Español | English
rss facebook linkedin Twitter

Seguridad: mitos de ayer, excusas de hoy

Actualmente, no hay semana que pase en la que no veamos una noticia relacionada con nuevas amenazas web, malware, phishing, perdidas de datos, usuarios descuidados, revelaciones de datos confidenciales etc.

Por ello, aunque a modo general, parece que el concepto de seguridad está empezando a tomarse en serio por el usuario medio, lo cierto es que aún, una vasta mayoría, todavía subestima la importancia de estas medidas o tienen ideas equivocadas.

Actualmente, el grado de sofisticación de los ataques en Internet o directamente a los usuarios, roza ya lo irreal. Y esto, es algo que no va a parar de crecer, mientras exista detrás todo un mercado negro con una gran infraestructura establecida.


Los usuarios deben ser conscientes de ello, pero haría falta mucha educación y sensibilización, cosa que no siempre está al alcance de todos, o no se está por la labor. Tambien observamos cómo los usuarios creen que estan a salvo y fuera de peligro porque creen en mitos que ya no son ciertos actualmente y los ponen como excusas poniendo en peligro su seguridad por el desconocimiento ¿de qué mitos hablamos?:

  1. No tengo nada importante en mi equipo.
    • Cuestión: No se trata de lo que tengas o no tengas en tu equipo. Se trata de lo que pueden hacer a través de él.
    • Solución: No digas "me da igual".
  2. Utilizamos scp para transferir ficheros en la red.
    • Cuestion: Aunque se usen algoritmos de cifrado y una longitud de clave apropiada, sólo estas seguro seguro desde un punto al otro.
    • Solución: ¿dónde se transmiten los ficheros? ¿quién tiene acceso? ¿se realiza backup de esos ficheros? ¿es necesario? ¿cual es la política de backup?. En cuantos más sitios residan los datos, más difícil es protegerlos.
  3. Estamos detrás del Firewall de nuestra empresa o casa.
    • Cuestión: Esta puede ser la excusa más típica, los usuarios se sienten a salvo trás esa "máquina" que les protege. Con las amenazas actuales, los firewall de red e IDS no son suficientes.
    • Solución: La seguridad necesita combatirse a varios niveles. El firewall de red es simplemente uno de esos níveles. El usuario necesita herramientas de seguridad en su propio equipo que le avisen cuando algo ocurre, y explorar la red con navegadores fiables y seguros.
  4. Para las transacciones online sólo me fío de los sitios con https.
    • Solución: Concienciación del usuario, experiencia y un sexto sentido.
  5. Utilizo un sistema operativo que no necesita antivirus.
    • Cuestión: Cual, ¿Mac?, ¿GNU/Linux?, ¿Windows?.. Los mayores peligros hoy día son multiplataforma, no importa qué SO utilicemos. ¿Se os ocurre cómo un simple rootkit podría introducirse en usuarios de Windows/Linux y MacOS?. Sí ampliamos el concepto de rootkit que tenemos hoy día para ir más alla del S.O como objetivo de éste, podremos verlo en una extensión de firefox por ejemplo.
    • Solución: Muchos abogan por tener un navegador para el ocio y otro para realizar transacciones en Internet, pero no resultaría algo cómodo para el usuario. Hay que buscar nuevas soluciones para las nuevas amenazas.

Recuerda, la seguridad es el proceso de mantener un nivel aceptable del riesgo que se percibe, no hay que vivir en un constante estado de paranoia, pero tampoco debemos poner como excusas de nuestra seguridad mitos de ayer que no valen hoy. Al final, todo es cuestión de confianza.

Emilio Casbas
S21sec labs

7 comentarios:

cienes de datos dijo...

Voy a aportar mi solución:
Para transacciones electrónicas utilizo una máquina virtual WindowsXP, instalada desde cero, parcheada cada poco tiempo (casi siempre que la arranco tengo parches pendientes por aplicar), con explorer y firefox, según convenga conectarse a una entidad financiera que requiera uno u otro (en el 99% de los casos uso explorer).
Es una máquina que sólamente le he instalado lo extrictamente necesario. Nada más: Antivirus y firewall. Esta máquina virtual es la que uso siempre que deseo conectarme a banca electrónica. Sólo la uso para eso, para nada más. Cuando no la uso, la apago. Y si la necesito, la enciendo.
Como VMWare permite eliminar o añadir hardware virtual a la vm, la tengo 'pelada' para lo justo: sin sonido, sin usb, sin puertos com, red por nat, sin instalación de la mega-acojo-aplicación, etc.
Todavía no me ha pasado pero en el momento que note cualquier anomalía en su funcionamiento la restauraré con g4l.
Creo yo que habrá más gente que use este sistema. De todas formas, el host que albergue la vm tiene que mantenerse en buena forma.

S21sec labs dijo...

@cienes de datos, gracias por tu aportación.
"Esta máquina virtual es la que uso siempre que deseo conectarme a banca electrónica. Sólo la uso para eso, para nada más."

Esto es lo que se llama concienciación de la seguridad, jeje.

Hace poco han salido unas estadísticas indicando que 'Los españoles son los ciudadanos europeos que menos compran por Internet.'
Aún hace falta mucho trabajo por parte de diversas instituciones para frenar ese miedo. Mientras, algunos utilizarán vías como esta que comentas.

Anónimo dijo...

Personalmente no conozco VMWare pero conozco Virtual PC y sinceramente si tienes instalado un keylogger en el equipo no veo que usar un equipo virtual sirva de mucho... va a seguir capturando todo lo que teclees

S21sec labs dijo...

Nuestro amigo del primer comentario indica "el host que albergue la vm tiene que mantenerse en buena forma", esto incluiría libre de keyloggers. Lo que comentamos, no puedes vivir en un estado constante de paranoia, no hay seguridad al 100% pero la puedes combatir con varias defensas. De cualquier manera, es interesante lo que indicas.

Anónimo dijo...

Yo, para conectarme a los bancos, boto con un cd de puppy linux y no grabo la configuración en el disco duro; cada vez tengo que configurar la red, pero son dos o tres clicks.

Anónimo dijo...

Sinceramente, este artículo solo le hace servicio a los cerebritos del tema, pues las recomendaciones que se hacen y que son factibles de realizar por un usuario medio son ya de sobras conocidas. Y las soluciones que aparecen en los comentarios son flipantes “Para transacciones electrónicas utilizo una máquina virtual WindowsXP”, que queréis que os diga, al usuario normal como yo, esto le suena a chino y seguramente necesitaría un cursillo de meses para conseguir realizar este tipo de cosas, algo que se puede dar por descartado.
Seamos serios, el problema radica en que todavía no hay una concienciación real desde lo más alto, ¿alguien se imagina que ocurriría si se produjeran en un país el mismo número de ataques por criminales a viviendas particulares que a PCs, independientemente del resultado? Yo si, ese gobierno no duraría ni 1 semana.

S21sec labs dijo...

Anonimo, gracias por el comentario.

Las recomendaciones dadas son de sobra conocidas como afirmas, pero te sorprendería conocer la realidad, somos humanos :D

Seguro que a chino no te suena el utilizar un navegador pongamos IE para la navegación de ocio, y Firefox para realizar acciones sensibles como banca electrónica. Haciendo un simil de esto, conocí a gente que con el auge hace unos años del clonado de tarjetas de crédito, utilizaban cualquier tarjeta con banda magnética para acceder al cajero, y una vez dentro la tarjeta de crédito para realizar la operación.

En cuanto a la concienciación desde lo más alto, las fórmulas adoptadas por otras países en forma de leyes son del tipo big-brother donde siempre quedan enfrentadas la privacidad y derechos del usuario.

Gracias anónimo!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login