Seguridad web

214 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
214
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad web

  1. 1. RAMIRO RUEDA P SEGURIDAD EN EL USO DE SERVICIOS DE INTERNET
  2. 2. WORLD WIDE WEB Antiguo logo de WWW diseñado Por Robert Cailli En informática, la World Wide Web (WWW) o Red informática mundial1 comúnmente conocida como la web, es un sistema de distribución de documentos de hipertexto o hipermedios interconectados y accesibles vía Internet. Con un navegador web, un usuario visualiza sitios web compuestos de páginas web que pueden contener texto, imágenes, vídeos u otros contenidos multimedia, y navega a través de esas páginas usando hiperenlaces.
  3. 3. HISTORIA La web se desarrolló entre marzo de 1989 y diciembre de 1990 2 3 por el inglés Tim Lee con la ayuda del belga Robert Cailliau mientras trabajaban en el CERN en Gin publicado en 1992. Desde entonces, Berners-Lee ha jugado un papel activo guian desarrollo de estándares Web (como los lenguajes de marcado con los que se cre páginas web), y en los últimos años ha abogado por su visión de una Web semánt Utilizando los conceptos de sus anteriores sistemas de hipertexto como ENQUIRE británico Tim Berners-Lee, un científico de la computación y en ese tiempo de los CERN, ahora director del World Wide Web Consortium (W3C), escribió una propue de 1989 con lo que se convertiría en la World Wide web.4 a propuesta de 1989 fue destinada a un sistema de comunicación CERN pero Be finalmente se dio cuenta que el concepto podría aplicarse en todo el mundo.5 En la organización europea de investigación cerca de Ginebra, en la frontera entre Francia y Suiza,6 Berners-Lee y el científico de la computación belga Robert propusieron en 1990 utilizar de hipertexto "para vincular y acceder a información d tipos como una red de nodos en los que el usuario puede navegar a voluntad",7 y terminó el primer sitio web en diciembre de ese año.8
  4. 4. FUNCIONAMIENTO DE LA WEB El primer paso consiste en traducir la parte nombre del servidor de la URL en una dirección IP usando la base de datos distribuida de Internet conocida como D Esta dirección IP es necesaria para contactar con el servidor web y poder enviarle paquetes de datos. El siguiente paso es enviar una petición HTTP al servidor Web solicitando el recu En el caso de una página web típica, primero se solicita el texto HTML y luego es inmediatamente analizado por el navegador, el cual, después, hace peticiones adicionales para los gráficos y otros ficheros que formen parte de la página. Las estadísticas de popularidad de un sitio web normalmente están basadas en e número de páginas vistas o las peticiones de servidor asociadas, o peticiones de fichero, que tienen lugar. Al recibir los ficheros solicitados desde el servidor web, el navegador renderiza la página tal y como se describe en el código HTML, el CSS y otros lenguajes web. Al final se incorporan las imágenes y otros recursos para producir la página que v usuario en su pantalla.
  5. 5. •el Identificador de Recurso Uniforme (URI), que es un sistema uni para referenciar recursos en la Web, como páginas web, •el Protocolo de Transferencia de Hipertexto (HTTP), que especific se comunican el navegador y el servidor entre ellos, •el Lenguaje de Marcado de Hipertexto (HTML), usado para definir estructura y contenido de documentos de hipertexto, •el Lenguaje de Marcado Extensible (XML), usado para describir la estructura de los documentos de texto. Berners Lee dirige desde 2007 el World Wide Web Consortium (W cual desarrolla y mantiene esos y otros estándares que permiten a ordenadores de la Web almacenar y comunicar efectivamente difer formas de información.
  6. 6. LUCHA CONTRA EL SPAM ¿QUÉ ES EL SPAM? Actualmente se denomina Spam o “correo basura” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por Spam cualquier mensaje no solicitado y que normalmente tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es mediante el correo electrónico. Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está
  7. 7. -FORMAS DE SPAM - Correo electrónico Debido a la facilidad, rapidez y capacidad en las transmisiones de datos, la recepción de comunicaciones comerciales a través de este servicio de la sociedad de la información es la más usual, y el medio por el que los spam envían más publicidad no deseada. Spam por ventanas emergentes (Pop ups) Se trata de enviar un mensaje no solicitado que emerge cuando nos conectamos a Internet. Aparece en forma de una ventana de diálogo y advertencia del sistema Windows titulado "servicio de visualización de los mensajes". Su contenido es variable, pero generalmente se trata de un me de carácter publicitario. Para ello se utiliza una funcionalidad del sistema de explotación Windows, disponible sobre las versiones Windows NT4, 2000, y XP y que permite a un administrador de redes enviar mensajes a otros puestos de la
  8. 8. el fin de actualizar los datos de acceso al banco, como contraseñas, fechas caducidad, etc. ax oax es un mensaje de correo electrónico con contenido falso o gañoso y normalmente distribuido en cadena. unos hoax informan sobre virus, otros invocan a la solidaridad, o tienen fórmulas para ganar millones o crean cadenas de la suerte. s objetivos que persigue quien inicia un hoax son normalmente captar ecciones de correo o saturar la red o los servidores de correo. am cam no tiene carácter de comunicación comercial. Este tipo de municación no deseada implica un fraude por medios telemáticos, bien vía éfono móvil o por correo electrónico. am en el móvil emás de las comunicaciones del operador de telefonía mediante
  9. 9. ar la identidad de una persona en Internet y suele servir de base para la lación de información en torno a la misma. En muchas ocasiones ne información acerca de la persona como el apellido, la empresa donde o el país de residencia. Esta dirección puede utilizarse en múltiples s de la red y puede ser conseguida fácilmente sin nuestro conocimiento, que es necesario seguir una serie de normas para salvaguardar nuestra dad. uidadoso al facilitar la dirección de correo r únicamente la dirección de correo a aquellas personas y zaciones en las que confía y aquellas con las que quiera comunicar. ar dos o más direcciones de correo electrónico nsejable crear una dirección de correo electrónica, que será la que e proporcionar en aquellos casos en los que no se confíe o conozca lo nte al destinatario. De este modo, su dirección personal será conocida mente por sus amigos o por sus contactos profesionales, con el ahorro de o que implica no tener que separar correos importantes de aquellos no dos.
  10. 10. a forma de crear el correo permite a los spammers intuir las direcciones de reo electrónico. Por ejemplo, si su nombre es Jesús Fernández, el spammer bará con las siguientes opciones: jesusfernandez@...., j.fernandez@...., ez@....., jesus.fdez@...., etc. spammers incluso cuentan con programas que generan omáticamente posibles direcciones de correo. Pueden crear cientos de ecciones en un minuto, ya que trabajan utilizando diccionarios, es decir, una a de palabras que se suelen usar en las direcciones de correo. Estos cionarios suelen contener campos como los siguientes: lias pellidos niciales podos ombres de mascotas Marcas gnos del zodiaco Meses del año ías de la semana ombres de lugares
  11. 11. contactos, foros o páginas web. En el caso de los chat, no se debe mostrar ección de correo electrónico en las listas de usuarios y no se debe comunic esconocidos. ando envíe correos en los que aparezcan muchas direcciones, envíelas ando BCC o CCO (con copia oculta) para no hacer visibles todas las ecciones. es necesario facilitar la dirección de correo electrónico en alguna web, víela en formato imagen o escriba ‘at’ o ‘arroba’ en lugar de @. De este mo puede evitar que lo capturen los programas creadores de Spam. Asimismo, envía un correo, elimine las direcciones de los anteriores destinatarios: son tos de fácil obtención por los spammers. eer detenidamente las Políticas de Privacidad y las Condiciones de ncelación. se va a suscribir a un servicio on line, o a contratar un producto, revise política de privacidad antes de dar su dirección de correo electrónico u otra ormación de carácter personal. Puede que esta compañía vaya a ceder los tos a otras o a sus filiales y observe que no le suscriben a boletines merciales, por lo que es conveniente saber la política de alquiler, venta o
  12. 12. CONSEJOS PARA REDUCIR EL SPAM ¿qué hacer si ya recibe spam? Una vez que se empieza a recibir Spam, es casi imposible detenerlo completamente sin recurrir a un cambio de dirección de correo electrónico De todas formas, se recogen una serie de recomendaciones que pueden ser aplicados para reducir la proliferación del “correo basura”. Es conveniente desactivar la opción que envía un acuse de recibo al remitente de los mensajes leídos del sistema de correo electrónico. Si un spammer recibe dicho acuse sabrá que la dirección está activa, y lo más pro es que le envíe más Spam. - No pinche sobre los anuncios de los correos basura. Entrando en las páginas web de los spammers podemos demostrar que nuestra cuenta de correo está activa, con lo que puede convertirse en un
  13. 13. - FILTROS BASADOS EN ISP hos proveedores de Internet ofrecen soluciones que pueden llegar a muy efectivas a la hora de bloquear el Spam. Utilizan combinaciones de s negras y escaneado de contenidos para limitar la cantidad de Spam que a las direcciones. El principal inconveniente es que, en ocasiones, bloquea eos legítimos, y además suelen ser servicios de pago. Para más información ulte con su proveedor. ntenga al día su sistema ordenadores personales requieren de un mantenimiento. La mayoría as compañías de software distribuyen actualizaciones y parches de sus uctos que corrigen los problemas detectados en sus programas. s actualizaciones suelen estar disponibles en las páginas web de los cantes, y generalmente su descarga e instalación es gratuita. Por otra parte suarios deberían utilizar programas antivirus para protegerse contra estos iciosos programas, capaces de destruir todos los archivos de un ordenador, e cada vez son más utilizados por los spammers.
  14. 14. RECOMENDACIONES PARA MEJORAR LA SEGURIDAD DEL CORREO ELECTRNICO El correo electrónico actualmente se ha constituido en uno de los medios de propagación e infección más utilizados. Personas mal intencionadas utilizan este medio de comunicación para reproducir todo tipo de amenazas informáticas que atentan contra la seguridad de los usuarios. Mensajes en cadena (Hoax), correos electrónicos no deseados (Spam), estafas en línea por medio de scam o ataques de phishing, así como mecanismos de infección a través de enlaces maliciosos o por medio de archivos adjuntos, son solo algunos casos que demuestran la importancia de incorporar buenas practicas de seguridad respecto al manejo de este recurso. Es por ello que a continuación, se presentan una seria de consejos de seguridad orientados a aumentar los niveles de prevención y de esta manera mitigar el riesgo de sufrir un potencial ataque durante el uso del correo electrónico:
  15. 15. o envíes correos en cadena. Evita esta práctica ya que este tipo de mensaje n estar relacionados con algún tipo de engaño (Hoax). Ahora bien si por alg a reenviar el mensaje a muchos destinatarios, se recomienda entonces usar copia oculta) para insertar allí las direcciones. De esta manera las direccion suarios de destino, no podrán ser visualizadas. Además tomate un segundo llas direcciones del mensaje anterior que por lo general, al momento de ree gnadas en el cuerpo del mensaje. o publiques tu correo electrónico en foros, sitios web, blog, redes sociales, y demás, ya que esto lo que hace es facilitarle las cosas a los usuarios dedic m (spammers) que podrán capturar tu cuenta e incluirla en su selecta lista pa am. iliza cuentas de email alternativas para los casos en los que se requiera ten trarse en sitios de dudosa procedencia o baja reputación. Esto con el fin de pción de un mayor volumen de spam en la bandeja de entrada de nuestro e bién es recomendable usar cuentas de correos temporales y desechables, u
  16. 16. uenta. Para más información sobre cómo crear contraseñas seguras y mante rotegidas, puedes revisar el articulo: Crear contraseñas seguras y fáciles de asos. Elimine el historial de navegación, archivos temporales, cookies, datos en uando termine una sesión de correo electrónico a la que halla accedido de ublica. También en estos casos de uso de email en sitios públicos como por ber-café o un hotel, resulta una buena practica utilizar el modo de navegac rivada, la cual es una funcionalidad disponible en muchos navegadores web ctualidad. . No descargue archivos adjuntos si no esta seguro de su procedencia. En c acerlo, revíselo con una solución antivirus con capacidades de detección pr arantizar que no se traté de algún código dañino que pueda afectar su equip erifique si estos archivos tienen doble extensión; si es así, sea precavido ya robablemente se trate de un gusano o troyano, los cuales utilizan este mod ara su propagación.
  17. 17. FHISHING Phishing o suplantación de identidad, es un término informático que denomina un tipo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea1 o incluso utilizando también llamadas telefónicas.2 Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.
  18. 18. ORIGEN DEL TÉRMINO érmino phishing proviene de la palabra inglesa "fishing" (pesca), hac sión al intento de hacer que los usuarios "muerdan el anzuelo".3 A qu ctica se le llama phisher.4 También se dice que el término phishing e ntracción de password harvesting fishing (cosecha y pesca de contra nque esto probablemente es un acrónimo retroactivo, dado que la es es comúnmente utilizada por hackers para sustituir la f, como raíz de igua forma de hacking telefónico conocida comophreaking.5 primera mención del término phishing data de enero de 1996. Se dio grupo de noticias de hackers alt.2600,6 aunque es posible que el térm biera aparecido anteriormente en la edición impresa del boletín de icias hacker 2600 Magazine.7 El término phishing fue adoptado por q entaban "pescar" cuentas de miembros de AOL.
  19. 19. INTENTOS RECIENTES DE PHISHING tentos más recientes de phishing han tomado como objetivo a clientes de b ios de pago en línea. Aunque el ejemplo que se muestra en la primera imag hishers de forma indiscriminada con la esperanza de encontrar a un cliente vicio, estudios recientes muestran que los phishers en un principio son capa lecer con qué banco una posible víctima tiene relación, y de ese modo envi ónico, falseado apropiadamente, a la posible víctima.10 En términos genera nte hacia objetivos específicos en el phishing se ha denominado spear ng (literalmente pesca con arpón). tios de Internet con fines sociales también se han convertido en objetivos p ishers, dado que mucha de la información provista en estos sitios puede se o de identidad.11 Algunos experimentos han otorgado una tasa de éxito de es phishing en redes sociales.12 les de 2006 un gusano informático se apropió de algunas páginas del sitio
  20. 20. anipuladas, o el uso de subdominios, son trucos comúnmente usados por phishers; por ej tp://www.nombredetubanco.com/ejemplo, en la cual el texto mostrado en la pantalla no rección real a la cual conduce. Otro ejemplo para disfrazar enlaces es el de utilizar direccio carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (c tándares14 ). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ pue bservador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el e www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha esde entonces en los navegadores de Mozilla15 e Internet Explorer.16 Otros intentos de ph omandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una im ntidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y ue contiene la URL ilegítima. n otro método popular de phishing, el atacante utiliza contra la víctima el propio código de anco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente prob rige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los guridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting ciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace ágina web auténtica; en realidad, el enlace está modificado para realizar este ataque, adem etectar si no se tienen los conocimientos necesarios. tro problema con las URL es el relacionado con el manejo de Nombre de dominio internac

×