Una de las grandes ventajas del Internet consiste en ofrecer la facilidad de realizar en línea cualquier cantidad de transacciones, que facilitan la comercialización e intercambio de productos, bienes y servicios. Lo que permite a pequeñas y grandes empresas concretar de forma rápida sus operaciones y culminar sus procesos optimizando su efectividad y productividad.
Además es una herramienta que permite hacer uso de los recursos, hacer transferencias, pagos en línea, etc. Lo que a su vez representa un riesgo para quienes mueven su información financiera por este medio, porque igualmente existen personas interesadas en acceder a ella y para ello han inventado diferentes modalidades que les permiten engañar y manipular a las personas para acceder a su información financiera.
Los delitos informáticos se definen como conductas o actos ilícitos realizados por acción u omisión que son sancionadas por la ley; desatancándose el uso indebido de los computadores y cualquier medio informático como instrumento o medio y como fin u objetivo, relacionado con el procesado automático de datos y la transmisión de datos (LEM, Capítulo 4, p. 81).
La manipulación fraudulenta de los programas y de los datos en los computadores, el acceso a la información y su mala utilización son algunos factores que afecta la privacidad, ya que los intrusos pueden obtener beneficios económicos o causar daños morales o materiales, pero a veces éstos delitos no se descubren debido a que son los mismos especialistas los encargados de ejecutarlos y borrar las evidencias. Desde este punto de vista, la informática es el objeto del ataque o el medio para cometer delitos.
A continuación, se profundizará sobre otros tipos de riesgos importantes asociados al uso de Internet que también han llegado a ocasionar severos perjuicios personales a los usuarios de las redes y, a los cuales tanto los padres como docentes y estudiantes, también están expuestos.
1. INGENIERÍA SOCIAL: consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. La ingeniería social se basa en el engaño y la persuasión, para obtener que la víctima por sí misma revele la información valiéndose de un acto que ella misma realizará de manera inconsciente, Por ejemplo: Revelar contraseñas por teléfono, ejecutar un archivo que le llegó por e-mail, éstos se realiza cara-cara, por teléfono o por canales tecnológicos y su meta es lograda según la osadía del maleante.
2. SPOOFING: FALSIFICACIÓN
En términos de seguridad de redes hace referencia al uso de técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de lafalsificación de los datos en una comunicación.
Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado.
En el spoofing entran en juego tres máquinas: un atacante, un atacado, y un sistema suplantado que tiene cierta relación con el atacado; para que el pirata pueda conseguir su objetivo necesita por un lado establecer una comunicación falseada con su objetivo, y por otro evitar que el equipo suplantado interfiera en el ataque.
Probablemente esto último no le sea muy difícil de conseguir: a pesar de que existen múltiples formas de dejar fuera de juego al sistema suplantado - al menos a los ojos del atacado - que no son triviales (modificar rutas de red, ubicar un filtrado de paquetes entre ambos sistemas...), lo más fácil en la mayoría de ocasiones es simplemente lanzar una negación de servicio contra el sistema en cuestión.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
¿Cómo evitarlo?
Hay algunas precauciones que pueden ser usadas para limitar los riesgos de sufrir IP spoofing en la red, como:
§ Filtrando en el router: Implementando filtros de entrada y salida en su router es una buena idea para comenzar su defensa ante el spoofing. Usted deberá implementar un ACL (lista de control de acceso) que bloquea direcciones de IP privadas por debajo de su interfaz. Además, este interfaz no debería aceptar direcciones de tu rango interno como dirección de origen (técnica común de spoofing que se usaba para engañar a los cortafuegos). Por encima de la interfaz, usted debería restringir direcciones de origen fuera de su rango válido, esto evitará que alguien en su red envíe tráfico spoofeado a Internet. Es importante que no se permita la salida de ningún paquete que tenga como dirección IP de origen una que no pertenezca a la red.
§ El cifrado y la Autenticación: la Realización del cifrado y la autenticación también reducirán amenazas de spoofing. Estas dos características están incluidos en Ipv6, que eliminará las actuales amenazas de spoofing.
3. PISHING
Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
¿Cómo se realiza?
El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir más formatos pero en estos momentos solo mencionamos los más comunes:
- SMS (mensaje corto): la recepción de un mensaje donde le solicitan sus datos personales.
- Llamada telefónica: pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios.
- Página web o ventana emergente: es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios.
4. SOFTWARE INCORRECTO
Son errores de programación (bugs) y los programas utilizados para aprovechar uno de
estos fallos y atacar al sistema son los exploits. Es la amenaza más habitual, ya que es muy sencillo conseguir un exploit y utilizarlo sin tener grandes conocimientos.
5. SPYWARE
Programas espía que recopila información sobre una persona o una organización sin su conocimiento. Esta información luego puede ser cedida o vendida a empresas publicitarias.
Pueden recopilar información del teclado de la víctima pudiendo así conocer contraseña o nº de cuentas bancarias o pines.
6. SPAM
Recepción de mensajes no solicitados. Se suele utilizar esta técnica en los correos electrónicos, mensajería instantánea y mensajes a móviles.
ALGUNAS RECOMENDACIONES PARA MITIGAR DELITOS INFORMÁTICOS
Es necesario que los usuarios incorporen buenas
prácticas para proteger el entorno de la información,
y prevenir la posibilidad de formar parte del conjunto
que engloba a las potenciales y eventuales víctimas
de cualquiera de las amenazas, que constantemente
buscan sacar provecho de las debilidades humanas.
Pero para ello inevitablemente se deben conocer los
peligros latentes, y cómo detenerlos a través de
mecanismos de prevención.
A continuación, se exponen algunas recomendaciones para prevenir, detectar y minimizar a tiempo estas acciones maliciosas.
ü No descargar actualizaciones desde sitios de dudosa reputación y hacerlo sólo desde sitios de confianza. Descargar las actualizaciones desde sitios no oficiales implica un potencial riesgo de infección.
ü Descargar las actualizaciones a través de los mecanismos ofrecidos por el fabricante. En el caso de las actualizaciones de productos de Microsoft, la disponibilidad de los mismos es informada el segundo martes de cada mes, aunque puede haber excepciones en casos de vulnerabilidades críticas.
Para las plataformas Microsoft se puede:
ü Acceder al sitio web de Windows Update para obtener los últimos parches de seguridad o Configurar en el Centro de Seguridad de Windows la automatización, o no, de descarga de actualizaciones.
ü Utilizar herramientas gratuitas como MBSA2 (Microsoft Baseline Security Analyzer) para verificar la falta de actualizaciones en el sistema operativo, o PSI3 (Personal Software Inspector) para chequear las aplicaciones.
ü Implementar (en entornos corporativos) los WSUS4 (Windows Server Update Services) de Microsoft.
ü También en entornos corporativos, y sin importar la plataforma, se aconseja preparar políticas de gestión de actualizaciones claras, que permitan coordinar y administrar los parches de seguridad tanto de los sistemas operativos como de las aplicaciones. Lo ideal es que esta política de gestión forme parte de la PSI (Política de Seguridad de la Información).
· PROTECCIÓN DEL CORREO ELECTRÓNICO
El correo electrónico constituye uno de los canales de propagación/infección de malware más utilizados por atacantes; por lo tanto es importante que los usuarios incorporen como hábito determinadas prácticas que permitan prevenir los ataques realizados a través de códigos maliciosos.
En consecuencia, a continuación se presenta una serie de medidas preventivas orientadas a aumentar la seguridad durante el uso del correo electrónico.
ü No confiar en correos spam con archivos adjuntos y explorar el archivo antes de ejecutarlo. Esto asegura que no se ejecutará un malware.
ü Cuando se reciben adjuntos, prestar especial atención a las extensiones de los mismos, ya que suelen utilizar técnicas de engaño como la doble extensión o espacios entre el nombre del archivo y la extensión del mismo.
ü Utilizar filtros anti-spam que permitan el filtrado del correo no deseado. No responder jamás el correo spam. Es preferible ignorarlos y/o borrarlos, ya que si se responde se confirma que la dirección de correo se encuentra activa.
ü En lo posible, evitar el re-envío de mensajes en cadena, ya que suelen ser utilizados para recolectar direcciones de correo activas.
ü Si de todos modos se desea enviar mensajes en cadena, es recomendable hacerlo siempre Con Copia Oculta (CCO) para que quien lo recibe lea solo la dirección del emisor.
ü Proteger la dirección de correo utilizando una cuenta alternativa durante algún proceso de registro en sitios web y similares. Esto previene que la dirección de correo personal sea foco del spam.
ü Como medida de seguridad extra, bloquear las imágenes de los correos y descargarlas cuando se asegure de que el correo no es dañino.
Ø PROTECCIÓN DE LA INFORMACIÓN PERSONAL
ü Tener en cuenta que las entidades bancarias y financieras no solicitan datos confidenciales a través de este medio, de esta manera se minimiza la posibilidad de ser víctima de esta acción delictiva.
ü Desconfiar de los correos que dicen ser emitidos por entidades que brindan servicios y solicitan cambios de datos sensibles ya que suelen ser métodos de Ingeniería Social.
ü No hacer clic sobre enlaces que aparecen en el cuerpo de los correos electrónicos, ya que pueden redireccionar hacia sitios web clonados o hacia la descarga de malware.
ü Asegurarse de que la dirección del sitio web al cual se accede comience con el protocolo https. La”s” final, significa que la página web es segura y que toda la información depositada en la misma viajará de manera cifrada.
ü Comunicarse telefónicamente con la compañía para descartar la posibilidad de ser víctimas de un engaño, si se tiene dudas sobre la legitimidad de un correo.
ü Jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través del correo electrónico, ya que la comunicación podría ser interceptada y robada.
ü Habituarse a examinar periódicamente la cuenta bancaria, a fin de detectar a tiempo alguna actividad extraña relacionada con la manipulación de la cuenta o transacciones no autorizadas. Es importante denunciar casos de phishing (dentro de lo posible) en la entidad de confianza, ya que además de cortar la actividad del sitio malicioso, se colabora con la seguridad general de la navegación en Internet.
