los mitos de la ciberseguridad

Los Mitos de la Ciberseguridad

Mito: QM

F

ETL

Algo/alguien de muy alta estima

Falsedad

Algo no totalmente cierto, que sin embargo puede producir algo bueno

1980Comienza la preocupación por la Seguridad Informática

1990Se perciben los riesgos de la interconexión de Ordenadores

1995Internet !!2000Verdaderos

Fraudes

1985Aparecen Virus

Mito: Fraude del Salami

1980

Comienza la preocupación por la Seguridad Informática

La amenaza se ve internaNace “Auditoría Informática”… pero no “Seguridad Informática”

Transición:de Facturadoras a Computadoras

+

Mito: Fraude del SalamiTécnica del Salami:

-Redondeo de céntimos en operaciones financieras

-Acumulación de los restos en una cuenta del defraudador

Nunca se llegó a saber exactamente quién lo pudo cometer, dónde y cuando.Pero duramente mucho tiempo funcionó…

Mientras tanto…

“Pepe el del Popular” era quien de verdad se llevaba el dinero…

Con rodajas de Salami más gruesas y sin usar ordenadores.

Mito: Fraude del Salami

No hay pantalla !!

Es un rollo de papel térmico

Consola de “parches”1 fila diales: dirección Hex2 fila diales: contenido Hex…

Curiosidades de la época…

Input masivo

Primeros sistemas de Banca On Line (mainframe con sucursales)

No existía el concepto “autenticación de usuario”Los derechos de acceso los suministraban unas llaves físicas en el terminalLas de “supervisor”… acababan siempre puestas

Curiosidades de la época…

Curiosidades de la época…

Arqueología InformáticaTeclas:•Modificadora•Activadora

Mito: Fraude del Salami

1980

Comienza la preocupación por la Seguridad Informática

La amenaza se ve internaNace “Auditoría Informática”… pero no “Seguridad Informática”

1990

Empieza a ser frecuente la aparición de áreas de “Seguridad Informática”

Mito: El huevo del Cuco

Se perciben los riesgos de la interconexión de Ordenadores

Mito: El huevo del cuco

El libro “El huevo del cuco” de Cliff Stoll (1989) se convirtió en el libro de cabecera para muchos profesionales… o en trance de serlo.En realidad las aún escasas conexiones que había eran privadas, en sistemas cerrados: • Conexiones punto a

punto• Red X-25• …

Sin embargo el temor a los peligros de las conexiones se extendía.

Mito: El huevo del cuco

La incipiente amenaza sólo era percibida por los profesionales implicados…

… y el auténtico Mito era la propia existencia de una Seguridad Informática…

Eso dio lugar a la variante de Seguridad Informática :“Seguridad del Libro Gordo”

Mito: Fraude del Salami

1980

Comienza la preocupación por la Seguridad Informática

La amenaza se ve internaNace “Auditoría Informática”… pero no “Seguridad Informática”

1990

Empieza a ser frecuente la aparición de áreas de “Seguridad Informática”

Mito: El huevo del Cuco

Se perciben los riesgos de la interconexión de Ordenadores

1995Internet !!

Mito:Hay que comprar y poner de todo !!

Pánico al riesgo reputacionalComienzan inversiones y dotación de recursos

La llegada de Internet ha sido el verdadero Big Bang

“La inseguridad de Internet ha sido el verdadero motor de la Seguridad Informática”

Horizontal: grado de sofisticación y daño potencial de los ataques informáticosVertical: conocimiento necesario para llevarlos a cabo

Nunca fue tan fácil realizar ataques, cada vez más sofisticados

Mito: Hay que comprar y poner de todo !!

La acumulación de dispositivos produce una sensación de falsa seguridad y es contraproducente

Firewall 1

IPS

LAN Control

Anti Virus 2

Anti Virus 1

IDS Open Source

IDS de PagoAnti

SPAM

Firewall 2Mainfra

me

Unificaciónde Contraseñas

Mito: Hay que comprar y poner de todo !!Un ejemplo real:

LAN Manager

Emul 3270

Emul 3270

Emul 3270

Mainframe

RACF

3270

Mito: Hay que comprar y poner de todo !!Consecuencia:

RACF

LAN Manager

=•Solido•Fiable•Muy probado

•Especialmente débil•Max 14 caracteres•Cifrado en bloques de 7•Autocompletado con constante

Crackeado trivial

“… una contraseña de 8 caracteres bien construída es muy difícil de romper... “Dijo el Jefe de Explotación de Mainframe

Mito: Fraude del Salami

1980

Comienza la preocupación por la Seguridad Informática

La amenaza se ve internaNace “Auditoría Informática”… pero no “Seguridad Informática”

1990

Empieza a ser frecuente la aparición de áreas de “Seguridad Informática”

Mito: El huevo del Cuco

Se perciben los riesgos de la interconexión de Ordenadores

1995Internet !!

Mito:Hay que comprar y poner de todo !!

Pánico al riesgo reputacionalComienzan inversiones y dotación de recursos

2000Verdaderos Fraudes

Los Hackers dejan de serpersonajes románticos

Mito:Ponerlo todo difícil

Aparecen los verdaderos FRAUDES… pero no donde se podía esperar…

El verdadero punto débil es el Usuario

Un ejemplo real, uno de los primeros casos de Phishing

Un ejemplo real, uno de los primeros casos de Phishing

Unos 200 usuarios introdujeron la contraseña en la web falsa

… de los cuales 75 rellenaron las 100 posiciones de la tarjeta de claves

“Cada minuto nace un nuevo incauto”Phineas Taylor Barnum – Empresario Circense, artista del engaño

Cada año se siguen recibiendo decenas de solicitud de patente para dispositivos de movimiento perpetuo.

…a pesar de que incluso Homer Simpson ya advirtió sobre ello:

Lisa, en esta casa se respetan las leyes de la termodinámica !

Sin embargo… la reflexión de un Hacker:

“Inducís a la gente a usar la tecnología, pero no les advertís de los riesgos que corren”

Mito: Ponerlo todo difícil

Contraseñas complicadas Imposible recordar todas las que se tienen que utilizar… se apuntan

Cambio frecuente de contraseñas“… no te diré la contraseña que tienes ahora, te diré la que tendrás el mes que viene…”Nunca se instruye al usuarioExisten formas relativamente sencillas de construir contraseñas sólidas y fáciles de recordar. Nadie lo facilitaLa sofisticación técnica no evitará la negligenciaJuicio por fraude de un Administrador, intentando endosar responsabilidad al banco “por no usar sistemas más avanzados”

Probablemente haya, al menos, dos mundos en la Seguridad Informática:

Mundo técnico: “Seguridad de la vaca esférica”

Mundo ordinario:Fraude

•Man in the middle•Rotura de claves cifradas•Ciberguerra•Espionaje•…

•Phishing•Falsos premios•Falsos créditos•Falsas ofertas de trabajo•…

Y se da la paradoja:

Y se da la paradoja:

#mundohackerday

Viaje a USA en 2001 para contrastar experiencias con un Banco Americano:-¿Qué han hecho cuando han tenido algún incidente de seguridad?-Nunca hemos tenido un incidente de seguridad-…pero ¿qué harían si lo tuvieran?-Decir que nunca hemos tenido un incidente de seguridad

Muchas gracias

Javier Valdés QuirósCOO Logtrustjavier.valdes@logtrust.com