gtag 5 slideset - cej.justiciachaco.gov.arcej.justiciachaco.gov.ar/sites/default/files/2014... ·...

Informática y Seguridad para no informáticos Año 2014

Centro de Formación Judicial

C.A.B.A.

cfjMarcia L. Maggiore CISA, CRISC,

Especialista en Seguridad de la Información

Pág. 1

Copyright Marcia L. Maggiore - 2014

Amenazas

Es éste un concepto que sólo se aplica a Internet?

Veamos….

(Fuente: Nora Alzua – Edesur)


Amenazas

Malware – acrónimo de malicious software

• Virus - Código malicioso insertado en otro código ejecutable que puede auto replicarse y diseminarse de una computadora a otra, al compartir los CDs o pen-drive, transferir programas por líneas de telecomunicación o por contacto directo con una máquina y/o código infectado. Se los llama así por su similitud con los virus biológicos en la forma de propagarse (contagio). Se agrega el peligro de que un virus pueda permanecer dormido por algún tiempo hasta que sea activado por un evento o acontecimiento determinado, como por ejemplo, una fecha (1 de enero - Feliz Año Nuevo!) o que sea copiado un número predeterminado de veces. La detonación puede ser sincronizada para que cause un máximo de daño y para que ocurra mucho después de que el perpetrador se haya ido. Durante este tiempo, el virus se ha ido dispersando silenciosamente. Este caso es comúnmente llamado bomba lógica. La bomba lógica puede también ser usada como una herramienta de

extorsión, donde se pide un rescate a cambio de revelar la ubicación de la bomba.



C.A.B.A.



Pág. 2


Amenazas• Gusanos - Se ejecutan independientemente y viajan de una

máquina a otra a través de conexiones de red, correo electrónico (por ejemplo, a toda la libreta de direcciones), mensajería instantánea, páginas Web falsas o con noticias atractivas, reenviando copias de ellos mismos. No se replican como los virus. Son programas diseñados para consumir todos los recursos de computadora y de comunicaciones que estén a su alcance. Pueden llegar a bloquear el tráfico de red e inclusive dejar a toda una organización sin servicio si llegan a colapsarla (ataque de denegación de servicio). Los gusanos pueden también tener porciones de ellos mismos ejecutándose en muchas máquinas diferentes. Pueden llevar troyanos. (Conficker - Stuxnet)

• Troyanos - Como el caballo de Troya, se ocultan dentro de otros programas autorizados. El código oculto será ejecutado cada vez que se ejecute el programa. Su objetivo es capturar datos como contraseñas y otros datos privados y enviar una copia a sus creadores o a otros atacantes. Permiten el acceso a las computadoras de manera remota. Se utilizan para armar botnets.


Amenazas

Panda Security 2011

Panda Security 2012

Informe 2011

http://www.proyectoamparo.net/files/LACNIC-PanoramCiberd-VsFinal-20110701.pdfInforme 2012 http://www.proyectoamparo.net/files/ciberdelito_lac_lacnic_amparo_estudios2013_completo_vfinal.pdf

http://www.proyectoamparo.net/files/LACNIC-PanoramCiberd-VsFinal-20110701.pdf














C.A.B.A.



Pág. 3


Amenazas - Riesgos

• Mostrar mensajes inesperados en pantalla, que pueden ser graciosos o amenazantes…. pero seguro que no son deseados

• Borrar archivos y llegar inclusive de esa manera a que la computadora pueda volverse inoperable

• Bajar la performance del equipo

• Formatear el disco

• Usar la computadora para contagiar a otras

• Usarla para lanzar un ataque contra un sitio determinado o contra varios. Éste es el efecto más temido, ya que podríamos contribuir sin darnos cuenta a un ataque a otra organización que puede ser un gobierno, una empresa comercial, un medio de comunicación o que tiene una postura política o ideológica determinada, etc.

• Obtener información personal o de nuestra familia, los sitios que visitamos, nuestras cuentas de usuario y contraseñas para ingresar a correos o a las redes sociales o los datos de nuestras cuentas bancarias o tarjetas de crédito


Correo electrónico y Navegación

WebEl correo electrónico es un servicio que nos permite enviar mensajes desde y hacia todo tipo de dispositivo. Admite cualquier tipo de contenido en dichos mensajes y, en general, tiene la función de gestión de mensajes, contactos, calendarios, agenda, etc.

Obviamente su uso ha facilitado nuestra vida personal y laboral, pero a la hora de pensar en las amenazas, debemos recordar que es “un vector de ataque”. Ésto es: “la vía que se utiliza para obtener información o acceso a un determinado sistema”.

También la Web es, no sólo vector de ataque, sino que además viabiliza otros vectores como el correo electrónico o los link maliciosos en las redes sociales.

Y el Qrcode?



C.A.B.A.



Pág. 4


Correo electrónico y

Navegación Web

Las redes sociales surgen a partir de la Web 2.0 (colaborativa). Facebook y Twitter son dos exponentes que vienen creciendo a pasos agigantados. En el 2012, Twitter alcanzó más de 500 millones de usuarios y Facebook, 1000 millones, lo cual los transforma en vectores de ataque muy interesantes.

Websense, compañía de seguridad, informa que en octubre de 2011 inició una alianza con Facebook para proveer inteligencia de seguridad en los sitios maliciosos para proteger a los usuarios. Del análisis de las URL (uniform resource locator) que recibe, pudo identificar que el 42,8% de las actualizaciones en la herramienta corresponde a videos. Por lo tanto los atacantes comenzaron a comprometer este tipo de archivo.


¿Qué es esto?

La botnet Mariposa. Más de 12 millones de bots/zombies. Lograron sustraer datos de 800.000 usuarios a través de 190 países. Fue desmantelada en el 2010 y se encontró evidencia de máquinas infectadas en 500 de las compañías mencionadas por Fortune y en más de 40 bancos.



C.A.B.A.



Pág. 5


Amenazas - Riesgos• Botnet - Es un conjunto de computadoras conectadas a

Internet, que interactúan para realizar una tarea distribuida, controladas por una computadora de “comando y control” (C&C) que las dirigirán para ejecutar lo que necesiten. Estos sistemas son usados para propósitos ilegales y están compuestos por máquinas comprometidas que son utilizadas sin que sus dueños lo sepan. Esas máquinas son denominadas “zombis” y el software malicioso que corre en ellas “bot”.

• Ransomware - Una de las amenazas informáticas más similares a un ataque sin medios tecnológicos: el secuestro. En su aplicación informatizada, el ransomware es un código malicioso que cifra la información del ordenador e ingresa en él una serie de instrucciones para que el usuario pueda recuperar sus archivos. La víctima, para obtener la contraseña que libera la información, debe pagar al atacante una suma de dinero, según las instrucciones que éste disponga.




C.A.B.A.



Pág. 6


Amenazas -

RiesgosRogue - Software que,

simulando ser una aplicación

anti-malware (o de seguridad), realiza justamente los efectos

contrarios a éstas: instalar malware. Por lo general, son

ataques que muestran en la pantalla del usuario advertencias

llamativas respecto a la existencia de infecciones en el

equipo del usuario. La persona, es invitada a descargar una

solución o, en algunos casos, a pagar por ella. Los objetivos,

según el caso, varían desde instalar malware adicional en el

equipo para obtener información confidencial o, directamente, la

obtención de dinero a través del ataque, lo cual consiguen

solicitando datos de la TC.


Amenazas - Riesgos• Adware - (contracción de ADvertisement - anuncio - y softWARE).

Programa malicioso, que se instala en la computadora sin que el usuario lo note, cuya función es descargar y/o mostrar anuncios publicitarios en la pantalla de la víctima.Fuente: http://blogs.protegerse.com/laboratorio/

• Spyware - (programas espías) Son aplicaciones que recopilan

información del usuario, sin el consentimiento de éste. El uso más común

de estos aplicativos es la obtención de información respecto a los accesos del usuario a Internet y el posterior envío de la información recabada a

entes externos.

http://blogs.protegerse.com/laboratorio/



C.A.B.A.



Pág. 7


Amenazas - Riesgos

• Hoax - Correo electrónico distribuido en formato de cadena, cuyo

objetivo es hacer creer a los lectores, que algo falso es real. No poseen

fines lucrativos, por lo menos como fin principal. Intentan generar Miedo, Inseguridad y Duda (FUD en sus siglas en inglés) en los receptores o

bien, armar bases de direcciones de correo electrónico. Esto último se debe a que muchos clientes de correo electrónico, copian la lista de

correos histórica en el cuerpo del mensaje. En un hoax se pueden llegar a encontrar cientos de direcciones de correo para enviar spam.

• Scam - A partir de la definición de estafa, se define scam como el "delito

consistente en provocar un perjuicio patrimonial a alguien mediante engaño y con ánimo de lucro; utilizando como medio la tecnología". Se

produce a través de correos electrónicos que piden desde ayuda para sacar dinero de otro país (a menudo, Nigeria) hasta un aviso de haber

ganado algo en un sorteo. El elemento en común es que prometen una gran suma de dinero a cambio de muy poco o ningún esfuerzo. El

estafador intenta obtener información financiera que pueda usarse para robar dinero o identidad. (Vulgarmente conocido por el cuento del tío).


Amenazas - Riesgos• Phishing - Se realiza generalmente a través de un correo electrónico

engañoso, ya que parece provenir por ejemplo de algún banco. Nos hacen ingresar mediante un link a un sitio casi igual al original donde suelen

pedirnos datos personales e incluso nuestra contraseña. En este caso los delincuentes tratan de infundir miedo y persuadirnos a actuar de cierta

manera, utilizando el argumento de que su cuenta ha sido violada. El mensaje nos lleva a hacer clic en un enlace determinado para validar la

cuenta. Una vez más, este enlace llevará a un sitio malicioso destinado a comprometer la computadora, o robar información confidencial. También

existen Web de phishing. Una empresa proveedora de juegos anunció que había una alojada en sus servidores, donde pedían las credenciales de

Apple. Luego los redirigían a la página de Apple original. (Sitios de confianza infectados - Fuente:

http://blogs.protegerse.com/laboratorio/2014/03/20/phishing-de-apple-id-en-la-web-de-

electronic-arts-games/ )

http://blogs.protegerse.com/laboratorio/2014/03/20/phishing-de-apple-id-en-la-web-de-electronic-arts-games/























C.A.B.A.



Pág. 8


Amenazas - Riesgos• Spam (Shoulder of Pork And haM) - UCE (Unsolicited Commercial Email)

- Correo electrónico no solicitado enviado masivamente por parte de un tercero. En español, también es identificado como correo no deseado o

correo basura.

En algunos casos pueden contener archivos adjuntos, generalmentecomprimidos, con extensión zip, que contienen un archivo ejecutable. Sin

embargo, para engañar a los usuarios y hacerles pensar que se trata de archivos inofensivos, pueden presentar un icono relacionado con el tipo

de archivo que pretende ser, por ejemplo, el de una imagen. O bien, un archivo ejecutable de doble extensión. En primer lugar tiene la extensión

del archivo por el que se hace pasar, por ejemplo en el caso que se tratara de una imagen, la extensión sería jpg y después la extensión exe.

Es habitual que entre la primera extensión y la segunda haya espacios libres para que el usuario no se percate de que la extensión real es exe.

No siempre es necesario añadir una extensión “inofensiva”. Si el archivo tiene un icono aparentemente inofensivo para el usuario, puede que la

extensión del archivo pase desapercibida.

Lo más habitual en estos casos es que el archivo que ejecuta el usuario se trate de un troyano. Estos archivos son de pequeño tamaño y su única

función es conectarse a una página web para descargar el troyano bancario.


Amenazas - RiesgosOtro tipo de Spam es el que contiene enlaces a una página web. Se trata

de mensajes de correo electrónico que generalmente utilizan como cebo

un video. Cuando el usuario pulsa el enlace para ver el video, solicita la instalación de algo para verlo. Luego se instala el troyano que permite

obtener información del equipo. También pueden utilizarse fotos de personajes famosos (Maradona, Obama, etc.). En este caso se estaría

explotando la curiosidad de las personas y su empatía hacia los demás.

• Rootkit - Una o más herramientas diseñadas para mantener en forma

encubierta el control de una computadora. Éstas pueden ser programas,

archivos, procesos, puertos y cualquier componente lógico que permita al

atacante mantener el acceso y el control del sistema.

• Advanced Persistent Threat (APT) - Su objetivo es recolectar

objetivos nacionales de alto valor tales como militares, políticos o

económicos. Usan herramientas y técnicas de intrusión personalizadas y sigilosos, pacientes y persistentes métodos para reducir el riesgo de

detección.

“La venganza del usuario” -http://www.youtube.com/watch?v=VuwqZp6QrhQ

Videos Educativoshttp://www.eset-la.com/centro-amenazas/videos-educativos

http://www.youtube.com/watch?v=VuwqZp6QrhQ

http://www.eset-la.com/centro-amenazas/videos-educativos









C.A.B.A.



Pág. 9


AmenazasEl vehículo: “La ingeniería social” - Es el arte de conseguir datos de interés de un tercero por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos.

Considera que todos podemos fallar fácilmente ya que los ataques de ingeniería social están basados en cuatro principios básicos y comunes a todas las personas:

Todos queremos ayudar.

El primer movimiento es siempre de confianza hacia el otro.

No nos gusta decir No.

A todos nos gusta que nos alaben.

Con variados tipos de engaños se trata que el usuario comprometa al sistema y revele información valiosa de cualquier manera (con un clic, atender un llamado telefónico). Se usan las técnicas de engaño conocidas mundialmente y vigentes desde los inicios de la humanidad. Sólo deben ser adaptadas al nuevo medio por el cual las personas maliciosas

apuntan a concretar sus ataques. La ingeniería social no sólo se pone en práctica a través de los sistemas informáticos. Veamos algunos antecedentes:

El timo de la estampita (denominado también timo del portugués) es una estafa tradicional que se solía hacer en lugares públicos.

El cuento del tío es el nombre que recibe en Sudamérica (principalmente Argentina,

Uruguay, Chile y Bolivia) un tipo de estafa, en la que se aprovecha de la confianza y ambición de las personas por obtener grandes beneficios fácilmente. El nombre viene de la historia que cuenta quien pretende estafar, sobre una abundante herencia que ha recibido de un tío lejano. El estafador pide dinero a su víctima para hacer un viaje con el

fin de cobrarla, con la promesa de que se lo devolverá en una cantidad varias veces superior al monto prestado. El estafador se va y nunca más aparece.


Ingeniería Social - Casos

También se utiliza en diferentes ambientes sociales donde es posible

obtener información valiosa. Por ejemplo en los lugares de trabajo o en los encuentros fuera de la oficina, almuerzos, “happy hours” donde las

personas suelen relajarse y pensar que están “entre amigos”. ¿Cuáles serían algunas de las actitudes de los ingenieros sociales?

– Usar la adulación o modales amistosos, agradables. Conversar sobre intereses comunes. (Carisma)

– Ofrecer o prometer ayuda, información u objetos que no necesariamente han sido requeridos, lo cual construye confianza, da la sensación de autenticidad y confiabilidad. (Reciprocidad)

La estafa nigeriana, timo nigeriano o timo 419, es un fraude o un engaño bastante antiguo pero que todavía sigue encontrando víctimas desprevenidas. Se lleva a cabo principalmente por correo electrónico no solicitado o SPAM. Adquiere uno de sus nombres del número de artículo del código penal de Nigeria que viola, ya que buena parte de estas estafas provienen de ese país.Consiste en ilusionar a la víctima con una fortuna inexistente y persuadirla para que pague una suma de dinero por adelantado, como condición para acceder a los supuestos fondos. Las sumas solicitadas son bastante elevadas, pero insignificantes comparadas con la fortuna que las víctimas esperan recibir. (Fuente: http://es.wikipedia.org/wiki/Estafa_nigeriana)

http://es.wikipedia.org/wiki/Estafa_nigeriana



C.A.B.A.



Pág. 10


Ingeniería Social - CasosEste caso no conformó un incidente. Fue usado como mecanismo para descubrir las vulnerabilidades de los empleados de una organización pero imita el comportamiento de un ingeniero social.Una consultora fue contratada por una empresa para asesorarla sobre la seguridad de su red. El cliente pidió que se focalizara sobre la ingeniería social, debido a que había tenido problemas con empleados que compartían sus claves y entregaban información fácilmente. También manifestó su preocupación por el uso de los dispositivos a través de los puertos USB ya que éstos permitían a sus empleados llevarse información sin autorización así como introducir virus y troyanos. La consultora, que había recibido estas quejas de parte de otros clientes, trató de demostrar si podía tentar a algún empleado a introducir un dispositivo de esta naturaleza en la red de la compañía. Para ello, recolectaron pendrives en desuso y le colocaron un troyano que recolectaría información de las máquinas, así como passwords y se las enviaría por correo, en caso que alguien lo utilizara. Luego, ubicaron los pendrives, como si hubieran sido perdidos, en las áreas de estacionamiento, de fumadores y otras que los trabajadores frecuentaban. Después de tres días, de los veinte pendrives plantados, quince habían sido utilizados en las máquinas de los empleados, de acuerdo con los correos recibidos. (Fuente: http://www.darkreading.com/security/application-security/208803634/social-engineering-the-usb-way.html)


Ingeniería Social - CasosBanker.LGC es un troyano que utiliza una noticia impactante y morbosa para engañar a los usuarios: un supuesto accidente de un piloto de Fórmula 1. El mensaje contiene una breve noticia y un vídeo en el que se ve una imagen de dos coches en llamas, la que supuestamente se corresponde con el accidente. Se trata de una noticia que despierta gran expectativa en los usuarios que generalmente no dudan en ver el video. Además, el mensaje parece enviado por el diario “El País” por lo que el usuario en principio no sospecharía de que se trata de una noticia falsa. Si el usuario pulsa sobre el video para verlo, no logrará visualizarlo sino que provocará la descarga de una copia del troyano en el ordenador. Este tipo de noticias tan impactantes o morbosas buscan despertar una enorme curiosidad en los usuarios para que se sientan tentados en ver la noticia y no se fijen en otros detalles que podrían alertarles sobre la dudosa veracidad de la noticia. (Fuente: Boletines Pandalabs – Datos bancarios al descubierto – Panda Security 2009)

http://www.darkreading.com/security/application-security/208803634/social-engineering-the-usb-way.html













C.A.B.A.



Pág. 11


Ingeniería Social - CasosEn las redes sociales también existe.

Por ejemplo durante 2011, en cuanto se supo que Steve Jobs había fallecido, fue creada una página de Facebook llamada “R.I.P. Steve Jobs”, y miles de usuarios inocentes se unieron a la misma. En pocas horas llegaron hasta los 90.000 seguidores. Los cibercriminales publicaron un link usando el popular acortador de URLs bit.ly, diciendo que Apple regalaría 50 iPads. Como es de imaginar, esto no era más que una estafa, y una vez que el usuario hacía click en la url (la cual terminaba en “restinpeace-steve-jobs”) se le redirigía a un sitio web en el que se ofrecían diferentes regalos, como iPads o televisores Sony Bravia. Para acceder a ellos se les pedía información como el nombre, número de teléfono móvil, dirección de e-mail, etc.

Video sobre el avión perdido. (Fuente: http://blogs.protegerse.com/laboratorio/2014/03/18/utilizan-videos-falsos-del-vuelo-mh370-desaparecido-para-enganar-a-usuarios-en-redes-sociales/)


Ingeniería Social - CasosFacebook sigue siendo la red social por excelencia, y por lo tanto también

la preferida por los ciberdelincuentes. Apenas comenzado el año 2012 se descubrió un gusano que tenía almacenadas un total de 45.000 cuentas de

Facebook robadas a usuarios. Se sospecha que las usaba para publicar en el muro de sus víctimas y que así sus contactos se infectaran con el

gusano.

Negocios piramidales en Twitter y Facebook. También en Linkedin , la conocida red social profesional, por correos internos. (Fuente:

http://blogs.protegerse.com/laboratorio/2014/03/21/ojo-con-los-fraudes-que-usan-facebook-y-twitter/)

LinkedIn ha sufrido una intrusión

en la que le han sustraído al menos 6 millones y medio de

contraseñas, que fueron hechas públicas. La buena noticia es que

estaban cifradas. (Fuente: Panda

Security – Informes 2011 y 2012)

http://blogs.protegerse.com/laboratorio/2014/03/18/utilizan-videos-falsos-del-vuelo-mh370-desaparecido-para-enganar-a-usuarios-en-redes-sociales/





























http://blogs.protegerse.com/laboratorio/2014/03/21/ojo-con-los-fraudes-que-usan-facebook-y-twitter/



















C.A.B.A.



Pág. 12


Todos tienen los mismos

riesgos

Desde cualquier lugar

Mayores riesgos:

• Locutorios

• Redes Wi-Fi públicas (sin clave)


Situación en Latinoamérica y El

Caribe

Cibercrimen 2009-2010

Cibercrimen 2011-2012

Fuente: http://www.proyectoamparo.net/es/investigaciones



C.A.B.A.



Pág. 13


¿Cómo nos protegemos?

Riesgos: Fuga de información – daños en el equipo – robo de identidad – fraude – robos – destrucción –eliminación

No puedo trabajar!!!!

Mitigando los . . .


Seguridad de las Tecnologías

de Información o de la

Información¿Cómo lo logramos?

Controles de seguridad

Concientización

Cultura organizacional

Definidos, formalizados, con seguridad integrada



C.A.B.A.



Pág. 14


Malware - Controles

• Instalar sistemas operativos originales para que sea posible actualizarlos permanentemente. Las compañías proveedoras sacan actualizaciones para corregir problemas que puedan ser utilizados por los atacantes (vulnerabilidades).

• Tener siempre instalado un antivirus en nuestra computadora, tanto la del trabajo (responsabilidad de la organización), como la hogareña. En nuestra casa debemos asegurarnos que accedemos realmente a un sitio válido de descarga. No debe ser descargado de cualquier página de Internet

• Mantenerlo actualizado ya que, de lo contrario, el antivirus es prácticamente inútil

• Someter todo dispositivo que conectemos, los correos electrónicos y sus archivos adjuntos, así como las páginas que visitamos, al análisis del antivirus

• Eliminar enseguida cualquier código malicioso detectado


Malware - Controles

• Realizar copias periódicas de los datos y programas de nuestra computadora hogareña. En la organización es responsabilidad del área competente. Valorar nuestra información y la de la organización

• En la organización no se debe instalar programas sin la debida autorización y en nuestra casa, debemos usar siempre programas originales. Conviene evitar el uso de copias de origen dudoso

• Proteger el acceso a la información con contraseñas fuertes y cambiarlas periódicamente. De esa manera resultará muy dificultoso que alguien pueda acceder a nuestros datos sin autorización. SON PERSONALES Y SECRETAS

• No utilizar pen-drives u otros dispositivos si no nos pertenecen, aunque nuestros amigos lo hagan. Es posible dificultar las infecciones y los efectos negativos de virus, troyanos y gusanos y frenar así la cadena de infección.



C.A.B.A.



Pág. 15


Correo Electrónico y Navegación

Web

Controles• Restringir el tamaño y tipo de archivo que entra o sale del/al

exterior.

• Configurar un tamaño limitado para las listas de distribución, en términos de la cantidad de destinatarios que pueden conformarla.

• Restringir el uso de la lista “toda la organización” para acciones específicas como por ejemplo, una comunicación interna oficial que debe ser conocida por los empleados y todos aquéllos que prestan algún servicio, y otorgar permisos especiales para utilizarla solo a un grupo limitado de personal autorizado.

• Restringir, utilizando productos de software desarrollados a tal efecto, el acceso a sitios de Internet cuyo contenido puede ser ofensivo para la moral, la ética y las buenas costumbres, así como a aquéllos que pueden descargar virus u otros códigos maliciosos que podrían afectar no sólo el equipo de trabajo del empleado que accede, sino también toda la red de la organización.



Web

Controles• Restringir el uso de Internet en horarios determinados o para algunos grupos de empleados, para evitar la falta de disponibilidad de la red.

• Limitar el uso del webmail personal, del software de mensajería instantánea, de sitios de juegos y compras y descargas de software, videos, música o cualquier otro material.

• Restringir el uso del correo interno desde el exterior.

• Instalar antivirus, antispyware, antispam, etc., que alcancen estos servicios.

• Implementar Redes Privadas Virtuales, conocidas por las siglas “VPN”, una suerte de canales seguros, para el uso del correo electrónico o para acceder a la red de la empresa desde el exterior.

• Restringir y/o configurar los servicios para su uso a través de celulares o smartphones, tabletas, etc. (BYOD)



C.A.B.A.



Pág. 16



Web

Controles• Colocar frases en los mensajes salientes, redactadas en general por

las áreas legales, que deslinden la responsabilidad de la organización en cuanto a los contenidos, expresando que éstos no necesariamente reflejan la opinión de la misma.

• Evitar la descarga de software, videos y música. La descarga de software sólo tiene sentido si va a ser instalado en el equipo del usuario. Las buenas prácticas de seguridad asociadas al cumplimiento del uso de software legal aconsejan no permitir que los usuarios dispongan del usuario administrador para instalar software. Por otro lado, si bien se podría instalar software de uso libre, es preferible no permitirlo debido al desconocimiento de sus reales prestaciones, así como de su calidad.



Web

ControlesPara realizar un adecuado uso laboral de estos servicios• Evitar el uso del correo provisto por la organización para realizar

comunicaciones no relacionadas con los procesos organizacionales.• No realizar comunicaciones oficiales de la organización por el

webmail personal.• Evitar el uso de términos inadecuados u ofensivos para la moral y

creencias de las personas y/o de expresiones racistas en los mensajes de correo electrónico que se redacten.

• Ser cautelosos en el uso de la función “Responder a todos”.• Configurar, de ser posible, el aviso de “fuera de oficina”, como

buena práctica en la comunicación interna o externa Para evitar la fuga de información• No enviar información confidencial de la organización por el correo

electrónico provisto por la misma ni menos aún, por el webmail personal (yahoo, gmail, hotmail, etc.), en caso que se encuentre habilitado.

• En caso de tener habilitado el acceso al correo corporativo desde el exterior, evitar el acceso a información confidencial y acceder desde un ambiente seguro, evitando su uso desde un locutorio o cualquier otro lugar de acceso público, o desde redes wi-fi públicas.



C.A.B.A.



Pág. 17



Web

ControlesPerformance y uso racional de los recursos• Mantener espacio disponible en la casilla de correo borrando los mensajes

que no son de interés, moviendo los que es necesario resguardar a carpetas del equipo de escritorio y, por supuesto, vaciando las carpetas de mensajes eliminados y enviados.

• Evitar el uso indiscriminado de las listas de distribución para mensajes personales y/o publicitarios.

• Ser moderados en el uso del correo para enviar saludos durante las fiestas de fin de año.

• Evitar la generación y/o seguimiento de “cadenas”.

• Evitar el envío de archivos de gran tamaño a través de las listas de distribución, así como el envío sistemático de un mismo mensaje a una o varias listas.

Para evitar el phishing, scam, spam, robo de identidad y la descarga de virus, gusanos y troyanos

• Evitar responder mensajes desconocidos, ni siquiera cuando lo solicita el propio mensaje para borrarlo de la lista de envíos. (Brinda información pasible de ser usada por el correo SPAM ya que pone en evidencia que la cuenta de correo es utilizada).

• Evitar abrir el correo SPAM o de remitente desconocido ni los archivos adjuntos.

• Evitar la circulación de cualquier correo comercial no solicitado (UCE/SPAM) dentro y hacia fuera de la organización.



Web

ControlesPara evitar el phishing, scam, spam, robo de identidad y la descarga de virus,

gusanos y troyanos (cont.)• Evitar incluir la dirección del correo corporativo en listas públicas, de amigos,

o su divulgación por Internet. Ésta puede ser usada para envió de correos no deseado (UCE/SPAM)

• Evitar la descarga de programas ejecutables y de archivos adjuntos a correos desconocidos o incluidos en sitios no confiables.

• No abrir archivos adjuntos a los mensajes de correo electrónico si no se conoce su procedencia. ¡Se debe ser extremadamente desconfiado! Siempre existe alguna manera de confirmar si es un correo confiable.

• Ser muy precavido a la hora de abrir un archivo, un correo electrónico o un archivo adjunto que no es habitual o al acceder a un sitio de Internet desconocido o dudoso

• No hacer “click” en fotos que aparezcan en los correos, aún cuando prometan la última noticia de actualidad o algo que es de sumo interés. Los atacantes utilizan temas candentes para atraer la intención y bajar la sensación de riesgo de las personas

• Cambiar las contraseñas en Internet regularmente para evitar ser suplantado.

• Evitar la tentación de poner a prueba los controles establecidos por la organización. Por ejemplo, tratar de entrar a una página de contenido explícitamente prohibido. Dependiendo de las políticas aprobadas, podría ser sancionado, por ejemplo suspendiéndosele el acceso a Internet.



C.A.B.A.



Pág. 18



Web

ControlesPara evitar el phishing, scam, spam, robo de identidad y la descarga de virus, gusanos y troyanos (cont.)

• Cerrar inmediatamente una página de contenido “inadecuado” (Ej.: pornografía, activismo social) en caso de haberla abierto de forma accidental

• Evitar el uso de sitios de compra, espectáculos, pornografía, juegos, etc.

• Si se va a utilizar algún servicio que requiera de usuario y contraseña como redes sociales o correo electrónico, cerciorarse que el sitio utilice HTTPS y que posea un certificado válido

• No accionar los links que vienen incluidos en correos electrónicos.

• Es fundamental tener presente que no existe ningún programa exento de ser utilizado como vector de ataque a través de la explotación de vulnerabilidades, por lo tanto, es importante actualizar el sistema operativo y las aplicaciones instaladas para evitar el riesgo de infección al navegar

• Activar el firewall personal (puede estar contenido en el antivirus) en la computadora hogareña

• Cerrar/salir (Logoff – cerrar sesión) del usuario, si es que se ingresó con él, antes de cerrar la página.



Web

Controles



C.A.B.A.



Pág. 19



Web


• Groupon - “Quiénes somos” Limitación de responsabilidad

A pesar de que todos los mecanismos de control están correctamente implementados, pueden

ocurrir errores en el sitio web. Groupon no será en ningún caso responsable de cualquier

daño o pérdida sufrida por los errores cometidos por www.Groupon.com.ar. El sitio web

contiene enlaces a otros sitios web. Groupon no es en absoluto responsable de los contenidos

ofrecidos en estos sitios web.

• Groupon - “Privacidad”9. Seguridad y almacenamiento

Empleamos diversas técnicas de seguridad para proteger tales datos de accesos no autorizados por

visitantes del Sitio de dentro o fuera de nuestra compañía. Sin embargo, es necesario tener en

cuenta que la seguridad perfecta no existe en Internet. Por ello, Groupon Argentina no se hace

responsable por interceptaciones ilegales o violación de sus sistemas o bases de datos por

parte de personas no autorizadas. Groupon Argentina, tampoco se hace responsable por la

indebida utilización de la información obtenida por esos medios.

10. Transferencia en circunstancias especiales

Si existe una venta, una fusión, consolidación, cambio en el control societario, transferencia de

activos sustancial, reorganización o liquidación de Groupon Argentina entonces, en nuestra

discreción, podemos transferir, vender o asignar la información recabada en este Sitioa una o

más partes relevantes.



Web


• Groupon - “Privacidad”

12. Modificaciones de las Políticas de Privacidad

Groupon Argentina podrá modificar en cualquier momento los términos y condiciones de estas

Políticas de Privacidad y confidencialidad. Cualquier cambio será efectivo apenas sea publicado en

el Sitio. Dependiendo de la naturaleza del cambio podremos anunciar el mismo a través de: (a) la

página de inicio del Sitio, o (b) un e-mail. De todas maneras, el continuo uso de nuestro Sitio implica

la aceptación por parte del Usuario de los Terminos de esta Politica de Privacidad. Si Ud. no está de

acuerdo con la Politica de Privacidad vigente absténgase de utilizar el Sitio.

13. Inscripción de la base de datos

La base de datos personales de Groupon Argentina (Needish S.R.L.) se encuentra

debidamente registrada en el Registro Nacional de Bases de Datos, dentro del marco de la

Dirección Nacional de Protección de Datos Personales. La dirección web de dicho organismo es

www.jus.gov.fix/datospersonales.



C.A.B.A.



Pág. 20



Web

ControlesRecomendaciones para la compra en Internet

• Comprar sólo en sitios conocidos, de confianza

• Tener cuidado con las ofertas increibles

• Realizar transacciones en sitios seguros

• Pensar antes de actuar

• Evitar el uso de una red wi-fi pública

• Leer las políticas de privacidad de la tienda en línea

• Desconfiar si hacen muchas preguntas

• No aceptar ofertas de dinero por contestar encuestas. No es cierto.

• Revisar la liquidación de la tarjeta de crédito


Ingeniería Social - Controles• Siendo cautelosos en las encuestas, concursos y ofertas especiales vía

Internet, teléfono y correo electrónico y convencional. Son formas comunes de cosechar direcciones de correo electrónico, contraseñas y otros datos personales.

• No respondiendo mensajes en cadena, cualquiera sea la causa.

• Ante dudas sobre la legitimidad de un mensaje recibido de cualquier tipo de entidad bancaria, financiera, tienda online, servicio público, aerolínea, etc., contactando con el departamento de atención al cliente de la compañía de la que parece llegar el mensaje.

• Evitando responder a correos no solicitados, mensajería instantánea, mensajes de texto, pop ups que parecen llegar del banco, compañía de tarjeta de crédito, proveedor de telefonía, tienda online, etc.

• No entregando información personal ante requerimientos enviados por correo electrónico de empresas o instituciones. Consultar primero si efectivamente es una acción válida.

• Denunciando cualquier sospecha de ataque de ingeniería social ante las instancias que correspondan, permitiendo su seguimiento y contribuyendo así

a su resolución.

• Revisando de manera regular las liquidaciones de los bancos y compañías emisoras de tarjetas de crédito y contactando inmediatamente a dichas organizaciones ante movimientos sospechosos



C.A.B.A.



Pág. 21


Ingeniería Social - Controles• Manteniendo una actitud cautelosa y revisando constantemente los impulsos

que nos llevan a querer ayudar a personas que no conocemos. Atención: No debemos volvernos huraños ni paranoicos pero sí algo desconfiados.

• Verificando con quién hablamos, especialmente si nos preguntan por contraseñas, datos de empleado u otra información sensitiva. Tengamos siempre en cuenta que las contraseñas son secretas y que existen ciertos datos que solo deben ser conocidos por un grupo muy reducido de personas autorizadas.

• Al hablar por teléfono, debemos identificar siempre a nuestro interlocutor solicitando algún dato personal (Nro. De Empleado, por ejemplo) que podamos corroborar y luego llamándolos a su pretendido número o interno.

• No dejarnos intimidar o adular para terminar ofreciendo información.

• No permitiendo a una persona desconocida “apabullarnos” con su aparente conocimiento. Ejemplo: Aquéllos que conocen detalles técnicos o usan acrónimos o la jerga propia de la empresa o industria.

• Teniendo en cuenta que muchos pueden sonar como parte de “la-cosa-real”, pero que en realidad pueden ser parte de la “conspiración” y ponernos en riesgo.

• Evitando sin excepción entregar números de cuentas o contraseñas por teléfono


Dispositivos móviles - ControlesMantener una actitud responsable frente a los riesgos inherentes al uso de

estos dispositivos tratando de aplicar las recomendaciones para evitarlos.

Es necesario no perder de vista el dispositivo, ya que éste resulta atractivo para su sustracción.

La información sensible contenida en el dispositivo está protegida por el

uso de la contraseña. Si el usuario ingresa una contraseña incorrecta en una cantidad de veces igual al valor límite de intentos fallidos, el

dispositivo borra el contenido de la memoria y no es recuperable (utiliza un mecanismo que lo hace difícil hasta para un experto en forencia).

Evitar liberar el equipo si no es de la manera autorizada por la operadora

de telefonía. Liberar el teléfono en un establecimiento no autorizado, puede tener un resultado no adecuado. Además de perder la garantía

podría averiar el dispositivo, sufrir un robo de datos, o perder la información almacenada.

Evitar el “jailbreak” (literalmente “rotura de jaula”). Proceso que quiebra

algunas de las limitaciones impuestas por Apple permitiendo bajar aplicaciones no homologados (fuera de AppStore).

Utilizar contraseñas robustas y sencillas.

Desactivar el GPS si no está en uso. No es conveniente ni seguro estar

geolocalizado en todo momento.



C.A.B.A.



Pág. 22


Dispositivos móviles - ControlesNo compartir con otros usuarios la información personal (fotos comprometidas, vídeos, mensajes, etc.) indiscriminadamente. Al compartirla, la información dejará de ser privada y podría ser usada para hacerte daño.

Estar prevenido ante fraudes mediante mecanismos de “Ingeniería Social”, que intentan que el usuario efectúe llamadas y/o envíe mensajes a determinados números. Se realizan a través de SMS fraudulentos que tratan de engañar a los usuarios para que envíen mensajes de texto o realicen llamadas a números con tarifas especiales. Están normalmente relacionados con trabajos (que no existen), premios (sin haber jugado) o paquetes recibidos (sin haberlos pedido). Nunca contestes a dichos mensajes.

Monitorear el consumo, revisando facturas, para detectar cualquier anomalía que podría provenir del uso fraudulento del dispositivo. En caso de notar incrementos bruscos en la factura, verificarlo con la compañía. El usuario puede estar siendo víctima de un fraude y tener su tarjeta clonada (cuando la tarjeta SIM -subscriber identity module-

ha sido copiada de manera no autorizada con el fin de hacer un uso fraudulento de la misma).


Dispositivos móviles - ControlesBluetooth

Es una tecnología útil para la transmisión de datos y voz, pero su nivel de seguridad no lo es tanto, y depende en cierta medida del uso adecuado que haga el usuario de ella. Es por ello que es conveniente tenerla desactivada y solicitar autorización cada vez que un dispositivo intente establecer una conexión vía Bluetooth.

Para que sea posible una conexión Bluetooth, los integrantes de la comunicación deben asociarse primero (emparejamiento). Esta asociación puede ser directa o mediante el requerimiento de una clave. Conviene activar la opción de solicitar esta clave. También se debe evitar efectuarla en lugares públicos. Durante este proceso se realiza el envío de las claves de conexión. En este momento alguien con malas intenciones y con el equipo adecuado, podría interceptarlas y usarlas posteriormente para infectar el dispositivo.

Configurar la conexión Bluetooth para que no publique su identidad al entorno (modo invisible). Este tipo de conexión permite ocultarse para no ser detectada por otros dispositivos. Esto consiste en que, para realizar la comunicación con el otro dispositivo, se tiene que conocer e indicar previamente su identidad. Sin conocerla es prácticamente imposible que sea localizado.



C.A.B.A.



Pág. 23


Dispositivos móviles - Controles

Malware

Existen dispositivos (Ej.: BB) que utilizan como mecanismo para la

detención del malware la firma (digital) de todo el software y

aplicaciones. Razón por la cual, no es posible ejecutar aplicaciones no

firmadas, siendo éste el caso del software malicioso.

Tener software de seguridad instalado y actualizado (antivirus,

antispam, anti-spyware, etc.)

Muchos usuarios piensan que no se deben proteger porque nadie

querría atacarles. Esto podría ser cierto, pero el problema de hoy en

día es que el código malicioso se transmite de forma automática (por

ejemplo con las direcciones de los correos electrónicos de los

dispositivos infectados), por lo que no discriminan si el usuario es una

“víctima propicia” o no.

No insertar en el dispositivo tarjetas de memoria sin haber

comprobado que están libres de malware.


Dispositivos móviles - Controles

No abrir correos electrónicos con remitente desconocido, y tampoco

ejecutar los archivos adjuntos.

No abrir un adjunto de un SMS.

Desconfiar de los archivos o números que vengan en correos o SMS no

solicitados.

Navegación Web

Cerrar la sesión en los servicios web que requieran contraseña antes

de cerrar el navegador.

No acceder a enlaces facilitados a través de correos electrónicos o

SMS no solicitados. No hacer descargas de estos sitios en el equipo.

Wi-Fi

También es recomendable tenerla desactivada y usar clave.



C.A.B.A.



Pág. 24


Wi-Fi - Controles

Si instalamos una en nuestro hogar, debemos aplicarle seguridad.

Cambiar su identificación predeterminada (SSID -Service Set Identifier).

Ello implica utilizar protocolo WPA (Wi-Fi Protected Access)

o WPA2. Éste último tiene modo Personal o Corporativo.

También se debe utilizar el cifrado AES (Advanced

Encryption Standard) que es más seguro que el TKIP (Temporal Key Integrity Protocol).


Redes Sociales - Controles

Sea precavido al hacer clic en vínculos que recibe en mensajes de sus

amigos en su sitio web social.

No confíe en que un mensaje realmente es de la persona que dice ser.

Para evitar revelar las direcciones de correo electrónico de sus amigos,

no permita que los servicios de redes sociales examinen su libreta de

direcciones de correo electrónico. Cuando se une a una nueva red

social, es posible que reciba una oferta de introducir su dirección de

correo electrónico y su contraseña para saber si sus contactos forman

parte de la red. El sitio puede usar esta información para enviar

mensajes de correo electrónico a todas las personas de su lista de

contactos e incluso a cualquiera a quien le haya enviado un mensaje

de correo electrónico desde esa dirección.



C.A.B.A.



Pág. 25


Redes Sociales - ControlesEscriba la dirección de su sitio de redes sociales directamente en el

explorador.

Sea selectivo a la hora de decidir a quién acepta como amigo en una

red social.

Dé por sentado que todo lo que pone en una red social es

permanente.

Tenga cuidado de instalar elementos (aplicaciones) adicionales en su

sitio.

El botón “me gusta” también puede ser usado por los atacantes para

direccionarlos a páginas desde donde pueden bajarse todo tipo de

“adds”.

Si su uso está permitido en el trabajo, sea muy cuidadoso al usarlas.

(Fuente: http://www.microsoft.com/es-es/security/online-privacy/social-networking.aspx)


Contraseñas fuertes

Debe tener 8 o más caracteres. Al menos 15 caracteres en redes wi-fi.

Debe combinar letras mayúsculas y minúsculas, números y caracteres especiales ($, #, @, etc.).

No debe incluir NINGUNA información personal, como nombres, fechas de cumpleaños o aniversarios o el nombre de tu mascota.

No debe contener palabras completas en ningún idioma, por raras que sean.

No debe ser obvia. Claves como "qwerty", "1234" o "contraseña" no son originales ni seguras.

Debe ser cambiada regularmente. Ninguna clave es segura eternamente.

http://www.microsoft.com/es-es/security/online-privacy/social-networking.aspx









C.A.B.A.



Pág. 26


Direcciones útiles• Argentina Cibersegura - http://www.argentinacibersegura.org/

• http://www.tusentidocomun.com

• http://www.piensoluegoclico.com/

• http://www.osi.es/ Oficina de seguridad del internauta

• http://protegetuinformacion.com/

• http://www.youtube.com/intecocert

• http://www.intypedia.com

• http://www.icic.gob.ar/paginas.dhtml?pagina=100

• http://www.icic.gob.ar/paginas.dhtml?pagina=187

• http://www.internetsano.gob.ar/paginas.dhtml?pagina=1

• Buscar “videos ONTI”

• http://www.hotscams.com/

• http://www.inteco.es/

• http://www.microsoft.com/es-es/security/default.aspx


Para mayor información:

Marcia L. Maggiore

[email protected]

¡Gracias!

http://www.argentinacibersegura.org/

http://www.tusentidocomun.com/

http://www.piensoluegoclico.com/

http://www.osi.es/

http://protegetuinformacion.com/

http://www.youtube.com/intecocert

http://www.youtube.com/intecocert

http://www.intypedia.com/

http://www.icic.gob.ar/paginas.dhtml?pagina=100



http://www.internetsano.gob.ar/paginas.dhtml?pagina=1

http://www.internetsano.gob.ar/paginas.dhtml?pagina=1

http://www.hotscams.com/








mailto:[email protected]

gtag 5 slideset - cej.justiciachaco.gov.arcej.justiciachaco.gov.ar/sites/default/files/2014... ·...

Documents