Este documento presenta una introducción a la protección de datos, el hacking, el fraude online y la seguridad informática. Cubre temas como diferentes tipos de hackers, hacktivismo, seguridad informática, contraseñas seguras, fraude online como phishing y pharming, y botnets. El documento fue presentado por Jorge Websec, un experto en seguridad informática.
1. IINTRODUCCIÓN A LA PROTECCIÓN DE DATOS:
HACKING, FRAUDE ONLINE Y SEGURIDAD INFORMÁTICA.
Jorge Websec
2. Presentación:
Jorge Websec
• Soy un apasionado de la Seguridad Informática en todos los
ámbitos.
• Trabajo como auditor, consultor y técnico de seguridad.
• Escribo en el blog www.websec.es
• Socio fundador de QuantiKa14
3. Índice:
1. Hacking:
i. ¿Qué es un Hacker?
ii. Tipos de Hackers Informáticos.
iii. Hackivismo (Anonymous)
2. Seguridad Informática
I. La seguridad informática no es solo seguridad en los equipos.
II. Contraseñas Seguras.
III. En una red somos un equipo
3. Fraude Online:
I. Phishing
II. Pharming
III. Botnets
4. #Se puede enseñar a una persona a hackear o se le puede enseña a pensar, razonar
y relacionar sus conocimientos para hacer algo que los demás no hacen..???...El
hacking es un arte, se innova no se imita..... ^_^
#Sky_BlaCk
5. Los Hackers:
Cuando se habla de un Hacker:
• Una persona con grandes conocimientos de Informática.
• Una persona con grandes conocimientos de Seguridad Informática.
• Una persona que sabe robar Wifis, Facebook, Tuentis…
• Una persona con grandes conocimientos de Electrónica.
• Un persona que se dedica a realizar estafas a gran
escala, empresas, multinacionales…
• O todas a la vez.
Y a un experto en seguridad se
le queda la cara a sí!!!:
6. La realidad es que la cultura del Hacking se encuentra distorsionada por la sociedad y se
ha ido perdiendo poco a poco la esencia de lo que significa realmente la palabra Hacker.
Gracias a malas películas y representaciones aún peores de los medios de
comunicación/manipulación donde no se diferencia entre un delincuente y un
hacker, en muchos casos también se les llama “piratas”.
7. El Principio del Hacking
¿Dónde empieza todo?
En los años 60 en el Instituto Tecnológico de Massachusetts. A
los programadores que hacían aplicaciones “Hacks” y creaban
aplicaciones que nadie más podía, se les llamaban “Hackers”. Es
un “titulo” que se les llamaban a las personas más hábiles e
inteligentes.
8. ¿Qué es un Hacker entonces?
Un hacker es:
• Apasionado por lo que hace.
• Dedicado y muy curioso.
• Comprometido con el aprendizaje.
• Auto superación.
• Enormes deseos de mejorar no solo
en su campo profesional si no como
persona.
Según esa definición
Un Hacker puede ser:
Cualquier persona…
El espíritu de esta cultura se
extiende a cualquier área del
conocimiento humano donde la
creatividad y la curiosidad son
importantes.
”Si, soy un criminal. Mi crimen es la
curiosidad, juzgar a la gente por lo que dice y
piense, no por su aspecto. Mi crimen es
superarte, algo por lo que nunca me vas a
perdonar.”
By Manifiesto Hacker
9. Tipos de Hackers Informáticos:
White Hat:
Son los buenos, se dedican a realizar intrusiones para buscar
vulnerabilidades y luego reportarlas. Normalmente trabajan en empresas
de seguridad.
Gray Hat:
Juegan a ser buenos y malos, digamos que se dedican a buscar
vulnerabilidades pero también hacen cosas pocas éticas que un White
Hat no haría.
Black Hat:
La diferencia es que los hackers de sobrero negro realizan intrusiones por
un objetivo ajeno como el dinero. Normalmente buscan la forma de
romper o entrar en los sistemas para otras personas o entidades.
Se usa el termino de los sombreros por las películas antiguas del oeste donde el protagonista
bueno tiene el sombrero blanco y el villano negro.
10. Hackivismo:
Varias definiciones:
• El País: El hacktivismo o actividad de los hackers para informar al público
de todo aquello que los Gobiernos no quieren que se sepa, se está
convirtiendo en el movimiento contracultural del siglo XXI.
• Wikipedia: (un acrónimo de hacker y activismo) se entiende normalmente
"la utilización no-violenta de herramientas digitales ilegales o legalmente
ambiguas persiguiendo fines políticos.
Conclusión:
Nueva forma de protesta a través de Internet. Realizado por usuarios
aficionados y expertos de seguridad Informática. Con el fin de reivindicar
derechos, cuestiones políticas, represiones de las autoridades, quejas sociales…
Normalmente utilizan aplicaciones para realizar ataques DDOS o explotan
vulnerabilidades en webs.
Suelen hacer “Defacing”, cambiar la página de presentación por otra donde se
exponga todas estas reivindicaciones sin la autorización de los dueños.
11.
12. Anonymous:
Este grupo de hacktivistas es el más conocido y famoso
actualmente, aparece en defensa de Assange pero se
ha extendido por todo el mundo y cuenta con
miembros en casi todos los países. Su primera
actuación fue contra Paypal, Mastercard y Visa en
defensa de Wikileaks.
13.
14. Operaciones:
Se agrupan en diferentes canales para debatir que “Target” (objetivo)
van atacar. Las llaman Operaciones (#Op) para llamar al mayor número
de personas posibles y realizan ataques DDOS.
16. OP-Israel:
• El día en el que se recuerda a los judíos víctimas del holocausto, miembros
de Anonymous decidieron lanzar el 7 de abril la #OpIsrael.
• Como finalidad denunciar la precaria situación humanitaria en la franja de
Gaza
Objetivo:
• Dejar inoperativas el máximo número posible de webs en Israel y obtener
datos privados para filtrarlos a continuación.
17. Como salió según Anonymous:
• Los hacktivistas han declarado que la operación ha sido un éxito.
• Dejaron inaccesibles miles de webs
• Filtrando miles de datos como 5.000 cuentas de Twitter o 30.000 cuentas
bancarias
• Han contabilizado en 3.000 millones de dólares los supuestos daños
ocasionados por estos ataques.
18. ¿Qué dice Israel?
• Han producido un daño leve.
• Que ninguna infraestructura crítica del país se ha visto afectada.
Es más, según el Gobierno israelí estas acciones tan solo pretenden generar
ruido para llamar la atención de la prensa, minimizando los datos filtrados y las
webs afectadas por esta serie de ataques.
Además un “Hacker” se infiltro en la web de Anonymous y puso de fondo
el himno oficial de Israel.
19. Otros Grupos:
LatinackTeam:
Más de 11000 webs atacadas
que se pueden ver en Zone-
H, miembros Latinos y
Españoles.
DOM Team:
Un total de 20.000 defaces en 3
meses. Eran 15 miembros de
habla hispana. Se les atribuyen
ataques como las webs de
IU, PSOE y paginas de paises de
EEUU, España, Asia, Sudamerica…
LuLzSec:
Abreviatura de LuLz
Security, “Lulz” viene de una
palabra de Internet “LOL” que
significa “laughing out
loud”, riendose en alto es la
traducción.
20. SEGURIDAD INFORMÁTICA NO ES SOLO SEGURIDAD EN
LOS EQUIPOS
Seguridad
Informática
Seguridad
Información
Tu imagen en el
exterior
Protección de los
datos
21. Muchas personas y
empresas, piensan que sí su equipo
funciona bien y no tiene errores es…
IF my_equipo =
no_hay_errorlevel {
Msgbox (“Su ordenador es
Seguro”)
Else {
Msgbox(“Su ordenador no es
seguro”)
} }
SEGURO
22. Principios de la Seguridad Informática
• Confidencialidad: privacidad de los
elementos de información.
• Integridad: válidez de los elementos
de información almacenados.
• Disponibilidad: que los usuarios
puedan acceder a la información.
23. La Seguridad Informática…
Pero también contempla la imagen que
das al exterior.
La información que damos en las redes
sociales y a quienes se las damos es
también seguridad.
Un uso debido nos protege de terceras
personas mal intencionadas.
“Las redes sociales pueden decir mucho de una persona si no pregúntaselo a los de Opileak”
Consejos en Facebook:
1. Que solo te puedan ver tus amigos.
(No agregar a tu jefe)
2. No agregar personas que no
conozcamos. Y si lo hacemos tener
mucho cuidado.
3. No subir fotos que puedan
comprometer tu imagen.
4. Borrar totalmente (lo max. Posible)
tu usuario cuando no quieras
continuar con tu cuenta.
24. Las contraseñas…
Las contraseñas suelen ser de
las primeras barreras que un
Hacker/Cracker tiene que
saltar para conseguir acceso a
nuestros
datos, red, aplicación…
Un uso correcto puede
prevenir ser víctimas o no.
Las contraseñas se pueden
romper con ataques de fuerza
bruta que consiste en ir
probando 1 a 1 las palabras o
conjunto de caracteres que
tenemos en un fichero llamado
normalmente “Diccionario”.
“Las llaves del siglo XXI, las contraseñas
virtuales” una responsabilidad para muchos.
25. Proteger nuestros datos sin ser expertos:
Proteger nuestros datos:
• Un cifrado WPA/WPA2 – PSK.
• Cambiar el SSID.
• Cambia la Clave por defecto.
• Filtrado por IP o Mac.
• Cambia la contraseña de nuestro
punto de acceso.
¿Cómo hacemos contraseñas seguras y
que podamos recordarlas?
26. Contraseñas seguras:
Lo que no debemos hacer:
1. NO utilice su nombre del usuario ni posibles combinaciones.
2. NO utilice información fácil de obtener relacionada con Ud.:
DNI, números de teléfono, matrícula del coche ....
3. NO utilice los nombres de los hijos o cónyuges.
4. No ponga su contraseña en un “posy” amarillo pegado a la pantalla
5. Que no sea “123456”.
Lo que debemos hacer:
1. Tener una contraseña para cada plataforma o acceso.
2. Que tenga al menos 8 caracteres.
3. Poner 2 mayúsculas, números y símbolos (~ ! @ # $ % ^ & * ( ) _ - +
= { } [ ] | : )
27. En la red somos un equipo:
“O todos o nada” puede ser una frase que exprese la seguridad.
Un solo equipo vulnerable en la red puede
ser un vector de ataque para el objetivo
final.
Que nosotros estemos protegidos no
significa que estemos 100% seguros.
Pivoting es un método que consiste en
utilizar un sistema bajo control como túnel
para atacar a otros sistemas.
31. ¿Qué es el fraude Online?
Los delincuentes ha encontrado en
Internet un medio para el robo de
datos
personales, passwords, cuentas
bancarias…
Utilizan la ingeniería social para
engañar al usuario y así obtener
las credenciales. Ingeniería social se define el
conjunto de técnicas
psicológicas y habilidades
sociales para tener
influencia y persuasión para
engañar y obtener
información confidencial o
sensible.
32. DATOS
Datos de INTECO (Instituto Nacional de Tecnologías de la Comunicación) 2012:
• El 52,9% de los internautas han sufrido algún tipo de intento de fraude (5,5%
menos que el año anterior).
• El medio más común utilizado es el correo electrónico que invitan a visitar
una web sospechosa (37,4%) o que ofrecen un servicio no solicitado (30,8%).
• Las entidades más suplantadas suelen ser banca online (41,2%) y de
comercio electrónico (38,6%).
• Un 38,3% de los equipos analizados alojó algún tipo de troyano de los cuales
un 4,4% eran troyanos bancarios y un 4% rogueware (falsos antivirus
normalmente versiones de prueba o free).
• En el 70% de los casos el fraude es de pequeñas cantidades (inferior a 100 €)
pero existe un claro crecimiento del 6,7% al 17,2% de los fraudes de más de
400 €
34. PHISHING
Los delincuentes crean una aplicación idéntica y es mostrada al
usuario, con el fin de que éste, engañado, introduzca sus credenciales.
Scam o Fake: es la aplicación clonada para engañar al usuario.
Pautas para no caer en una estafa de Phishing:
• No ingresar en links que llegan desde mails desconocidos. Ni
enlaces de desconocidos por las redes sociales.
• Actualizar el navegador. Ya que las últimas versiones suele
detectarlas.
• Nunca dar por ningún medio de comunicación información
sensible ni claves personales.
• Revisar muy bien el enlace. IMPORTANTE
• Mirar el idioma del correo y si tiene faltas de ortografía.
• Nunca ingresar datos en sitios que no visitamos voluntariamente.
35. Pharming:
Consiste en sustituir el sistema de resolución de nombres de dominio (DNS) o el
archivo hosts del sistema operativo para conducir al usuario a una página web
falsa, fake o Scam.
El archivo se encuentra en C:WindowsSystem32driversetc
36. ¿Qué es una botnet?
Botnet o red de ordenadores zombis es el conjunto formado por ordenadores
infectados por un tipo de software malicioso, que permite al atacante controlar
dicha red de forma remota. Los equipos que integran la red se denominan
“zombis”, o también drones.