4.2 tipos de riesgo

Tipos de riesgos El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella, y con esto, se puede hacer robo de información o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no esté conectada a un entorno externo, como Internet, no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados desde dentro de la misma. Clasificación de las amenazas basado en el origen del ataque • Amenazas internas. Podrían tener por origen vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc. Generalmente estas amenazas pueden ser más serias que las externas por varias razones como son: o Si es por usuarios o personal técnico, conocen la red y saben cómo es su funcionamiento, ubicación de la información, datos de interés, etc. Además tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo, lo que les permite unos mínimos de movimientos. o Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos no efectivos en amenazas internas porque habitualmente no están orientados al tráfico interno. • Amenazas externas Son aquellas amenazas que se originan fuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos. Clasificación de las amenazas por el efecto • Robo de información. • Destrucción de información. • Anulación del funcionamiento de los sistemas. • Robo de dinero, estafas • Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales. Clasificación de las amenazas por el modus operandi • Virus informáticos, malware. • Phishing. • Ingeniería social. • Denegación de servicio. • Spoofing de DNS, IP, DHCP, etc. No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias que deben ser tomadas en cuenta e incluso «no informáticas». Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son la redundancia y la descentralización. Las amenazas pueden ser causadas por: • Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc. • Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware. • Errores de programación: La mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas. • Intrusos: persona que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie, viruxers, etc.). • Siniestro (robo, incendio, inundación): una mala manipulación o una mala prevención derivan a la pérdida del material o de los archivos. • Problemas con la ética del personal: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo que actúan maliciosamente siguiendo motivos entre los que se encuentran habitualmente: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc. • Desperfectos: fallos electrónicos o lógicos de los sistemas informáticos en general. • Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc. Riesgos que suele enfrentar una red Ingeniería social. Son ataques que aprovechan la buena voluntad de los usuarios de los sistemas atacados o la mala elección de passwords que los hacen fáciles de adivinar o de obtener por fuerza bruta. Por ello es importante educar a los usuarios acerca de qué tareas no deben realizar jamás, reconocer qué información no deben suministrar a nadie, además de dejar los equipos bloqueados o bajo llave tal como se vigila alguna cosa de valor. Spoofing Intento del atacante por ganar el acceso a un sistema haciéndose pasar por otro, ejecutado en varios niveles, tanto a nivel MAC como a nivel IP. Variantes: ARP Spoofing (que una IP suplantada tenga asociada la MAC del atacante). El atacante falsifica paquetes ARP indicando gratuitamente su MAC con la IP de la máquina suplantada. Los hosts y los switches que escuchan estos mensajes cambiarán su tabla ARP apuntando al atacante. IP Spoofing (suplanta la IP del atacante). El atacante debe de estar en la misma LAN que el suplantado, y modifica su IP en combinación con ARP spoofing, o simplemente “sniffea” todo el tráfico en modo promiscuo. DNS Spoofing (el intruso se hace pasar por un DNS). El atacante puede entregar o bien información modificada al host, o bien engañar al DNS local para que registre información en su cache. Protección ante Spoofing: introducir autenticación y cifrado de las conexiones para ARP e IP Spoofing. Aunque la intrusión se realice en capa 2 ó 3 se puede detectar en capa 7. En el caso de ARP, configurar que el host o switch aprenda MAC’s sólo de paquetes ARP unicast. Para DNS Spoofing, utilizar certificados para comprobar fidedignamente la identidad del servidor. Denegación de servicios Estos ataques no buscan ninguna información si no a impedir que sus usuarios legítimos puedan usarlas. Un caso particular de este método es la generación masiva de conexiones a servidores http o ftp, a veces con dirección origen inexistente para que no pueda realizar un RST. Protección: en el servidor aumentar el límite de conexiones simultáneas, acelerar el proceso de desconexión tras inicio de sesión medio-abierta, limitar desde un cortafuegos el número de conexiones abiertas Sniffing Consiste en escuchar los datos que atraviesan la red, sin interferir con la conexión a la que corresponden, principalmente para obtener passwords, y/o información confidencial. Protección: basta con emplear mecanismos de autenticación y encriptación, red conmutada Hijacking Consiste en robar una conexión después de que el usuario (a suplantar) ha superado con éxito el proceso de identificación ante el sistema remoto. Para ello el intruso debe sniffear algún paquete de la conexión y averiguar las direcciones IP, los ISN y los puertos utilizados. Protección: uso de encriptación o uso de una red conmutada. Malware Programas diseñados para causar daños al hardware, software, redes... Está creado para insertar gusanos, spyware, virus, troyanos o incluso bots, intentando conseguir algún objetivo, como por ejemplo recoger información sobre el usuario de internet. Virus informático Es un malware que tiene como objetivo alterar funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador. Tienen distintos objetivos que van desde una simple broma hasta realizar daños importantes en los sistemas o bloquear las redes informáticas generando tráfico inútil. Gusano informático Es un malware que tiene la propiedad de duplicarse a sí mismo. Utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario y se propagan de ordenador a ordenador sin la ayuda de una persona. Troyano o caballo de Troya Es una pieza de software dañino disfrazado de un software muy limpio que se introduce en tu equipo sin que te des cuenta. No son cap Ad-aware Los Ad-Aware son programas que automáticamente se ejecutan descargando o mostrando publicidad web en la pc después de instalar el programa o mientras se está utilizando la aplicación. Pop-ups Un pop-up (ventana emergente) es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una página web. Suelen ser molestos porque obstruyen la vista, además que suelen utilizarse para publicidad. Spyware Es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador Dialers Son programas que se instalan en el ordenador y que llaman a números de tarifación adicional sin que el usuario lo sepa. Se suelen instalar mediante un fichero ejecutable o mediante la descarga de un control. Bugs Un bug es un error o un defecto en el software o hardware que hace que un programa funcione incorrectamente. A menudo los bugs son causados por conflictos del software cuando las aplicaciones intentan funcionar en tándem. Exploits Es el nombre con el que se identifica un programa informático malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa. El fin puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros El ataque consiste en que los hackers se hacen con una copia del software a explotar y lo someten a una batería de pruebas para detectar alguna debilidad que puedan aprovechar. Protección: correcta programación o incluir parches actualizando los servicios instalados. Spam Se llama spam, correo basura o mensaje basura a los mensajes no solicitados habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. Coockies Son una pequeña pieza de información enviada por un sitio web, las cuales son almacenadas en el navegador del usuario del sitio, de esta manera el sitio web puede consultar dicha información para notificar al sitio de la actividad previa del usuario. Su principal función es llevar un control de usuarios (cuando un usuario introduce su nombre de usuario y contraseña, se crea una cookie que almacena una combinación de computador-navegador-usuario para que no tenga que estar introduciéndolas para cada página del servidor) sin embargo a través de ellas es posible conseguir información sobre los hábitos de navegación del usuario lo que puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores Phising Es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas. Se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). Hoax (engaño, burla) Es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena. Algunos informan sobre virus desastrosos, otros contienen fórmulas para hacerse millonario o crean cadenas de la suerte como las que existen por correo postal. [https://sites.google.com/site/ticomayteylucia/seguridad-en-la-red] [http://www.criptored.upm.es/guiateoria/gt_m445d.htm] [https://sites.google.com/site/ticomayteylucia/seguridad-en-la-red/malware]