Capítulo 7 – Conceptos Fáciles de Seguridad
Capítulo 7 de 12
Conceptos Fáciles de Seguridad
“Tengo antivirus instalado, por tanto, me siento seguro” ¿Verdadero o falso? Totalmente cierto. Te sientes seguro. Algo que está a mil millas de ser seguro, como ya sabes por el capítulo 2. Lo de sentirse seguro es algo de lo que los usuarios no tienen la culpa. Por un lado, las empresas que sufren lo que se denomina una brecha de seguridad, no son muy partidarias de publicarlo abiertamente (según una reciente investigación realizada por AlienVault, sólo el 2% de las empresas de la UE lo harían —Net-security.org, 2013—), no conociéndose el número real de casos de ataques informáticos exitosos en empresas delicadas. Además, se suma a esta confusión la imprecisión a la hora de promocionar distintos productos, algo que no es culpa de las empresas desarrolladoras de antivirus. De ahí que sea preciso conocer bien determinados conceptos de seguridad para poder valorar con relativa precisión el grado de seguridad de nuestros ordenadores, teléfonos o tablets (para mí son lo mismo: sistemas informáticos de distintos tamaños, características y capacidades). Gracias a tu interés y esfuerzo, si has sido aplicado con la lectura de este libro, ya dispones de una base suficiente para enfocar este capítulo.
Proteger, disuadir, alertar o detectar, por ejemplo, son términos usados en numerosas ocasiones como intercambiables, lo cual es un conveniente error. Seguro que has visto alguna vez algún anuncio de instalación de alarmas que dice que te protege 24 horas ¡Seamos serios! Un sistema de alarma no protege. Alerta. Sólo alerta. Bueno, si tiene la pegatina en la puerta, sirve también como elemento disuasorio, pero hasta cierto punto. Una valla de metro y medio disuade a un señor de 75 años con serios problemas de salud como artrosis o artritis reumatoide. Sin embargo, no supondría un problema para un joven de agilidad media. Una cámara puede grabar la cara de un asaltante, pero un pasamontañas la tapa divinamente. El ruido de alarma también puede funcionar como disuasorio en muchos casos. No obstante, la disuasión funciona hasta un determinado nivel. Aquellos que son profesionales, o disponen de medios para anular las alarmas, o planean la intrusión de forma que no les afecte dicho sistema de alerta. Quédate con la idea de que, por regla general, el sonido no protege. Por no hablar de las cámaras que puede que nadie esté mirando en el momento más crítico. Parece, pues, que un sistema de alarma tiene una capacidad de protección muy limitada. Protege ante aquellos agresores o asaltantes cuyo umbral de disuasión es bajo. Pero, ¿qué pasa con los que tienen el umbral de disuasión alto? Los valientes, motivados, entrenados y decididos. Pues ante esos, se acabó la protección de una alarma.
Los sensores reciben señales del medio que envían a un centro de procesos que determina, según unas instrucciones, la siguiente acción: alertar o no alertar. Las cámaras, los detectores de humos, los infrarrojos, los volumétricos, los sísmicos, los micrófonos, etc., son sensores que detectan presencia, humo, movimiento o sonidos. Esos sensores tampoco protegen de nada. Son como los ojos, los oídos o la nariz de un cuerpo, que te permiten percibir estímulos del exterior, que tras ser evaluados por tu cerebro, provocan una acción u otra.
Bien, con los antivirus ha pasado algo similar. La gran mayoría de los usuarios de ordenadores tiene la sensación de estar protegidos con la instalación del antivirus. Algo que es normal porque antiguamente se ofrecía como medida de seguridad integral, pero verdaderamente no abarcaba todo los riesgos posibles, tan sólo comparaba firmas de software. Rápidamente, esa imagen de solución integral de seguridad quedó asociada con la palabra antivirus. Determinados antivirus de hoy, en realidad, sí que ofrecen un grado de protección adicional, porque no es como un sistema de alarma que se limita a dar bocinazos y luces. Un antivirus, dependiendo de la marca y del modelo, detecta, alerta y neutraliza (la mayoría de las veces) al agresor o asaltante, en este caso al malware. La cuestión es que en Internet, no todas las amenazas emplean la misma forma de acceder a tu ordenador, o sea, que no todo son entregas directas de malware, sino que, como has visto, existen los exploits, links maliciosos, spam o formas de entregar un virus o troyano distintas de las convencionales, por ejemplo, por partes. Esto implica que se hace necesario, además de un sistema que detecte y neutralice malware, mecanismos que eviten los otros peligros. La tendencia actual es ofrecer soluciones de seguridad conjuntas, adicionales al antivirus, porque los fabricantes son conscientes de las limitaciones de instalar un antivirus como única medida de seguridad. Así, ahora encontramos algunos productos de seguridad muy completos (algo más caros que un antivirus) que incluyen, además del antivirus: detección de amenazas nuevas, emergentes y desconocidas desde un servicio cloud, identificación de sitios web sospechosos y de phishing, seguridad para compras y operaciones bancarias online, protección de privacidad e identidad digital, navegación segura y responsable para menores, monitorización de programas vulnerables, restauración ante acciones maliciosas, control parental, módulo anti- spam, teclado virtual, etc. ¿No me digas que después de todo lo que te he contado, no te vas a comprar una solución de seguridad con antivirus como la que te he descrito? Sería un paso inteligente, sin duda. Sin embargo, no debe ser el único.
A día de hoy, los cibercriminales han mejorado muchísimo sus procedimientos (spear phishing o phishing selectivo, en lugar de phishing indiscriminado, por ejemplo). La desventaja es que ellos sólo tienen que tener éxito en uno de sus ataques para iniciar el proceso de intrusión, a través del cual se apoderan del control de tu sistema y, por ende, de tu información. Desgraciadamente, tu porcentaje de eficacia para evitar ser una víctima tiene que ser del 100%, algo que como has visto, no es nada fácil. Si miras las estadísticas que publicó Mandiant (esa empresa que ha hecho la investigación del “supuesto” ataque informático por parte de China) en su informe anual de amenazas del 2012, verás que en el 100% de los casos en que se ha detectado una intrusión, el sistema antivirus estaba funcionando perfectamente, así como correctamente actualizado. Además, si seguimos mirando estos datos, vemos algo muy revelador: la intrusión no suele ser descubierta por quien la sufre (en el 96% de las veces) y el tiempo medio de permanencia del criminal en el sistema es de unos 416 días (un año y casi dos meses con crackers dentro del sistema) robando credenciales (en el 100% de los casos). Olvídate del antivirus estándar como solución única. ¡Ahora sí que te he dejado de piedra! Si el antivirus no es capaz de evitar ataques selectivos; al firewall se le cuelan paquetes, aparte de no poder filtrar el tráfico malicioso de los puertos autorizados (los denominados firewall WAN); los IDS (sistemas de detección de intrusión) no detectan como deberían y no se dispone de las actualizaciones inmediatamente, te diría que el dinamismo y la alternancia podrían ser parte de la solución, pero no puedo explicar eso aquí, porque tu caso no requiere diseñar una estrategia de contrainteligencia digital de nivel militar. Como te he explicado en el capítulo 3, lo único que puedo sugerirte, es que conozcas qué arriesgas, dónde están tus vulnerabilidades y cómo minimizar el daño que una intrusión o infección puede ocasionar (tanto las medidas preventivas y las reactivas como las correctivas). La única manera de lograr eso en entornos familiares de nivel técnico medio o bajo, es a través de la implementación meticulosa de una completa suite o solución integral de seguridad, adecuadamente combinada con unos procedimientos apropiados (basados en la precaución). La suite bien la puedes montar tú mismo, si ya dispones de un nivel avanzado, o adquirir una solución potente que integre los sensores en un sistema de seguridad único.
Curiosamente, se produce ahora una confusión. Esta confusión es debida a que las mismas compañías fabricantes de antivirus, son las que están desarrollando estas soluciones integrales de seguridad (es decir, que a su antivirus están añadiendo nuevas funcionalidades) y, ahora, debido al rumor extendido de que un antivirus por sí solo no significa protección, se asocia a estas compañías y sus productos con falta de eficacia. A ver. Yo soy el primero que dice que con un antivirus básico únicamente no vamos muy lejos. Pero hay que fijarse en lo que los fabricantes ofrecen. Ellos siguen ofertando el antivirus independiente, a un precio muy reducido o incluso gratis, pero si se te cuelan los virus u otros tipos de malware no te quejes, porque no es su culpa. La culpa es tuya por dejar sin cubrir el resto de vías de ataque a tu ordenador. Si realmente quieres la protección mínima contra malware, necesitas una solución integral y las principales compañías de antivirus del mundo están ya ofertando productos realmente buenos enfocados a la seguridad familiar en Internet. La imprudencia, el desconocimiento y la falta de sentido común digital disminuyen en gran medida la efectividad de estas suites, ya que poco se puede hacer si decides ejecutar con permisos de administrador un archivo ejecutable que venía en la memoria USB de tu cuñada y, después, autorizas que el programa se comunique con Internet al incluirlo en la lista de programas de confianza de tu firewall ¿A qué te suena? A mí a imprudencia pero, no sabes la de veces que he visto hacer eso. Sin ir más lejos, en un ambiente corporativo que no voy a identificar, el responsable de informática, detectó malware en toda su red de ordenadores (que denominaremos NEW-STOCK), que no estaban conectados a Internet porque contenían información crítica sobre nuevos productos y campañas. Acto seguido, este “responsable” se conectó a Internet para actualizar el antivirus con el fin de que eliminara el malware detectado. Justo lo que el malware necesitaba, conexión a Internet para comunicarse con el “centro de control”, o sea, el cracker. No sé si ya se te está pasando por la cabeza, pero, ¿a que habría sido más sensato descargar la actualización desde un ordenador ya conectado a Internet, para luego pasarla a la red NEW- STOCK sin necesidad de conectarla a Internet?
No es necesario ser un habilidoso programador, ni un experto en hardware para aplicar las reglas del sentido común aplicadas a la seguridad de la información. Lo que sí hace falta es aprender ese sentido común digital, porque como bien sabes, por el mero hecho de ser humanos inmersos en una realidad artificial, carecemos de sensores digitales así como de experiencia y, por eso, hay que entender muy bien determinados mecanismos, a través de una política de formación continua. Este ejemplo, parece que encaja más en el capítulo siguiente; sin embargo, quería incluirlo aquí porque considero ese aprendizaje una de las medidas urgentes de seguridad básicas, pues sin ella, reducimos la eficacia de las otras medidas. Tener la mejor cerradura del mundo y dejar una llave de emergencia debajo del felpudo, no parecen alternativas compatibles, al menos en cabezas de inteligencia media.
Entonces, ¿con esas suites de seguridad integral puedes asumir que estás a salvo? Estarías más cerca. Pese a que algunas ya incluyen funcionalidades que vigilan muy de cerca los programas que no han sido actualizados, siguen existiendo riesgos, pero si eres meticuloso con las actualizaciones del sistema operativo y el resto del software instalado, configuras adecuadamente tu suite de seguridad (firewall incluido), respetas los procedimientos y directrices de seguridad emitidas por expertos del sector y, sobre todo, remas a favor de la seguridad de tus dispositivos (dejando de ser imprudente, negligente o descuidado), puedes considerarte mucho mejor protegido. Quedarían cosas por aprender (el famoso y pesadamente reiterado sentido común digital), pero habrías dado un paso enorme en la dirección correcta.
Para seguir dando pasos al frente en materia de seguridad de tu información o la de tu familia, debes tener en cuenta que un antivirus o la mejor suite de seguridad del mundo no pueden evitar que te abra el correo una tercera persona si tu contraseña es “cortina”, “ordenador”, “impresora”, “tu_apellido”, “nombrehijo”, “usuario1234” o cosas por el estilo. Al margen de los crackers existen personas interesadas en obtener toda la información que puedan sobre ti y, si no pones los medios, accederán a tus cuentas de e-mail, Facebook o cualquier otra red social. Quizá ahora tus hijos sean jóvenes y no han tenido experiencias sentimentales, pero más adelante es posible que conozcan a una encantadora persona, mujer u hombre, que podría resultar inestable emocionalmente hablando. Recientemente he tenido la ocasión de conocer unos cuantos casos que me han hecho considerar la necesidad de incluir algún comentario aquí sobre ello. Ahí van unas cuantas historias (cambiando escenarios y protagonistas).
Seguro que conoces los distintos mecanismos a través de los cuales puede reestablecerse la contraseña en caso de olvido. Habiendo mejorado bastante, algunos incluyen la posibilidad de enviarte un código de acceso provisional al teléfono vía SMS, lo cierto es que hasta no hace mucho eran de risa. Con sólo conocer la fecha y/o el lugar de nacimiento y algún que otro dato personal más, era muy fácil conseguir acceder a la cuenta de correo de casi cualquiera y, ¿qué mejor sitio para obtener información personal que una red social? Si no recuerdo mal, la respuesta a la pregunta de seguridad de un conocido cantante español era el nombre de su mascota, que todo fan conocía gracias a su perfil público de Facebook. Pero no hace falta ser famoso para que alguien intente acceder a tu correo. Si buceas un poco por la red verás que hay miles de personas interesadas en cómo acceder a cuentas de correo de parejas, ex-parejas u objetivos sentimentales (que yo denomino “víctimas”). Existen varias formas de conseguir las credenciales de acceso de una persona, usuario/contraseña, y es más fácil cuanto más cerca en el círculo social o profesional (ahora te cuento más). El último caso que ha llegado a mis oídos, ni siquiera requirió conocer la contraseña de la víctima. Se trata de una vendedora (francesa) de teléfonos móviles que está literalmente obsesionada con los hombres en general. Por un motivo que desconozco, quiere que todos los chicos que se cruzan a su paso se enamoren de ella. Lo cierto es que roza algún tipo de desequilibrio que no acierto a diagnosticar, pero me atrevería a afirmar que empieza a no percibir la realidad como la gran mayoría. Bueno, el caso es que esta obsesiva chica se encaprichó de un chico que conoció en la tienda en la que trabajaba y se las ingenió para venderle un smartphone de segunda mano. El chico, después de utilizar su nueva adquisición tecnológica, se dio cuenta de que no era el modelo acordado y decidió contactar con la vendedora obsesiva para que le devolviera el dinero o le proporcionara el teléfono correcto. La vendedora hizo las gestiones oportunas (la verdad que no sé si le consiguió otro o le devolvió el dinero) acabando con el teléfono usado por su víctima en la mano ¿Qué puede hacer en esa situación una persona desequilibrada con tendencia obsesiva? Has acertado. Con toda probabilidad, revisará el móvil, cual forense digital, y si el chico configuró sus redes sociales, es muy probable que ahora, vía Internet, la vendedora tenga acceso a toda la información privada de este chico, sin necesidad de conocer sus credenciales.
Ya sabes, cuando te deshagas de tus dispositivos informáticos, procura borrar de forma segura (sobrescribiendo) todos tus datos, porque nunca sabes quién está detrás de un mostrador. En este caso se trata de una chica inestable, pero pueden hacerse muchas cosas con los datos que contiene un teléfono, desde suplantación de identidad hasta chantajes, por poner un ejemplo. Visto, pues, cómo saltarse tu configuración de privacidad de Facebook casi sin proponérselo.
Siguiendo con formas de averiguar tus credenciales, me gustaría hacer hincapié en los riesgos de utilizar recursos públicos o compartidos. Tanto si usas la WiFi de la franquicia de turno, como si consultas tu correo o tus cuentas del banco en el ordenador de un amigo o compañero, en ambos casos estás exponiendo tus datos de acceso. No te digo nada si lo haces desde una sala de ordenadores en la universidad o en una cafetería o cibercafé (muy, muy lejos de la privacidad en este último caso). Te haré una pregunta para que tú mism@ empieces a ver por qué: ¿A qué red inalámbrica se conecta tu ordenador de casa? A la tuya claro ¿A la tuya o a una que se llama exactamente igual? Sin dar detalles técnicos, para evitar complicaciones conceptuales, si te conectaras a la red WiFi de tu franquicia de comida rápida favorita, un cracker podría situar una red WiFi con el mismo nombre que la de esa franquicia y con la misma contraseña de acceso (o sin ella) y tu ordenador o teléfono (o tú mismo) se conectaría a la de mayor calidad de señal (el cracker transmite con mucha potencia para captar a más incautos). Es decir, que es muy fácil conectarse voluntariamente a la red de un cibercriminal, por la comodidad, rapidez y, muchas veces, gratuidad que ofrece una red inalámbrica pública ¿Nunca has visto dos redes de igual nombre en un hotel o franquicia, una con clave de acceso y la otra sin contraseña? ¿Te conectas a una red WiFi sin clave cerca de tu casa? Mal. ¡Muy mal! Porque, aparte de todo esto, incluso estando en una red inalámbrica pública legítima, un cracker podría igualmente estar dentro de la misma red.
Si quieres conservar como personal e intransferible tu contraseña (ya sea del banco, correo o red social), no la divulgues públicamente; y, como ves, eso no sólo implica no decirla verbalmente a nadie, sino también evitar escribirla en lugares donde pueda interceptarse. Si no quieres que tu pareja conozca tu contraseña, no la teclees en su ordenador. Más vale estar bien educado ahora, que lamentar este fallo después de una ruptura sentimental. Siendo, por supuesto, todo esto trasladable al ámbito profesional; así que, al margen de la motivación —amor, odio, obsesión, curiosidad, etc.—, más te vale conocer las formas de obtener información sobre tus credenciales de acceso (las hay técnicamente muy complejas, pero para llegar a comprenderlas, hace falta asimilar primero algunos conceptos técnicos).
Ya que estamos hablando de contraseñas, quiero preguntarte cómo tienes configurado tu sistema operativo ¿Utilizas la sesión de Windows con privilegios de administrador para navegar por Internet? ¿Qué tipo de sesión usan tus hijos? ¿Sabes dónde se mira eso? Te pondré un ejemplo para que veas la importancia de estas simples preguntas. Por un lado, tenemos el problema de que si utilizas una sesión de Windows (u otro sistema operativo) con privilegios de administrador, cualquier cracker que logre acceder a tu ordenador dispondrá de esos mismos privilegios, teniendo el camino mucho más fácil al poder instalar troyanos, desactivar el antivirus o el firewall, etc.
Por otro lado, si dejas que tus hijos empleen una sesión de administrador, dispondrán del control total de la máquina, teniendo permiso, a “ojos” del ordenador, para que instalen cualquier software, modifiquen voluntaria o involuntariamente las configuraciones de seguridad, desactiven el antivirus porque ralentiza su experiencia de juego o ejecuten un troyano (u otro tipo de malware) que hayan recibido por correo, o se encuentre infectando sus dispositivos de almacenamiento extraíbles o se camufle con el último juego de moda (pirata) recién descargado del eMule y que no podrán resistirse a instalar. Atendiendo al párrafo anterior, la seguridad no sólo es cuestión de software específico adicional, sino que implica una configuración estricta (no sólo a nivel de sistema operativo), además de seguir escrupulosamente un protocolo de uso adecuado. Para interpretar esto con la importancia que tiene en el mundo digital, imagina que eres una persona frecuentemente amenazada por el motivo que sea (nuestros ordenadores sufren ataques TODOS los días) y decides tomar medidas. En tu chalet cuentas con lo último en dispositivos de seguridad, barreras físicas para retrasar el acceso a tu vivienda, cerraduras y bisagras de última generación y una habitación del pánico con puerta corredera. Cualquier mosquito que entrara sería detectado. Sin embargo, aun blindando tu casa, cual auténtica fortaleza, quizás tengas un vecino, no tan preocupado, cuyo tejado pudiera facilitar en gran medida el acceso a tu vivienda (es frecuente que esto suceda), por ejemplo, a través de la ventana de la buhardilla que dejaste abierta porque no supusiste que alguien pudiera llegar hasta ahí. Una vez dentro el agresor, te queda la habitación del pánico. Pero en mi ejemplo, tus hijos, con privilegios de administradores, han estado jugando en las inmediaciones de la sala con algunos de sus juguetes que atascan la puerta justo en el momento de cerrarse, pudiendo el agresor entrar sin problema para materializar sus amenazas.
Comparando tu casa con un sistema operativo, debes configurarla adecuadamente y establecer un protocolo de actuación familiar que contribuya a la seguridad de tu hogar y sirva para comprobar la efectividad de esas configuraciones. Más claramente: de nada sirve un detector de intrusión ante rotura de cristales si dejas la ventana abierta. Igualmente inútil sería disponer de la mejor cerradura del mundo, si resulta que la dejas abierta (me refiero a no echar el cerrojo) o no revisas si alguien ha introducido chicle en el hueco reservado para el resbalón, algo que he visto en muchísimas ocasiones, para poder abrir la puerta con toda la facilidad del mundo con un simple empujón a las tres de la mañana (muchos pintores y albañiles utilizan métodos similares para evitar tener que llamar al timbre del portal cada vez que entran y salen durante una reforma). Configura sesiones de usuario con privilegios restringidos para todos los usuarios de tus ordenadores, incluso para ti mismo, y usa la sesión de administrador sólo cuando sea necesario. En caso de que quieras monitorizar o controlar el uso que se hace del ordenador, te recomiendo también que configures el orden de arranque accediendo a la BIOS, que deberás también proteger con contraseña de administrador (distinta), para evitar que tus hijos arranquen el ordenador desde un CD o DVD, saltándose así cualquier software de monitorización o control que hubieras instalado.
De verdad, igual que todos hemos educado a nuestros pequeños para que no abran la puerta a desconocidos, es importante que aprendan a identificar el estado de seguridad de sus dispositivos informáticos, configurarlos adecuadamente y utilizarlos conveniente, segura y responsablemente. Pero si los padres y madres no se esfuerzan por entender este mundo electrónico, la educación digital de sus hijos queda en manos de la propia red.
Involúcrate, aprende y refuerza la seguridad de tu familia.
<- Ir al capítulo anterior Ir al capítulo siguiente ->
=======================================================================
Eduardo Orenes
Autor de «CiberSeguridad Familiar: Cyberbullying, Hacking y otros Peligros en Internet»
=======================================================================
«Hoy es Mañana…»
NOTA:
Todo el contenido de la categoría «Libro» está protegido por Copyright. Está prohibido copiar el contenido para publicar en otros medios sin la autorización expresa del autor (aunque sí puedes, y te invito a ello, compartir los enlaces libremente).
Además, si vas a utilizar contenido parcial de este blog (cualquier otro post o entrada), debes mencionar al autor y la página web (con hipervínculo). No ya sólo por cuestiones de Copyright, sino también por temas de clonado de contenido que Google penaliza a la hora de posicionar. Por si se te olvida, he añadido un código que lo hace automáticamente cada vez que copies y pegues algún fragmento de texto de esta web 😉
Leave a Reply
Want to join the discussion?Feel free to contribute!