CONCEPTOS GENERALES DE SEGURIDAD WEB
• Confidencialidad: Se refiere a que la información solo puede ser
conocida por individuos autorizados
• Integridad:
Se refiere a la seguridad de que una información no ha sido alterada, borrada,
reordenada, copiada, etc., bien durante el proceso de transmisión o en su
propio equipo de origen.
• Disponibilidad:
Se refiere a que la información pueda ser recuperada o esté disponible en el
momento que se necesite.
• Seguridad
de la Información: Son aquellas acciones que están encaminadas al
establecimiento de directrices que permitan alcanzar la confidencialidad,
integridad y disponibilidad de la información, así como la continuidad de las
operaciones ante un evento que las interrumpa.
• Activo:
Recursos con los que cuenta la empresa y que tiene valor, pueden ser tangibles
(Servidores, desktop, equipos de comunicación) o intangibles (Información,
políticas, normas, procedimientos)
•
Vulnerabilidad: Exposición a un riesgo, fallo o hueco de seguridad
detectado en algún programa o sistema informático.
• Amenaza:
Cualquier situación o evento posible con potencial de daño, que pueda
presentarse en un sistema.
• Riesgo:
Es un hecho potencial, que en el evento de ocurrir puede impactar negativamente
la seguridad, los costos, la programación o el alcance de un proceso de negocio
o de un proyecto.
•
Correo electrónico: El correo electrónico es un servicio de red que permite
que los usuarios envíen y reciban mensajes incluyendo textos, imágenes, videos,
audio, programas, etc., mediante sistemas de comunicación electrónicos.
ELEMENTOS DE PROTECCIÓN
• Firewall: Elemento de protección que sirve para filtrar paquetes
(entrada o salida) de un sistema conectado a una red, que puede ser Internet o
una Intranet. Existen firewall de software o hardware. Este filtrado se hace a
través de reglas, donde es posible bloquear direcciones (URL), puertos,
protocolos, entre otros.
• Anti-virus: Programa capaz de detectar, controlar y eliminar virus
informáticos y algunos códigos maliciosos (Troyanos, Works, Rootkits, Adware,
Backdoor, entre otros).
• Anti-spam: Programas capaz de detectar, controlar y eliminar
correos spam.
• Criptografía: Es el arte cifrar y descifrar información con claves
secretas, donde los mensajes o archivos sólo puedan ser leídos por las personas
a quienes van dirigidos, Evitando la interceptación de éstos.
AMENAZAS DE SEGURIDAD.
• Spam: Envío de cualquier correo electrónico, masivo o no, a
personas a través de este medio que incluyen temas tales como pornografía,
bromas, publicidad, venta de productos, entre otros, los cuales no han sido
solicitados por el(los) destinatario(s).
•
Ingeniería social: Es la manipulación de las personas para
convencerlas de que ejecuten acciones, actos o divulguen información que
normalmente no realizan, entregando al atacante la información necesario para
superar las barreras de seguridad.
• Código Malicioso: Hardware, software o firmware que es
intencionalmente introducido en un sistema con un fin malicioso o no
autorizado. Ejemplo: Troyanos,
Works, Spyware, Rootkits, Adware, Backdoor, Cookies, Dialers, Exploit,
Hijacker, keyloggers, Pornware, etc.
•
Hoax:
Es un mensaje de correo electrónico con contenido falso o engañoso y
normalmente distribuido en cadena, aparte de ser molesto, congestiona las redes
y los servidores de correo, pueden ser intencionales para la obtención de
direcciones de correo para posteriormente ser utilizadas como spam. Algunos de
los Hoax más conocidos son correos con mensajes sobre virus incurables,
temática religiosa, cadenas de solidaridad, cadenas de la suerte, Regalos de
grandes compañías, entre otros.
• Suplantación: Hacerse
pasar por algo o alguien, técnicamente el atacante se hace pasar por un
servicio o correo original.
FRAUDES EN INTERNET
Phishing: Es
la capacidad de duplicar una página Web para hacer creer al visitante que se
encuentra en la página original en lugar de la copiada.
Se tienen dos variantes de esta amenaza:
•
Vishing: Utilización de técnicas de phishing pero para servicios
asociados con voz sobre IP (VoIP).
• Smishing: Utilización de técnicas de phishing en los mensajes de
texto de teléfonos móviles.
1. ¿Cómo funciona?
• A través de Sitio Web
En primera instancia los atacantes crean un
sitio Web similar al original, trascribiendo textos, pegando las mismas
imágenes y los mismos formularios para digitar los datos. Una vez creado el
sitio, lo publican en la Web con un alias parecido al sitio original.
Ej.: Reemplazando un simple de caracteres,
usando un dominio real como prefijo:
• Sitio oficial: www.sitioReal.com
• Sitio falso: www.sitioReal.com.sitio.com
• Variaciones: www.sitioReal-account.com
www.sitioReal.actualiza.com
• Jugar con la percepción y la lectura del
usuario:
www.sitiio.Real.com
www.sitio.Rea1,com
www.sitio.Real.com/bin/actualiza
Adicional a esto, fijan una imagen simulando
ser un sitio seguro (con certificados digitales) que a simple vista, da mucha
confianza pero son FALSOS:
Una vez realizado esta labor y utilizando
mecanismos masivos de comunicación como el spam, envían correos indicando a los
“posibles” clientes o usuarios del portal a que actualicen sus datos, invocando
la posibilidad de dar obsequios o premios si hacen esta acción.
• A
través de Correo electrónico
Esta modalidad es realizada
enviando correos masivos a las personas solicitando informen sus datos
personales, lo correos engañosos pueden indicar que existe un problema técnico
y es necesario restablecer las contraseñas. Los correos llegan a nombre de una
empresa o razón social, donde el atacante suplanta el nombre de dicha empresa.
2. ¿A quién le puede pasar?
A cualquier usuario que
tenga un correo electrónico y acceso a Internet, donde periódicamente haga
consultas y/o actualizaciones en portales que le presten servicios: Tiendas
virtuales, Bancos, portal de correo, pago de servicios públicos, etc.
3. ¿Dónde está el peligro y cómo podemos ser
víctimas?
El peligro radica en que, al
ser una página falta, inducen a los usuarios a que ingresen los datos personales,
como cuantas de correo, número de tarjetas de crédito, claves, etc. y estos
datos son recogidos por el atacante en bases de datos ajenas a las entidades
oficiales de los sitios. Al sitio Web “similar” al original, es difícil que el
usuario se percate, en primera instancia, de que se trata de un engaño. Cuándo
llega un correo indicando sean actualizados los datos, los usuarios validan las
bondades de estar actualizados e ingresan desde el enlace o link del correo,
directamente a la página falsa. Al ser un spam “atractivo”, los usuarios hacen
un reenvió de este a más usuario, formándose una cadena o Hoax para capturar
más y más personas.
Y si es a través del correo, los usuarios
enviarían los datos personales (usuario y contraseña) a un correo desconocido.
4. ¿Cuáles son las consecuencias?
Una vez se ingresen los
datos personales, son almacenados en bases de datos del atacante, que
posteriormente utilizará en beneficio propio para realizar estafas o robos de
dinero, dado que tiene en número de la cuenta bancaria y la clave de acceso (si
el sitio falso es una entidad bancaria).
5. ¿Cómo se puede evitar?
Siempre que llegue este tipo
de mensajes, ingrese directamente al sitio oficial desde el browser o
navegador, nunca desde el enlace l link enunciado en el correo, ni dando clic a
dicho enlace.
Evite el envío de mensajes
cadena, pornografía, mensajes no solicitados, bromas a otros remitentes de
correo.
Cuando ingrese al sitio, valide que la
seguridad que se indica a través de certificados digitales, si estén
respaldados, de doble clic el icono de seguridad, que debe estar ubicado en la
parte inferior derecha del navegador (no dentro de la página).
COMO PREVENIR FRAUDES
TIPS DE SEGURIDAD.
* Pornografía Infantil:
Evite Alojar, publicar o trasmitir información, mensajes, gráficos, dibujos,
archivos de sonido, imágenes, fotografías, grabaciones o software que en forma
indirecta o directa se encuentren actividades sexuales con menores de edad, en
los términos de la legislación internacional o nacional, tales como la Ley 679
de 2001 y el Decreto 1524 de 2002 o aquella que la aclare, modifique o adicione
o todas las leyes que lo prohíban.
*
Control de virus y códigos maliciosos: Mantenga siempre un
antivirus actualizado en su equipo(s), procure correr éste periódicamente, de
la misma manera, tenga en su equipo elementos como anti-spyware y bloqueadores
de pop-up (ventanas emergentes).
*Evite visitar páginas no
confiables o instalar software de dudosa procedencia.
*La mayoría de las
aplicaciones peer-to-peer contiene programas espías que se instalan sin usted
darse cuenta. Asegúrese que se aplican las actualizaciones en sistemas
operativos y navegadores Web de manera regular.
*Correo
electrónico:
• No publique su cuenta de
correo en sitios no confiables.
• No preste su cuenta de
correo ya que cualquier acción será su responsabilidad.
• No divulgue información
confidencial o personal a través del correo.
• Si un usuario recibe un
correo con una advertencia sobre su cuenta bancaria, no debe contestarlo
• Nunca responda a un correo
HTML con formularios embebidos.
• Si ingresa la clave en un
sitio no confiable, procure cambiarla en forma inmediata para su seguridad y en
cumplimiento del deber de diligencia que le asiste como titular de la misma.
*Control
de Spam y Hoax:
• Nunca hacer click en
enlaces dentro del correo electrónico aun si parecen legítimos. Digite
directamente la URL del sitio en una nueva ventana del browser
• Para los sitios que
indican ser seguros, revise su certificado SSL.
• No reenvié los correos
cadenas, esto evita congestiones en las redes y el correo, además el robo de
información contenidos en los encabezados.
• Control de la Ingeniería
social:
• No divulgue información
confidencial suya o de las personas que lo rodean.
• No hable con personas
extrañas de asuntos laborales o personales que puedan comprometer información.
• Utilice los canales de
comunicación adecuados para divulgar la información
*Control
de phishing y sus modalidades:
• Si un usuario recibe un
correo, llamada o mensaje de texto con una advertencia sobre su cuenta
bancaria, no debe contestarlo.
• Para los sitios que
indican ser seguros, revise su certificado SSL.
• Valide con la entidad con
quien posee un servicio, si el mensaje recibido por correo es válido.
*Robo
de contraseñas:
• Cambie sus contraseñas
frecuentemente, mínimo cada 30 días.
• Use contraseñas fuertes:
Fácil de recordar y difícil de adivinar.
• Evite fijar contraseñas
muy pequeñas, se recomienda que sea mínimo de una longitud de
10 caracteres, combinada con
números y caracteres especiales.
INTERNET SANO
La Internet, el invento más
significativo del final del siglo XX ha representado un avance gigantesco para
el intercambio de información alrededor del mundo. Si bien la Red Mundial de
Información ha sido aprovechada con beneficio por la mayor parte de la
humanidad, hay delincuentes que la utilizan para realizar sus actividades
delictivas, entre ellas uno de los crímenes más repugnantes, la explotación
sexual infantil.
INTERNET SANO es una estrategia nacional que
se ubica en el marco de la Ley 679 del 3 de agosto de 2001 expedida por el
Congreso de la República y el decreto 1524 del 24 de julio de 2004 con el fin
de prevenir y contrarrestar la pornografía, la explotación sexual y el turismo
sexual con menores.
La estrategia invita a la ciudadanía a
participar activamente de la prevención de la explotación sexual con menores de
edad en Internet, a denunciar, a mantener una comunicación de los padres,
adultos responsables y maestros con los menores enfatizando en la importancia
de poder navegar seguros y gozar así de un INTERNET SANO. Generar
opinión y conocimiento en los públicos objetivo en torno al tema de la
explotación infantil en
Internet, destacando
mensajes de prevención, de denuncia, informativos e institucionales.
El nombre INTERNET SANO, busca
identificar la campaña de medios y crear un icono que pueda ser utilizado por
los I.S.P. (Internet Sevice Provider) en sus distintas páginas con base o
temática colombiana, es un nombre que significa que las instituciones del
Estado Colombiano están activas y pendientes para evitar la pornografía
infantil.
No hay comentarios:
Publicar un comentario