Archivo de la etiqueta: Ingeniería Social

Que nos dejo el 2010 en Seguridad Informática

2010 fue un año muy interesante en temas de seguridad informática, las tendencias pronosticadas al principio de año que mencionaban que se crearían diversos tipos de malware para atacar las redes sociales, los móviles, los diversos servicios en la nube y la vitalización de entornos se hizo realidad, a esto también se sumo la aparición de algunos virus o malware mas sofisticados que propiciaron el incremento de botnets, estos pronósticos se cumplieron en gran medida por el creciente uso de internet y las llamadas tecnologías web 2.0, se espera que para 2011 esta tendencia siga en aumento.

Hablando de México tuvimos sucesos interesantes tanto en materia legislativa como en materia técnica, haciendo un pequeño recuento de los sucesos que marcaron este 2010 recordemos que:

1.       La base de datos del Instituto Federal Electoral (IFE) se encontraba disponible a la venta al mejor postor en un conocido lugar de la ciudad de México, lo primero que nos preguntamos fue si la seguridad informática había fallado sin embargo pronto surgieron otras preguntas como  ¿El responsable del resguardo de esta información fue quién la vendió? O ¿Realmente existían mecanismos de seguridad en los sistemas que almacenaban tan importante información de los ciudadanos de este país?

2.       De igual manara pocas semanas después nos enteramos que otra base de datos se encontraba disponible a la venta, en este caso fue la información del Registro Nacional de Usuarios de Telefonía Móvil (Renaut) la cuál contiene información personal de miles de usuarios registrados en el sistema, de nueva cuenta la pregunta es ¿La seguridad de los sistemas fallo? O ¿Simplemente no existen medidas de seguridad que por lo menos compliquen el robo de tan valiosa información?

3.       México no se salvo de las botnets que afectaran miles de computadoras en el mundo, claro ejemplo de estas fueron las botnets mariposa y mehika, hablando específicamente de la primera fuimos el 4 país mas afectado en el orbe.

4.       Miles de mexicanos vieron sus cuentas bancarias comprometidas por la aparición y replicación en la web de diversos troyanos como Zeus a través redes sociales páginas web y links maliciosos.

5.       Wikileaks, fue uno de los sucesos del año y también afecto a nuestro país ya que gracias a la mas grande filtración de datos en la historia, nos enteramos que el país vecino tiene desconfianza en el ejercito mexicano y en la corrupción que se genera en México, es un suceso importante que es digno de mencionar ya que de nueva cuenta la tecnología y la seguridad informática estuvieron inmiscuidas en el asunto.

6.       Acta (Acuerdo comercial anti-falsificación): Gracias a información filtrada nos hemos dado cuenta que este acuerdo afecta a la legislación de los países  que están suscritos a el, basta mirar a España con el caso de la ley Sinde o a Francia con la ley Hadopi, a pesar de que las negociaciones con respecto a este tema están aparentemente cerradas en México, aún hay grupos que están influyendo para que se apruebe este acuerdo, este tema es muy importante ya que cambiaria la legislación mexicana en cuestión de distribución de contenidos por medios digitales lo cual afectaría a la seguridad de la información.

7.       No todo fue malo en 2010 y un gran acierto por parte de las autoridades mexicanas fue la creación de la Ley de Protección de Datos la cual entre otras cosas pretende regular el tratamiento de datos personales por parte de diversas entidades, tanto para personas físicas como para personas morales, mas información puede ser descargada de aquí.

Sin duda la tendencia de creación de malware para servicios como redes sociales y dispositivos móviles por medio de la ejecución de aplicaciones como juegos o por medio de ingeniería social mas sofisticada seguirá en aumento, además de que veremos de forma mas continúa las ciberprotestas puestas de moda desde el caso ahora famoso de wikileaks y posiblemente la ciberguerra se convierta en una completa realidad ya que podríamos ver a países declarando la guerra abiertamente a otros de manera virtual y no como hasta ahora de manera precavida y hasta oculta, por lo tanto es importante que empresas destinen mas recursos dentro de su presupuesto al área de TI o Seguridad Informática en caso de tenerla y que gobiernos pongan mas atención a su manejo de la información y a sus sistemas computacionales.

Este post originalmente lo escribí para la website de BinHex 3.0 Tecnología 3.0

Anuncios

Una Mirada a la Seguridad Informática en Campus Party México 2010.

Campus Party 2010

Campus Party nació en España en el año de 1997, la idea original de su creador fue reunir a grandes grupos de personas que tuvieran interés y pasión por la tecnología. El concepto original fue realizar la más grande Lan Party que hubiera existido hasta ese momento.

Como todo en la vida y especialmente en el campo de la tecnología, el concepto evoluciono hasta convertirse en el evento que ahora conocemos  migrando de España a otros países como Colombia, Brasil, México por mencionar algunos. El evento procura siempre tener a los mejores conferencistas del momento, presentar propuestas de tecnología actuales, realizar talleres, proporcionar a los asistentes velocidades de conexión superiores a las que normalmente usan, ser punta de lanza para encontrar o impulsar proyectos tecnológicos pero sobre todo, realizar un intercambio e interacción  de todo tipo de conocimiento entre los asistentes al evento.

De izq. a der. David Schekaiban, José Luis Aguilar, Francisco Valencia, Roberto Martínez, Gabriel Avendaño.

El evento se divide en 4 áreas principales: Cultura Digital, Ciencia, Ocio Digital, e Innovación, estas a su vez se subdividen en otras tantas y justamente en Innovación encontramos el área que nos causa mayor interés, nos referimos a Seguridad y Redes.

Este año el ciclo de conferencias y talleres para el área de Seguridad y Redes fue el siguiente:

  • Crímenes Digitales (computo forense).
  • Hacking y Ciberterrorismo.
  • Técnicas de Protección de Software “Cracking-Anticraking”.
  • Acústica Forense.
  • De Sniffer a Hydra.
  • Hacking Wireless.
  • Herramientas de Bugtracking.
  • Aplicando el Software Libre en Herramientas de Seguridad.
  • Pérdida de Datos.
  • Spoofing + Scamming + Pharming = Desastre.
  • Vulnerabilidades de Modems en México.
  • Protegiendo mis tubos del Internet.
  • Seguridad en la Plataforma FLASH.
  • Incident Response.
  • Geometría Algebraica Aplicada a la Seguridad en Telecomunicaciones.
  • Estenografía.
  • Skipfish.
  • Ingeniería Social.
  • Mesa Redonda Hackeo Ético.
  • DNSSEC ¿Que es? Y Por que lo necesitamos.
  • Reto Black Ops.
  • WarGame.

El contenido planeado para esta área fue de gran calidad y de temas diversos desde hacking hasta acciones preventivas, correctivas y programación segura para hacer los entornos informáticos más seguros.

Este año tuvimos la oportunidad de tener grandes conferencistas como Andrés

De izq. a der. Ándres Velázquez, Gabriel Avendaño, Mario Juvera.

Velázquez, Roberto Martínez, David Schekaiban, Rodolfo Baz, Marcos López,  Pedro Joaquín, Francisco Valencia, Sandino Araico, por mencionar a algunos, todos ellos experto reconocidos en diferentes campos de la seguridad informática como Hacking Ético, Computo Forense, Seguridad Wireless, Seguridad en Hardware y Software y expertos en diversas técnicas y herramientas de seguridad como lo pueden ser los test de penetración, fuzzing, criptografía y más.

Kevin Mitnik en Campus Party México 2010

Punto y aparte es de mencionar que en una de las conferencias magistrales del evento se presento uno de los hackers con más fama en el mundo, Kevin Mitnik estuvo en Campus Party  México 2010 y después de sufrir algunos percances para iniciar su conferencia (50 minutos de retraso) mostro al público  mexicano varias de sus técnicas empleadas para burlar diversos sistemas de seguridad pertenecientes a empresas y a gobiernos, basando estas técnicas especialmente en lo que se conoce como “Ingeniería Social” a lo que complemento que la ingeniería social era igual a “hackear gente”, esto hizo sentido en la cabeza de más de uno.

La conferencia genero diversos comentarios tanto buenos como malos, ya que

Kevin Mitnik en Campus Party México 2010

por parte de varios expertos en seguridad informática Mitnik es considerado un símbolo hacker, un modelo a seguir y por otros es considerado como un hablador con habilidades completamente obsoletas y que vive de la fama que pudo generar su tragicomedia en la cárcel.

Al final Mitnik se gano en general al público asistente a Campus Party México 2010 al firmar por varias horas autógrafos, aunque cabe aclarar que el mismo Mitnik aprovecho un poco esto para hacer promoción de sus libros “The Art of Intrusion” y “The Art of Deception”, sin embargo creo que se cumplio el objetivo principal de los organizadores al traer a alguien como Kevin Mitnik.

Un dato interesante y como algunos de los conferencistas lo mencionaban, era pensar que en un evento en el que participan más de 6000 personas y donde existen pláticas de seguridad informática, talleres y concursos de este tipo, no hubiera algunas o muchas personas realizando ataques hackers a los mismos asistentes al evento, a los organizadores del mismo o inclusive a empresas y por qué no gobiernos de otros países, así fue como nos enteramos que hubo dos intentos de hacking por parte de insiders, es decir gente que se encontraba en campus party México, mejor conocidos para este evento como campuseros, por otra parte se registraron 2 millones 500 mil intentos de ataques cibernéticos externos hacia campus party México, estos ataques no solo fueron originados en México, también se encontraron ataques provenientes de otros países como China, Estados Unidos, Canadá, Brasil y Rusia.

Entre los Ataques cibernéticos que más se usaron fueron los siguientes:

  • Malware.
  • Ataques de fuerza bruta.
  • Spam.
  • Ataques dirigidos a http.
  • Spyware.

Mesa Redonda Ethical Hacking

Por lo anteriormente mencionado la red que se diseño para campus party México 2010, soporta el servicio Ovni (servicio soportado por la infraestructura de Movistar), que es el que distribuye todas las comunicaciones que se generan dentro del evento, en conjunto con este sistema se implementaron cinco zonas de seguridad que ayudaron a analizar todo el tráfico entrante y saliente a la red, desde donde se podía determinar el tipo de ataque y el lugar de origen de este.

Como conclusión podemos mencionar que la seguridad informática es un tema que hoy en día preocupa tanto al sector público como al sector privado, por lo tanto es de suma importancia que en eventos de este tipo se siga generando conocimiento y material de gran ayuda e importancia tanto para las personas interesadas en el  tema como para los expertos de seguridad informática, de esta forma se podrán seguir tendencias mundiales para combatir el ahora famoso cibercrimen y sobre todo para generar una cultura de seguridad informática en México.

Este Post originalmente lo escribí para el boletín mensual de Auditoria y Seguridad Informática, de quienes recibí la invitación a escribir ocacionalmente  para su página.Si quieres leer los boletines o suscribirte da clic aquí.

Ingeniería Social “Campus Party México 2010”

David Schekaivan @codigoverde

David Schekaivan @codigoverde

Esta conferencia fue impartida por mi buen amigo David Schekaivan (@codigoverde) quien comenzó definiendo que la Ingeniería Social es la manera de convencer a una persona de realizar alguna acción como tener acceso a cierta información de manera directa o indirecta, trabajando con la psicología de esta, en otras palabras ingeniería social es: “Hackear a una Persona”.

La ingeniería social puede tener implicaciones muy graves ya que al obtener datos sensitivos el atacante puede realizar por ejemplo un robo de identidad por medio de la obtención de números de seguros sociales, nombres, direcciones, números de tarjetas de seguridad etc. provocando diversos ataques como “clonación de tarjetas venta de bases de datos, extorsión telefónica” por mencionar algunos.

David menciono que la interacción social es la principal herramienta para practicar la ingeniería social, esto se pude dar mucho en lugares con grandes  conglomeraciones de personas como la misma campus party o por medio de páginas webs que solicitan todo tipo de datos y que en realidad no sabemos qué tan buenas intenciones tienen “x o y empresa o sitio web” por mencionar algunos ejemplos.

Un punto importante que se menciono fue el manejo de datos que las empresas particulares o gubernamentales le dan a toda la información que recaban en diferentes lugares y se busco realizar una concientización a los asistentes acerca de cuidar a quien y bajo qué circunstancias debemos de confiar y dar nuestros datos, desde mi punto de vista particular este tema se verá beneficiado y robustecido con la ley de protección de datos.

Algunos de los sentimientos que la ingeniería social ataca son los siguientes:

  • Confianza.
  • Atracción.
  • Reciprocidad.

Al final de la conferencia David indico algunos esquemas de pensamiento que deberían de tener las personas tanto en las empresas como en su vida cotidiana, así que para evitar ser víctimas de la ingeniería social debemos de seguir 3 pasos importantes la repetición que es indicar enseñar a las personas políticas de seguridad,  lineamientos, buenos hábitos al navegar por Internet o platicar con otras personas, consecuencias que serian las acciones correctivas en caso de no cumplir con los lineamientos establecidos de seguridad y recompensa ya que se debe de incentivar al empleado a realizar y seguir las normas establecidas.

Aqui el video completo de la conferencia: http://tv.campus-party.org/player-mexico.php?v=TL9ipoBAeUU

Este post originalmente lo escribí para Mexico Alternativo aquí el link ( http://alternativo.mx/category/tecnologia/campus-party-mexico-2010/) de todos los post que se generaron de Campus Party México 2010 en México Alternatvo.