{"id":2835,"date":"2015-08-22T11:22:57","date_gmt":"2015-08-22T09:22:57","guid":{"rendered":"https:\/\/diocesanos.es\/blogs\/equipotic\/?p=2835"},"modified":"2015-08-11T01:28:28","modified_gmt":"2015-08-10T23:28:28","slug":"9-datos-basicos-sobre-seguridad-que-los-expertos-desearian-que-supieras","status":"publish","type":"post","link":"https:\/\/diocesanos.es\/blogs\/equipotic\/2015\/08\/22\/9-datos-basicos-sobre-seguridad-que-los-expertos-desearian-que-supieras\/","title":{"rendered":"9 datos b\u00e1sicos sobre seguridad que los expertos desear\u00edan que supieras"},"content":{"rendered":"

Todos los d\u00edas o\u00edmos noticias sobre fallos de seguridad, virus, o grupos de hackers sin escr\u00fapulos que pueden ponerte en apuros, o peor, poner en apuros todo un pa\u00eds.<\/p>\n

\"seguridad\"<\/a><\/p>\n

\u00bfQu\u00e9 hay de cierto en todos estos peligros digitales? Hemos pedido a varios expertos en seguridad electr\u00f3nica que nos separen los hecho de los mitos. Esto es lo que han dicho:<\/p>\n

<\/p>\n

1.- Tener una contrase\u00f1a fuerte realmente puede prevenir la mayor\u00eda de ataques<\/h3>\n

El jefe de seguridad de Facebook, Alex Stamos, se ha pasado la mayor parte de su carrera buscando brechas de seguridad y tratando de descubrir c\u00f3mo tratan los hackers de sacar provecho a esos fallos. A lo largo de su carrera ha visto de todo, desde los ataques m\u00e1s retorcidos a las estafas mas sencillas de ingenier\u00eda social. En ese tiempo, lo que ha descubierto es que hay dos soluciones muy simples para la amplia mayor\u00eda de usuarios: una contrase\u00f1a fuerte y verificaci\u00f3n en dos pasos.<\/p>\n

Stamos cree que el mayor problema es que las noticias se centran en los casos de ataques m\u00e1s complicados y eso deja en los usuarios cierta sensaci\u00f3n de que no pueden hacer nada para defenderse por s\u00ed mismos, pero eso no es cierto. Stamos escribe:<\/p>\n

\n

He notado un mont\u00f3n de nihilismo en los medios de comunicaci\u00f3n, los expertos en seguridad y la propia opini\u00f3n p\u00fablica desde que los documentos de Snowden se hicieron p\u00fablicos. Este nihilismo suele expresarse levantando las manos y diciendo: \u201cNo hay nada que pueda hacer para estar a salvo\u201d. Es cierto que una persona normal no puede hacer mucho contra la infraestructura de una gran agencia de inteligencia capaz hasta de reescribir el firmware de un dispositivo, pero eso no deber\u00eda disuadir a los usuarios de hacer lo que est\u00e9 en sus manos para protegerse de amenazas m\u00e1s probables, y a los expertos en seguridad de crear sistemas de protecci\u00f3n pr\u00e1cticos contra adversarios mas reales.<\/p>\n

A nivel de usuario, las personas p\bueden protegerse contra los ataques m\u00e1s probables y da\u00f1inos con solo seguir dos simples pasos:<\/p>\n

1) Instalar un programa de gesti\u00f3n de contrase\u00f1as para crear c\u00f3digos \u00fanicos para cada uno de los servicios que usa.<\/p>\n

2) Activar la verificaci\u00f3n en dos pasos (generalmente v\u00eda mensajes de texto) en su correo electr\u00f3nico y redes sociales.<\/p>\n

El \u00faltimo es especialmente importante porque una vez que los hackers descubren una contrase\u00f1a de cualquier tipo la usan para probar suerte en otros servicios con el fin de hacerse con la mayor cantidad de informaci\u00f3n posible. De verdad me gustar\u00eda que los medios de comunicaci\u00f3n dejaran de extender la idea de que, por el hecho de que las amenazas de alto nivel sean cada vez mas sofisticadas, no es posible protegernos en la mayor parte de escenarios.<\/p>\n<\/blockquote>\n

Adam J. O\u2019Donnell<\/a>, ingeniero en el Grupo Avanzado de Protecci\u00f3n contra Malware de Cisco, amplia las afirmaciones de Statmos:<\/p>\n

\n

Mi consejo para el ciudadano medio: Haz buenas copias de seguridad y ponlas a prueba a menudo. Usa un sistema de gesti\u00f3n de contrase\u00f1as y una contrase\u00f1a diferente para cada servicio.<\/p>\n<\/blockquote>\n

Efectivamente, tener una buena contrase\u00f1a es f\u00e1cil y sigue siendo la mejor protecci\u00f3n que puedes tener.<\/p>\n

2.-El hecho de que un dispositivo sea nuevo no significa que sea seguro<\/h3>\n

Cuando abres la caja de tu nuevo smartphone, tableta o PC huele a pl\u00e1stico nuevo y las bater\u00edas funcionan de maravilla, pero eso no quiere decir que el equipo no est\u00e9 ya infectado con malware o lleno de vulnerabilidades.<\/p>\n

Este consejo lo he o\u00eddo de muchos consultores de seguridad a los que he entrevistado. Eleanor Saitta<\/a> es la directora t\u00e9cnica del Instituto Internacional Modern Media, y lleva una d\u00e9cada asesorando a gobiernos y corporaciones sobre seguridad inform\u00e1tica. Saitta cree que uno de los mitos m\u00e1s perniciosos sobre seguridad es que los dispositivos comienzan su vida \u00fatil completamente seguros pero van mostrando fallos con el tiempo. Simplemente no es cierto. Algunos dispositivos hasta vienen con malware instalado de serie como el famoso Superfish que ven\u00eda en tantos equipos Lenovo.<\/p>\n

\n

Esa es la raz\u00f3n por la que Superfish fue un caso tan sonado. Hicieron una puerta de atr\u00e1s, pero la hicieron con tanta incompetencia que cualquiera con conocimientos pod\u00eda utilizarla.<\/p>\n

Cuando conf\u00edas en un c\u00f3digo escrito por otra persona o un servicio online sobre el que no tienes control hay posibilidades de que no act\u00faen completamente en beneficio nuestro sencillamente porque su objetivo es vendernos cosas. Hay muchas posibilidades de que el sistema en cuesti\u00f3n ya est\u00e9 comprometido o pertenezca a otra persona. No hay una buena manera de gestionar la confianza para ello ahora mismo, y es probable que haya muchas personas usando ya ese c\u00f3digo.<\/p>\n<\/blockquote>\n

El otro problema, que apareci\u00f3 a comienzos de este a\u00f1o con el ataque FREAK<\/a>, es que muchas m\u00e1quinas vienen con puertas traseras preinstaladas. Estas puertas se instalan a petici\u00f3n del propio gobierno para que las agencias de inteligencia tengan m\u00e1s f\u00e1cil hacer seguimiento a ciertos objetivos. El problema es que, una vez se conocen, estas puertas traseras pueden ser usadas por cualquiera. Saitta explica:<\/p>\n

\n

Es fundamental que entendamos que si se construye un sistema de monitorizaci\u00f3n en una red m\u00f3vil o en un sistema de cifrado, cualquiera puede usarlo. Es una vulnerabilidad en el sistema y, por mucho que se intente controlar, una puerta trasera es una puerta trasera. Cualquiera puede entrar por ella si sabe c\u00f3mo hacerlo.<\/p>\n<\/blockquote>\n

3.- Hasta el mejor software tiene fallos de seguridad<\/h3>\n

Muchos imaginan que si el software es lo bastante bueno, es completamente seguro. Debido a esta actitud, muchos usuarios se enfadan cuando las m\u00e1quinas o software que usan resultan ser vulnerables a un ataque. Despu\u00e9s de todo, si somos capaces de dise\u00f1ar un coche seguro, \u00bfpor qu\u00e9 no vamos a poder dise\u00f1ar un software seguro? Al fin y al cabo solo es cuesti\u00f3n de tener la tecnolog\u00eda adecuada \u00bfno?<\/p>\n

Parisa Tabriz<\/a> nos explicaba v\u00eda email que este concepto es totalmente err\u00f3neo. Tabriz es la ingeniera al frente del equipo de seguridad de Chrome, y cree que la informaci\u00f3n sobre seguridad se parece un poco a la medicina (un poco entre el arte y la ciencia) que a las ciencias puras. La raz\u00f3n es que la tecnolog\u00eda la fabrican seres humanos con motivaciones muy poco cient\u00edficas. Esto es lo que dice:<\/p>\n

\n

Creo que la informaci\u00f3n sobre seguridad inform\u00e1tica es en muchos sentidos parecido a la Medicina: es al mismo tiempo un arte y una ciencia. Es posible que sea porque los humanos han construido y dise\u00f1ado, de manera expl\b\u00edcita y desde cero, cosas como la seguridad e internet. Asumimos que deber\u00edamos ser capaces de hacerlos a la perfecci\u00f3n, pero la complejidad de ello nos supera y ahora esa tarea parece casi imposible. Hacerlo seguro implicar\u00eda que no existiese ning\u00fan bug, algo imposible<\/p>\n

Siempre habr\u00e1 bugs<\/em> en el software. Siempre. Algunos de ellos tendr\u00e1 un impacto en la seguridad de muchos. El reto es darse cuenta de cu\u00e1les merece la pena arreglar y a cu\u00e1les merece la pena dedicar recursos. Mucha de esa especulaci\u00f3n se basa en modelos b\u00e1sicos de amenazas que se beneficiar\u00edan enormemente si se fijasen m\u00e1s en las motivaciones humanas, como el crimen, la monitorizaci\u00f3n etc.<\/p>\n<\/blockquote>\n

La investigadora en seguridad inform\u00e1tica de RAND Corporation, Lillian Ablon<\/a>, me escribi\u00f3 tambi\u00e9n por email para ratificar lo mismo: no hay ning\u00fan sistema 100% seguro. El objetivo de los que se encargan de protegerlo es hacer que el ataque resulte muy caro de realizar, no imposible:<\/p>\n

\n

Con suficientes recursos, siempre suele haber una manera para el atacante de romper la seguridad. Es posible que te suene la frase \u201ces una cuesti\u00f3n de cuando, no de si\u201d en relaci\u00f3n a este problema. En su lugar, el objetivo de la seguridad inform\u00e1tica es elevar los costes para los atacantes (en cuestiones como el tiempo, los recursos, la investigaci\u00f3n… etc).<\/p>\n<\/blockquote>\n

4.- Cada p\u00e1gina web deber\u00eda usar HTTPS<\/h3>\n

Es muy probable que hayas o\u00eddo pr\u00e1cticamente todo rumor habido y por haber sobre HTTPS. Que si es solamente para p\u00e1ginas que deben ser ultra seguras, que si no funciona realmente… todas son incorrectas. Peter Eckersley<\/a>, de la Electronic Frontier Foundation, es un tecnol\u00f3go que ha estado investigando el uso de HTTPS desde hace varios a\u00f1os y trabajando con el proyecto de la Electronic Frontier Foundation llamado HTTPS Everywhere<\/a>. Afirma que hay un error de concepto muy peligrosos en el que la gente cree que la mayor\u00eda de webs y apps simplemente no necesitan HTTPS. As\u00ed lo explica:<\/p>\n

\n

Otro serio error es algunos propietarios de p\u00e1ginas webs relevantes, como peri\u00f3dicos o redes de publicidad, penando que \u201ccomo no procesamos ning\u00fan pago online, nuestro sitio no necesita HTTPS\u201d. Toda p\u00e1gina en la web deber\u00eda ser HTTPS, porque sin \u00e9l es f\u00e1cil para haceros, curiosos o herramientas de protecci\u00f3n del gobierno ver exactamente c\u00f3mo la gente reacciona en el sitio, qu\u00e9 datos procesa tu aplicaci\u00f3n o incluso alterar esos datos de manera maliciosa.<\/p>\n<\/blockquote>\n

Eckersley no est\u00e1 afiliado a ninguna compa\u00f1\u00eda ni tiene ning\u00fan inter\u00e9s comercial (la EFF es una organizaci\u00f3n sin \u00e1nimo de lucro), y por tanto ning\u00fan conflicto de inter\u00e9s cuando se trata de promover el uso de HTTPS.<\/p>\n

5.- La nube no es (100%) segura, de hecho s\u00f3lo propicia nuevos problemas de seguridad<\/h3>\n

Una gran mayor\u00eda de datos est\u00e1 en la nube en la actualidad. Ah\u00ed tienes tu correo, tus fotos, us mensajes instant\u00e1neos, tus documentos m\u00e9dicos, tus datos del banco e incluso tu vida sexual. Y de hecho est\u00e1 ah\u00ed m\u00e1s segura de lo que cabr\u00eda esperar. Al mismo tiempo, y sin embargo, crea nuevos problemas de seguridad que obviamente hay que tener en cuenta. La ingeniera de seguridad Leigh Honeywell trabaja para una gran compa\u00f1\u00eda de cloud computing, <\/em>y explica c\u00f3mo funciona la seguridad en la nube:<\/p>\n

\n

Tu casa es tu casa y normalmente, sabes exactamente el tipo de precauciones que debes tomar para protegerla contra intruso y adem\u00e1s qu\u00e9 es lo que ganas y lo que pierdes para cada una de ellas. \u00bfValla electrificada? \u00bfUn sistema de alarma? \u00bfBarrotes en la ventana? \u00bfO preferiste evitarlos porque afeaban la imagen de la casa?<\/p>\n

\u00bfVives en un sitio con portero? Yo llegu\u00e9 a vivir en un sitio donde hac\u00eda falta una tarjeta de seguridad para ir a cada piso concreto: Era m\u00e1s enojoso y cansado, s\u00ed, pero tambi\u00e9n m\u00e1s seguro. El guardia de seguridad se aprend\u00eda los patrones de movimiento de los inquilinos y as\u00ed puede reconocer intrusos potenciales. Tiene m\u00e1s informaci\u00f3n que el propietario individual.<\/p>\n<\/blockquote>\n

Poner tus archivos en la nube es parecido a vivir en uno de esos apartamentos. S\u00f3lo que m\u00e1s raro. Honeywell ampl\u00eda:<\/p>\n

\n

Los servicios en la nube son capaces de correlacionar datos de sus clientes para deducir patrones que sean peligrosos para su seguridad. Puede que no tengas 100% acceso al lugar donde tus datos se est\u00e1n almacenando, pero hay alguien, un \u201cportero\u201d, en ese edificio virtual 24 horas 7 d\u00edas a la semana y ese alguien ve los patrones y los logs del sistema. Es algo as\u00ed como una protecci\u00f3n derivada de ser una manada. Hay muchos que autom\u00e1ticamente lo hacen saltar: una \u00fanica direcci\u00f3n IP accediendo a varias cuentas a al vez en varios pa\u00edses distintos donde nunca antes se ha accedido a esa cuenta. O que algunas de esas cuentas compartan un mismo tipo de archivo, indicando que puede ser malicioso.<\/p>\n

Si es un ataque m\u00e1s dirigido, los signos ser\u00e1n m\u00e1s sutiles. Ah\u00ed es pr\u00e1cticamente como buscar una aguja en un pajar, porque tienes que manejar muchos m\u00e1s datos. Hay mucho entusiasmo con el big data<\/em> y el comportamiento de aprendizaje de las m\u00e1quinas pero la verdad es que apenas estamos rascando la superficie ahora mismo. Un atacante con habilidad puede aprender a moverse de manera sigilosa y sin provocar que salten los sistemas de detecci\u00f3n .<\/p>\n<\/blockquote>\n

En otras palabras, algunos m\u00e9todos de ataque automatizados hacen saltar las alarmas casi al instante. Pero tambi\u00e9n es sencillo esconderse. Honeywell aclara que los usuarios necesitan considerar cada clase de amenaza cuando elijan un servicio en la nube o uno local.<\/p>\n

\n

Los servicios en la nube son mucho m\u00e1s complejos que, digamos, un disco duro conectado a tu ordenador, o un servidor de email ejecut\u00e1ndose en tu casa. Hay muchos m\u00e1s lugares donde las cosas pueden salir mal, m\u00e1s partes m\u00f3viles. Al mismo tiempo, tambi\u00e9n hay m\u00e1s gente encargada de que nada de eso ocurra. Lo que la gente deber\u00eda preguntarse es: \u00bfes mejor que yo mismo me encargue de esto o deber\u00eda dejar que gente con m\u00e1s tiempo, dinero y conocimientos se encargue? \u00bfEn qui\u00e9n pienso cuando me viene a la mente un ataque inform\u00e1tico: la NSA, un gamer irritado o una ex-pareja? Yo aloj\u00e9 mi propio servidor de email durante a\u00f1os, hasta que finalmente lo mov\u00ed a uno dedicado. Conozco a gente que trabaja en Gmail y Outlook.com y hacen un mejor trabajo manejando ese tipo de asuntos del que yo habr\u00eda hecho jam\u00e1s. Es tambi\u00e9n una inversi\u00f3n de tiempo, porque administrar uno es un jaleo constante. Para algunos, sin embargo, merece la pena, porque les preocupa que la NSA meta sus narices.<\/p>\n<\/blockquote>\n

6.- Las actualizaciones de software son vitales<\/h3>\n

Hay pocas cosas m\u00e1s irritantes en esta vida que un popup recordando que tienes actualizaciones pendientes. A menudo tienes que enchufar el aparato a la corriente y en ocasiones pueden llevar un largo tiempo. Pero a la vez son lo \u00fanico que se interpone entre t\u00fa y el malo de la peli. O\u2019Donell lo explica as\u00ed:<\/p>\n

\n

Los mensajes de actualizaci\u00f3n no est\u00e1n ah\u00ed exclusivamente para irritarte: la frecuencia con la que hace falta actualizar no depende tanto de las nuevas caracter\u00edsticas sino m\u00e1s bien por fallos que alg\u00fan atacante ha conseguido explotar. Estas actualizaciones lo identifican y lo arreglan. Lo m\u00e1s probable es que si tienes una herida en el brazo infectada no pases d\u00edas sin tratarla. Aqu\u00ed es lo mismo.<\/p>\n<\/blockquote>\n

7.- Los hackers <\/em>no son criminales<\/h3>\n

A pesar de que d\u00e9cadas de historia indican lo contrario, los hackers no son lo que la mayor\u00eda de la gente piensa: adversarios con nada m\u00e1s que hace que robar sus preciados bienes digitales. La cuesti\u00f3n es que los hackers pueden llevar tanto un amable sombrero blanco como otro negro. Los que lo tienen blanco entran en sistemas antes que los del sombrero negro para parchar el problema. Tabriz lo ampl\u00eda as\u00ed:<\/p>\n

\n

Los hackers no son criminales. S\u00f3lo porque alguien sepa como vulnerar algo no significa que utilizar\u00e1 ese conocimiento para hacer da\u00f1o a los dem\u00e1s. La mayor\u00eda hacen de hecho que las cosas sean mejores.<\/p>\n<\/blockquote>\n

O\u2019Donnell a su vez enfatiza que los hackers son necesarios porque el software sin m\u00e1s no puede protegernos al completo. S\u00ed, los antivirus son un buen comienzo. Pero al final necesitas a expertos de seguridad como los hackers para defenderte contra adversarios que son, despu\u00e9s de todo, seres humanos:<\/p>\n

\n

La seguridad no gira en realidad tanto en torno a construir muros de protecci\u00f3n como en habilitar guardianes v\u00e1lidos para vigilar el paso. Las herramientas de defensa por s\u00ed mismas no pueden parar a un atacante con los suficiente recursos. Si alguien quiere entrar a toda cosa, comprar\u00e1n toda herramienta de seguridad que les permita hacerlo y la probar\u00e1n contra t\u00ed. Combatir eso requiere no solo buenas herramientas sino tambi\u00e9n buenas personas detr\u00e1s de ellas.<\/p>\n<\/blockquote>\n

Ablon, de RAND, a\u00f1ade que los hackers maliciosos raramente suponen la amenaza que la gente les atribuye. La mayor\u00eda de ataques, en realidad, vienen de gente que no te esperas y sus motivaciones suelen ser m\u00e1s complicadas que \u00fanicamente el hurto:<\/p>\n

\n

En muchas ocasiones un empleado supone una amenaza igual de grande en t\u00e9rminos de seguridad, y puede hacer que esta vaya al traste de manera involuntaria. Al mismo, hay distinto tipos de ciberamenazas (cibercriminales, el estado, hacktivistas) con diferentes motivaciones y posibilidades. Por ejemplo, los cibercriminales que vulneraron Target y Anthem ten\u00edan un trasfondo completamente distinto a, por ejemplo, los gubernamentales que trajeron de cabeza a Sony Pictures.<\/p>\n<\/blockquote>\n

8.- El ciberataque y el ciberterrorismo no son tan frecuentes<\/h3>\n

Como han dicho los expertos en seguridad, tu mayor amenaza es que alguien entre en tus cuentas por culpa de una contrase\u00f1a mal dise\u00f1ada. Con todo, eso no impide que la gente se aterrorice por alg\u00fan tipo de \u201cciberataque\u201d criminal a m\u00e1s escala:<\/p>\n

\n

S\u00ed, hay maneras de vulnerar un veh\u00edculo desde cualquier parte del mundo. S\u00ed, los instrumentos de los hospitales <\/a>como los marcapasos pueden controlarse remotamente y las bombas de insulina tienen direcciones IP o est\u00e1n disponibles v\u00eda Bluetooth. Pero a menudo al mayor\u00eda de ataques requieren un acceso por proximidad, y los exploits <\/em>que son lo suficientemente \u00fatil requieren una buena cantidad de tiempo para desarrollarse e implementarse. Dicho eso, no deber\u00edamos ignorar que millones de dispositivos conectados (el Internet de las Cosas) puede ampliar el n\u00famero de cosas sobre las que se puede atacar.<\/p>\n<\/blockquote>\n