el nombre de usuario de la cuenta, o cualquier otra información personal fácil de averiguar (cumpleaños, nombres de hijos, conyuges, ...).

Tampoco una serie de letras dispuestas adyacentemente en el teclado (qwerty) o siguiendo un orden alfabético o numérico (123456, abcde, etc.) No se recomienda emplear la misma contraseña para todas las cuentas creadas para acceder a servicios en línea. No utilizar la misma contraseña en sus servicios de correo y en su banca electrónica, por ejemplo.

Se deben evitar contraseñas que contengan palabras existentes en algún idioma (por ejemplo “campo”). Uno de los ataques más conocidos para romper contraseñas es probar cada una de las palabras que figuran en un diccionario y/o palabras de uso común. ( antes mencionado como fuerza bruta ) ( Wordlist )

No se deben almacenar las contraseñas en un lugar público y al alcance de los demás (encima de la mesa escrita en papel, etc…). No compartir las contraseñas en Internet (por correo electrónico) ni por teléfono. En especial se debe desconfiar de cualquier mensaje de correo electrónico en el que le soliciten la contraseña o indiquen que se ha de visitar un sitio Web para comprobarla.


# la verdad me estoy perdiendo un poco cuando hablaste de las WordList ¿ Que son exactamente ?

- Las WordList son listados que pueden ir desde por decirte un ejemplo de 10 frases a miles o millones de frases en un documento, se usan para efectuar ataques de fuerza bruta, para que me

entiendas podríamos decir que es un ataque a por ejemplo una cuenta de correo, Para que lo entiendas mejor las fotos de icloud de las famosas que han aparecido donde muchas aparecen desnudas se

llego a barajar que se usara un programa que probaba una tras otras sobre una cuenta de correo listados de contraseñas aleatorias y ! Bingo ! aparecieron muchas mas contraseñas genéricas de lo que se esperaba.

Por eso es interesante tener contraseñas poco fáciles para los demás

El respaldo de los datos que tenemos en nuestro ordenador / Smartphone o cualquier dispositivo electrónico debe de tener una copia de seguridad y no confiar simplemente en que la información que disponemos en un solo dispositivo está correctamente guardada.


Actualmente disponemos de varios sistemas de almacenamiento que podremos usar para facilitarnos la tarea de copiar nuestros datos.

- Discos Duros
- Discos Ópticos
- USB
- Cloud ( La Nube )

Disponemos principalmente de cuatro formas de almacenamiento al alcance de todos pero tenemos que valorar la información que vamos a guardar si es sensible para nosotros y puede suponer un problema tanto su perdida como su difusión.

Un dato importante a tener en cuenta es la duración de los medios que vamos a usar para almacenar información privado.

Por ejemplo los discos ópticos (DVD, CDS) pueden ser más fáciles de dañar lo cual sería una buena opción para poder almacenar datos de forma eventual, Las memorias USB tienen el inconveniente de

que podemos perderlas por su tamaño si no somos cuidadosos incluso tienen el mismo inconveniente que los DVS y CDS que deterioran con el tiempo.

Llegados a este punto disponemos de la nube, y los discos duros, Actualmente la nube (Cloud) está en muchos sitios presente desde OneDrive (Antes SkyDrive), a los servidores de MEGA por ejemplo o servicios de almacenamiento online.

Es muy importante que si pensamos subir documentos a algún servicio cloud deberemos considerar cifrar los datos antes de subirlos a la red, De esta manera podremos evita accesos no autorizados a

nuestra información si nuestras claves de dichos servicios no estuvieran en buenas manos, o viéramos comprometida la información de nuestro sistema operativo Y no olvidemos el medio que nos faltaba en la lista, los discos duros, que actualmente disponen de servicios que nos permiten copiar carpetas de nuestro Ordenador incluso Smartphone mediante “

wifi “, y si los tenemos en un buen lugar de la casa y a buena temperatura pueden durarnos muchos más años que los medios anteriores.

Disponemos de facilidades de todo tipo para salvaguardar nuestros datos, y lo más importante es que muchas de ellas pueden ayudarnos dependiendo de muchas situaciones de disponibilidad.

Es importante resguardar tus datos, al fin y al cabo son parte de tu intimidad, y la de los tuyos.

En algunas ocasiones nuestra información puede ser robada, bien porque nuestro portátil se ha perdido o incluso nos lo han robado así como puede ser una memoria USB, Por ese motivo es buena idea y buen propósito tener cifrada la información sensible de manera que solo pueda ser accesible por nosotros mediante una contraseña

Hay varios tipos de programas según el Sistema operativo que estemos usando en ese momento, Tanto Windows, Mac y Linux son sistemas operativos que cuentan con herramientas de cifrado de mayor o menor valor según el software que usemos.

Herramientas Disponibles en Mac

En Mac Actualmente disponemos de una herramienta que nos permite encriptar y subir nuestros datos a Dropbox una vez ya encriptados
https://www.safemonk.com/#OSX

Si queremos cifrar nuestros ficheros o carpetas en modo Local en MAC sin pasar por la opción de Dropbox podemos tirar de este software

https://www.espionageapp.com/


Herramientas Disponibles MultiOS ( Varios Sistemas Operativos )

TcCrypt es una herramienta “ Fork “ del antiguo programa de cifrado TrueCrypt, este programa nos da la opción de cifrar no solo documentos si no particiones enteras de un Disco Duro o un USB Disponible tanto en MAC / Unix & Windows

https://truecrypt.ch/

Phishing es lo que denominamos un ataque de suplantación de identidad que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).

El cibercriminal, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

¿ Como me protejo de esto ?

Principalmente es una buena idea que no entres en enlaces no solicitados, emails del banco donde te lleven a una pantalla de login, o enlaces a paginas webs que simulan ser tu pagina de confianza, Normalmente pueden tener una aparecían igual pero debemos de mirar la pagina ( URL ) si realmente apunta a la pagina web que queremos ir podríamos estar viendo http://www.facebook.com, pero realmente el dominio falso podría redirigir a otro tipo de dominio creado para robar credenciales.

Como consejo nunca pongas tus datos en sitios webs que aunque sean de confianza te soliciten información de forma online. Desconfía

Remitente ¿Seguro?

En ocasiones escuchamos la palabra phising para denominar a un ataque en el que nos roban nuestras credenciales para tener acceso a por ejemplo cuentas bancarias, o cuentas de correo.

Este ataque puede hacerse de varias formas, entre ellas bien por un email que falsea la direcion del remitente, o una página web que simula ser un portal que no es.

Este ataque no solo está al alcance de muchas personas en la red, y es extremadamente sencillo de utilizar hace tiempo portales como terra y muchísimos portales ofrecían servicio de SMS gratuito mediante su página web , Esto ofrecía a los más avispados la opción de falsear el remitente.

El problema serio es cuando recibimos un SMS o una llamada de alguien que tenemos de confianza e ignoramos que también pueden suplantar la identidad de otra persona tanto con un SMS SPOOF (SMS con remitente falso) o CALL SPOOF (llamada con remitente falso).

Hay servidores dedicados en internet para ofrecer este servicio tanto de llamadas o mensajes de forma sencilla con un gran alto de anonimato y con la facilidad de pago de PayPal o de bitcoin.

Muchos de estos servicios se basan en tecnología VOZIP y están alojados en países extranjeros como EEUU , Canada y Australia


Usando la ingeniería social, el atacante puede desde mandarnos un SMS con el número de remite de nuestro banco que nos lleve a una página web maliciosa (Phising) o incluso a crear conflictos en nuestro entorno personal o laboral.

En españa este tipo de delito / ataque se denomina SMiShing el cual se aplica al envió de phising mediante mensajes de texto con remitente modificado.

El SMiShing no solo es usado para robar información o gastar bromas si no que con ellos pueden darnos de alta en servicios SMSPremium que después pagaremos caros en nuestra factura, En nuestro país se han visto varios casos de el uso de SmiShing para por ejemplo realizar spam de una pagina web o mandarnos información de nuestro operador telefónico indicándonos que que tenemos que llamar a un numero de teléfono para realizar algunas gestiones

Con este servicio se pueden lograr varios propósitos, desde el fraude , al robo de datos confidencial por poner solo unos ejemplos.

En algunos casos puede llegar un SMS el cual nos pide llamar aun numero de teléfono de tarificación especial
«Urgentísimo: perdón por molestarte, soy Jose. No pierdas la oportunidad la empresa quiere darte lo que prometió. Pregunta por Laura de RRHH [número].»

Y en otros casos podemos recibir mensajes que su cometido es basarse en la confianza de un remitente como puede ser nuestro Banco y querer sacarnos información sobre nuestra tarjeta de crédito

«Estimado cliente, su tarjeta Bancaria está bloqueada por su seguridad. Para desbloquear su tarjeta visite urgente [phisingweb] y complete los pasos tiene 24 horas»

En estados unidos algunas empresas venden tarjetas prepago con la opción de realizar llamadas anónimas, cambiar la voz, mandar mensajes anónimos incluso simular una situación en la que podamos estar.

Por ejemplo puede una llamada añadir a la voz un sonido de fondo de Aeropuerto, mientras nuestra voz es distorsionada , Algunos operadores dependiendo de las leyes del país y configuraciones de red tienen un filtro para evitar este tipo de llamadas y mensajes aunque en algunos países se considera una práctica legal, porque tiene un uso más habitual para gastar bromas, en otros países la legislación es muy clara respecto al uso de este sistema llegando a ser castigado con multas elevadas incluso prisión.

Por ejemplo la operadora T-Mobile, tiene un apartado en el cual explica y pone a disposición de sus clientes formularios para denunciar si son estafados mediantes técnicas de SMSSPOOF y CALLID SPOOF

En muchas ocasiones las opciones para usar este sistema como ya se comentó anteriormente pasan por hacer un pago según sus tarifas las cuales nos dan unos créditos que según las opciones que usemos en la llamada se nos descuentan su facilidad de uso es muy sencilla incluso hay opción de usar nuestro móvil con la APP de la compañía la cual nos permite realizar las llamadas, En este caso hablaremos de la compañía más conocía en EEUU en estos servicios.
SpoofCard es una compañía que ofrece de forma internacional el servicio de SPOOFCALL, Anteriormente usaban el servicio de SpoofSMS pero dicho servicio desapareció de la web al igual que el teléfono de la empresa ubicado en españa.

¿Tendría algo que ver que según el banner era totalmente legal el hecho de dejar de dar su servicio en Europa?

Cuando instalamos la Aplicación en nuestro terminal móvil ( IOS o Android ) disponemos de un menú el cual nos permite de una forma sencilla poner el numero del remitente desde el que podemos llamar el cual admite números y texto, por ejemplo podemos mandar un SMS con el remitente “ BANCO DE CONFIANZA “ o “ Trabajo “ y en el número de destino podemos poner el número de forma internacional.


Después pueden elegir si queremos usar la voz femenina, masculina, o no disponer de ninguna de estas opciones pero si incluir un fondo de sonido ambiental el cual parece que la llamada provenga desde un aeropuerto, un casino, un atasco y asa más de 10 opciones las cuales pueden usar para hacernos creer que la llamada que aparece en la pantalla es la correcta
En algunos casos las fuerzas de seguridad de varios países cuando desmantelan una red de blanqueo de dinero o incluso en estafas de phising han hecho mención a esta herramienta usada por las organizaciones criminales.
Pongamos un ejemplo de una de estas llamadas en las cuales podríamos ser víctimas, Supongamos que nuestro superior en el trabajo tiene que irse al aeropuerto y una tercera persona decide usar esta situación para sacar información de la empresa

“ Podriamos recibir una llamada desde una tercera persona con el teléfono de nuestro superior y usar la opción de sonido ambiental y simular una terminal de aeropuerto “
Puede parecer algo totalmente inofensivo, pero incluso un SMS de nuestro superior indicándonos en el mensaje
“ Con las prisas me deje un documento en la mesa, ¿puedes escanearlo y mandármelo en pdf a un correo personal que te doy ? “

Los problemas con los mensajes spofeados están a la orden del día para simular situaciones que no son y hacerse pasar por personas de nuestro entorno.

Las compañías que ofrecen estos servicios guardan un registro de la IP desde la cual se creó la cuenta, aparte de información de la cuenta de paypal . Pero eso no es un problema porque hay opciones al alcance de cualquiera para mandar mensajes Spoof sin depender de un tercero y sin tener que hacer ningún tipo de pago mediante ningún servicio.

Esta oportunidad la ofrece el terminal Samsung con sistema operativo BADA , El cual modificando la ROM del terminal mediante el programa ODIN podemos cambiarle la ROM y tener un terminal modificado que nos permite mandar mensajes de móvil con Identificador falseado.

Tenemos que tener mucho cuidado con la información que manipulamos y la información a la que pueden tener acceso, usando estos servicios.
Hay que estar alerta si recibimos mensajes o llamadas de nuestro banco solicitando datos personales o información sensible

No siempre la llamada que recibimos está libre de peligros.

¿ Que es TOR ?

The Onion Router, en su forma abreviada Tor, es un proyecto cuyo objetivo principal es el desarrollo de una red de comunicaciones distribuida de baja latencia y superpuesta sobre internet en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela su identidad, es decir, su dirección IP (anonimato a nivel de red) y que, además, mantiene la integridad y el secreto de la información que viaja por ella. Por este motivo se dice que esta tecnología pertenece a la llamada darknet o red oscura también conocida con el nombre de deep web o web profunda.




306px-Tor-logo-2011-flat_svg




Para la consecución de estos objetivos se ha desarrollado un software libre específico. La forma de funcionar de la red TOR hace viajen desde el origen al destino a través de una serie de routers especiales llamados 'routers de cebolla' (en inglés onion routers). El sistema está diseñado con la flexibilidad necesaria para que pueda implementar mejoras, se despliegue en el mundo real y pueda resistir diferentes tipos de ataque. Sin embargo, tiene puntos débiles y no puede considerarse un sistema infalible asi pues según información obtenida de los documentos de alto secreto filtrados por Edward Snowden en 2013, la Agencia de Seguridad Nacional de Estados Unidos (NSA) habría, supuestamente, conseguido "romper" Tor y así descubrir las identidades de los usuarios que buscan el anonimato







¿ Cómo funciona Tor ?

Tor es una red de túneles virtuales que le permite mejorar su privacidad y seguridad en Internet. Tor funciona enviando sus datos a través servidores aleatorios dentro de la red Tor, antes que esos datos sean enviados hacia el Internet público. Tor hará anónimo el origen de su tráfico y codificará todo entre el usuario A y la red Tor. Tor también codificará su tráfico dentro de la red Tor, pero no puede hacerlo entre la red Tor y el destino del tráfico, Lo cual implica que la conexión a webs dentro de la red TOR deben de realizarse mediante protocolo HTTPS ( https://outlook.es ) y no (www.outlook.es )




¿ Donde esta disponible TOR ?

Tor esta disponible en multiples plataformas desde por ejemplo sistemas de escritorio como Windows, o distribuciones como Linux o en varios SmartPhones basados en Android , Maemo y IOS , también disponemos de la versión para Mac, Todas ellas están disponibles en la web del proyecto www.torproject.org


¿ Cómo descargar Tor?

La descarga de tor recomendada para los usuarios seria desde en enlace de descarga de la propia pagina https://www.torproject.org/projects/torbrowser.html, igualmente puede bajarse TOR mediante correo electrónico , En este caso dependiendo del sistema operativo que estemos ejecutando la forma de realizarlo es la misma pero varia en el texto a indicar en el correo electrónico

Mandando un Email a gettor@torproject.org y poniendo en el cuerpo de mensaje Windows dejando el asunto en blanco nos llegara un email con el enlace de descarga, al igual sucede si usamos otro sistema operativo.

El texto a cambiar según el sistema operativo lo tenéis disponible en la siguiente tabla


Windows -> Para Versiones Windows

Mac OS X ->macos-i386

Linux 32 Bits - > Linux linux-i386

Linux 64Bits -> linux-x86_64




¿ Cómo usar el Paquete de Navegador Tor ?

Después de descargar Tor, podemos extraer el fichero comprimido en Zip (Windows) en el escritorio o si lo deseamos podemos realizar la descompresión en una memoria USB de al menos 512 megas Entre los ficheros que vemos al descomprimir hay uno de ellos que es un ejecutable (.exe) el cual se llama "Start Tor Browser" (o "start-tor-browser") este es el fichero que deberemos de ejecutar para poder arrancar el paquete de navegación TOR

Al ejecutar este programa se verá primeramente Vidalia iniciarse y conectarse a la red Tor. Después, se verá un navegador confirmando que se encuentra utilizando Tor. Esto se hace desplegando https://check.torproject.org/. Ahora ya puede navegar por Internet a través de Tor.



Tor no funciona ¿ Que sucede ?

En varias situaciones el error peudes estar motivado por que el reloj de sistema mal configurado: Asegúrese que la fecha y hora es correcta, y reinicie Tor.

Hay casos en los que el cortafuegos esta bloqueando la conexión de TOR, en ese caso deberemos de asignar a tor mediante el cortafuegos los puertos 80 y 443 esto se realiza desde el panel de control de vidalia, seleccionando en Configuración de retransmisión y luego en Red.

De forma poco frecuente es posible que nuestro propio ISP esta bloqueando la conexión a internet, pero igualmente podemos usar TOR usando puentes ocultos que no son tan fáciles de bloquear, Se pueden localizar varios servidores ( puentes ) desde la pagina https://bridges.torproject.org/ o si deseamos recibir la información por email deberemos de mandar un email a bridges@torproject.org poniendo get bridges en el cuerpo del email. Muchos de los puentes (bridged ) pueden dejar de funcionar de un día para otro en ese caso deberemos de usar otro y se aconseja cambiar con frecuencia la lista de nuestros puentes.


¿ Se pueden usar proxys ?

Podemos usar cualquier proxy HTTPS o SOCKS y así obtener acceso a la red Tor. Esto significa que si Tor es bloqueado por su red local,los proxies nos0 pueden dar el acceso a la red Tor
1- Abrimos Vidalia y Configuración de retransmisión.
2- Hacemos click en Red y seleccionamos Uso un proxy para acceder a Internet.
3- En el campo Address, ingresamos la dirección del proxy abierto y el puerto sin olvidar selecionar HTTPS, SOCKS4 o SOCKS5
4- Presionamos el botón Aceptar y ya esta ahora configurado para usar un proxy y así acceder