promover la seguridad c omo un cambio de comportamiento

Promover la seguridad c

de comportamiento

Autor: Lic. Ana Cecilia Garçon Consultor Senior CYBSEC Security Systems Fecha: 22 de enero de 2014

Promover la seguridad como un cambio

de comportamiento cultural

omo un cambio

cultural

Promover la seguridad como un cambio de comportamiento cultural

2

Índice Introducción .................................................................................................................................................. 3

Seguridad On Line en el Hogar ...................................................................................................................... 4

Tan pronto como sucede… lo encontramos o lo posteamos On Line .......................................................... 8

Prevenir el Robo de Identidad .................................................................................................................... 10

Prevención de Software Malicioso ............................................................................................................. 12

Conclusiones ............................................................................................................................................... 15

Referencias .................................................................................................................................................. 15

Acerca del autor .......................................................................................................................................... 16


3

Introducción Los riesgos y peligros son realmente muchos y de envergadura cuando éstos se materializan, en los casos que no podamos prevenirnos o mitigarlos. La utilidad de la tecnología, hoy en día, es valorada fuertemente en diferentes entornos de trabajo, amigos, familia, y en distintos estratos sociales. Nuestra vida diaria como empleados en nuestro trabajo, pacientes de un instituto médico, alumnos de una facultad, usuarios de servicios web, usuarios de equipos electrónicos en nuestros hogares, entre otros, nos hace cada vez más partícipes de la tecnología en todos los ámbitos en los cuales hoy interactuamos. El pensamiento de la seguridad como un cambio cultural, origina la educación continua sobre cómo llevar adelante actividades con más atención y mejor control. Se caracteriza también por la necesidad de progresar que tenemos como sociedad y que puede inculcarse a nuevas y anteriores generaciones de personas, donde para realizarlo sólo es necesario nuestro esfuerzo y compromiso como individuos inmersos en una sociedad sedienta de calidad en procesos administrativos, humanos, gubernamentales, financieros, entre otros. Se deja ver claramente, a la seguridad como un objetivo también de calidad. La Cultura de Seguridad, por consiguiente, encierra actitudes y valores de las personas y de la sociedad en la que vivimos. Mucho lograremos, si el cambio lo empezamos poco a poco en el cumplimiento de nuestros derechos y obligaciones, en nuestro trabajo, en la facultad, con nuestros vecinos, de modo tal que desde el lugar que ocupamos, fomentemos la mejora continúa de lo que la seguridad representa en nuestras vidas. A continuación se describen algunas de las tantas situaciones, en las que es recomendable incursionar en la seguridad, respecto de un cambio de comportamiento cultural en distintos ámbitos en los que regularmente nos desenvolvemos como personas.


4

Seguridad On Line en el Hogar Ayer, hoy y siempre, nuestro hogar, y nuestra familia, forman el núcleo de la sociedad en la que vivimos; es por ello que debemos, cada vez más, preservar a los integrantes de nuestras familias y a nosotros mismos de los distintos riesgos y amenazas que pueden presentarse en el uso de Internet en el hogar.


5

Cierto es que el uso de Internet y nuevas tecnologías, ya es cotidiano en el día, trayendo aparejado beneficios y riesgos a considerar,

Beneficios

Riesgos

• Efectuar transacciones de negocios desde

el hogar • Online Banking • Pago de impuestos y servicios • Compras on line • Acceso a Redes Sociales (Facebook,

Twitter, LinkedIn, Flicker, otros) • Download de información (Ej. música,

libros, otros) • Acceso a bases de conocimiento (Ej.

Wikipedia)

• Presencia de software malicioso • Existencia de SPAM • Spyware • Fraudes • Acceso a contenido inapropiado • Sitios maliciosos • Acciones que denoten el no cumplimiento

de la legislación vigente

Realmente los beneficios que hoy en día proporciona el uso de Internet desde el hogar, es claro y diligente, minimiza nuestros tiempos en transacciones, aporta conocimientos, asiste a nuestros hijos en sus estudios, entre otros. Hoy, correos electrónicos, sitios de pago electrónicos, chats, foros, blogs, fotologs, redes sociales, otros, forman parte del mundo virtual dentro de nuestro mundo físico, y nos exponen a riesgos, si no se toman los recaudos adecuados; por lo que debemos protegernos de, por ejemplo: SPAM, Phishing, Spyware. Además de operar cautelosamente en, casos tales como, transacciones que involucren Comercio Electrónico, Banca Electrónica. Respecto de los riesgos que pueden presentarse en Internet son realmente muchos y variados entre sí. Comentamos alguno de ellos a continuación, SPAM Se trata de un correo comercial o informativo, con información no deseada, es decir que son mensajes que pueden contener ofertas de productos o servicios no solicitados o fraudulentos, que llegan a nuestras casillas de correo y su objetivo es robar dinero o adquirir datos confidenciales. Phishing Engaño cibernético que busca conseguir datos confidenciales, como por ejemplo: claves de acceso, números de tarjetas de pago (crédito o débito), información de cuentas bancarias, datos personales. Los mecanismos más empleados son, correos electrónicos falsos y sitios web fraudulentos. Spyware Son aplicaciones informáticas instaladas en la computadora sin nuestro consentimiento, que recopilan información sobre hábitos de navegación en Internet, preferencias, y gustos. Los datos recogidos son transmitidos a los propios fabricantes o a terceros, por ejemplo empresas de publicidad en Internet.


6

Fraudes, distintos tipos Las conductas asociadas a este tipo de acciones en Internet, consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas. La mayor parte de los fraudes pasan desapercibidos frente a nuestros ojos, siendo éste su objetivo. Algunos pueden ser:

Fraudes en Subastas, Luego de enviar el dinero en que se ha adjudicado la subasta, se recibe un producto cuyas características no se corresponden con las prometidas, e incluso un producto que no tiene ningún valor. Estafas de Proveedores de Servicios de Internet, Clientes poco expertos suscriben contratos on-line sin haber leído las cláusulas, por lo que pueden encontrarse supeditados a un contrato de larga duración del que no pueden salir si no es pagando fuertes penalizaciones por rescisión anticipada. Estafas mediante Tarjetas de Pago (crédito y débito), Obtención y grabación de los datos de la banda magnética para su posterior utilización, ya sea a través de una nueva tarjeta o utilizando los datos en compras realizadas a través de Internet. Oportunidades de Negocio y Estafas del tipo "Trabaje desde su propia casa" Se ofrece la oportunidad de trabajar desde el hogar y ser su propio jefe enseñando unos planes de ingresos muy elevados; para empezar es necesario invertir en la compra de alguna maquinaria o productos que jamás tienen salida. Planes de Inversión para hacerse rico rápidamente, Promesas de rentabilidades muy altas y predicciones financieras con seguridad absoluta sobre extraños mercados suelen encubrir operaciones fraudulentas. Fraudes en viajes o paquetes vacacionales, Consiste en vender viajes y alojamientos de una calidad superior al servicio que realmente le prestarán en su destino, y también pueden cargarle importes por conceptos que no se habían contratado. Fraudes en recomendaciones sanitarias, Recetas milagrosas para curar cualquier enfermedad se encuentran frecuentemente en la Red, la mayoría de ellas sin ningún respaldo médico o control de autoridades sanitarias, por lo que aparte de ser una estafa, ya que no producen los resultados prometidos, pueden incluso suponer un riesgo adicional para la salud del enfermo.

Muchas formas de prevenir este tipo de riesgos existen, algunas son las siguientes:

• No abrir archivos adjuntos en e-mails provenientes de remitentes desconocidos o no esperados. • No contestar automáticamente e-mails que soliciten información personal o financiera. • Al recibir un correo de alguna entidad (ej. bancos, institutos), y no reconocerlo como cierto, no

responder y contactar directamente a la entidad involucrada. • No ingresar a sitios enviados por remitentes desconocidos o sospechosos. • Evitar enlaces y aplicaciones web sospechosas. • Mantener el equipo (Ej. notebook, pc) conectado a Internet actualizado de parches de seguridad. • Ajustar las opciones de privacidad, términos y condiciones en sitios web. • Considerar que la información eliminada en Internet no se borra definitivamente. • Efectuar suscripciones en redes sociales, foros, otros, sólo si se utilizarán.


7

• Revisar periódicamente cuentas bancarias y resúmenes de tarjetas de pago. • No difundir nuestros datos personales, sin saber ciertamente su destino y motivo de recolección.


8

Tan pronto como sucede… lo

encontramos o lo posteamos On Line Encontramos muy interesante y, quizás de ayuda, saber todo lo que sucede, relacionado a nuestros amigos, noticias en general, personajes populares, valiéndonos de redes sociales, foros, salas de chat, otros. Y de la misma manera que nos interesa saber sobre otros acontecimientos, hacemos saber nuestras actividades y movimientos de nuestro día a día. Así nuestra propia vida y la del resto de las personas que nos rodean, está On Line en la red. No nos preguntamos, lamentablemente, ¿para qué?, ¿por qué?, ¿quién lo verá?, ¿qué se hará con la información?, ¿con quién se compartirá?, entre otras preguntas, tan válidas en la vida física como en la vida digital. Seguros y convencidos estamos en que no utilizaremos un megáfono en la equina de nuestra casa, para comunicar a quien pase por allí, qué o cuáles actividades realizamos a diario en nuestras vidas, entonces, debiéramos preguntarnos ¿cuál es la necesidad de hacerlo On Line, y casi sin preservar nuestra privacidad e intimidad?


9

A continuación algunas sugerencias y tips para pensar y poner en práctica,

Prestar atención a lo que posteamos y subimos en redes sociales, foros, chats, otros,

Considerar cuidadosamente imágenes, videos, comentarios. Las redes sociales, foros, salas de chat, otros, son espacios públicos, al igual que lo es el barrio o ciudad donde vivimos. Los espacios públicos de la vida física se caracterizan, por ejemplo, por ser lugares donde las personas circulan libremente, no todas las personas se conocen entre sí, ni tienen lazos de “amistad”. Ésto mismo sucede en la vida virtual. Será importante, entonces, evitar publicar información sensible, usar un pseudónimo en lugar de nuestros verdaderos nombres, entre otras sugerencias. Elegir nuestros “amigos” en entornos sociales en la red de manera cuidadosa, Verificar todos nuestros contactos y no aceptar solicitudes de amistad de personas que no conocemos. Siempre es buena elección saber quiénes son nuestros contactos más allegados, con quienes compartiremos imágenes, videos y comentarios. Proteger el ambiente laboral y evitar riesgos en la reputación, Es altamente recomendable no utilizar en redes sociales, o salas de chats, las direcciones de correo electrónicos laborales, utilizar en su defecto direcciones de correo de web mails gratuitos (Ej. Yahoo, Hotmail, GMail). Se adiciona como sugerencia no mezclar contactos personales con los laborales. Se recomienda fuertemente guardar respeto por el lugar donde trabajamos y con quiénes forman nuestros equipos de trabajo. Proteger el dispositivo móvil (smartphone, tablet, otros) y la información que allí se encuentra de cualquier tipo de intrusión, Las recomendaciones en general, consisten en no permitir que otros puedan ver información personal contenida en el equipo sin el consentimiento del dueño del mismo. Incluso no es recomendable dejar el equipo de forma desatendida. No guardar claves de acceso en los equipos móviles, y conocer bien las configuraciones de seguridad. Respetar la privacidad de otras personas, Ser consciente y respetar aquello que publicamos de otras personas en sitios públicos como Internet. No causar ofensas y obrar de acuerdo al sentido común y buenas costumbres. Mantenernos informados, Tomar la responsabilidad por leer términos, y condiciones de los sitios donde ingresamos y efectuamos transacciones o exponemos nuestras opiniones. Proteger nuestra privacidad haciendo uso de la configuración de privacidad de los sitios web a los que accedemos.


10

Prevenir el Robo de Identidad El Robo de Identidad es considerado, en los últimos tiempos, el delito de más rápido crecimiento en el mundo. Hasta no hace mucho, cuando un ladrón robaba una billetera o porta documentos, el dinero era lo único que pretendía. Hoy en día, lo más valioso son datos de identificación, como el DNI o el Pasaporte, datos de pago, como tarjetas de pago (crédito o débito), cheques y cualquier otro documento que contenga datos personales. Diariamente y por nuestras actividades divulgamos este tipo de información al hacer transacciones en persona, por teléfono y On Line para efectuar la compra de productos y servicios. Debemos estar muy atentos respecto de a quién le facilitamos la misma y por cuáles motivos.


11

Una persona puede utilizar nuestra identidad, para pretender que somos nosotros y cometer fraudes u otro tipo de crímenes en nuestro nombre. Una persona que roba nuestra identidad podría, por ejemplo:

• Solicitar una tarjeta de crédito • Abrir una cuenta bancaria • Contratar un servicio • Hacer uso de derechos o privilegios en nuestro nombre

Algunos Riesgos según el medio que se esté utilizando para usurpar nuestra identidad,

Correo postal Una persona puede robar la identidad, obteniendo información personal del correo postal. También obteniendo información sobre cuentas bancarias y ofertas respecto de tarjetas de pago y luego solicitarlas en otras direcciones.

Phishing, los e-mails son muy creativos Utilizar un correo electrónico para enviar información o datos fraudulentos para obtener en respuesta información personal o financiera. Otra característica que puede tener el correo electrónico es solicitar información sobre identificación bancaria, PIN o cambio de clave de home banking, entre otros.

Software malicioso Muchos tipos de software malicioso pueden instalarse en nuestros equipos informáticos para recabar información personal de quienes los usan. Algunos de ellos monitorean lo que el usuario tipea en el equipo, sitios a los que accede, otros.

Secuestros en ATMs Alguien malintencionado puede colocar diferentes dispositivos en los lectores de tarjetas de los cajeros automáticos con el fin de leer información de la banda magnética de una tarjeta de pago (crédito o débito). También pueden instalar cámaras con las cuales ver a las personas que se acercan a realizar una transacción, y observar las claves de acceso o PINs.

Dadas estas situaciones, que son posibles diariamente, las siguientes recomendaciones pueden ayudarnos a protegernos o mitigar estos riesgos,

• No dejar sin atención nuestras pertenencias en lugares públicos, como portafolios, billeteras, notebooks, tablets, smartphones.

• Dejar en nuestra casa aquellas identificaciones o documentos que no utilizaremos, por ejemplo tarjetas de pago, pasaportes.

• Chequear las opciones de seguridad y privacidad del sitio web que solicitan información personal o información sobre tarjetas de pago.

• No suministrar claves de acceso a extraños que deseen ayudarnos en cajeros automáticos. • Evitar completar con información personal, formularios en la vía pública o sitios web para los

cuales no conozcamos su objetivo.


12

Prevención de Software Malicioso El Software Malicioso, o también llamado Malware por sus siglas en inglés, MALicious SoftWARE, es un programa hostil e intrusivo diseñado para insertarse él mismo en nuestros equipos informáticos sin nuestra autorización.


13

Los propósitos que tiene el Malware van desde funciones simples sobre el equipo del usuario, hasta funciones sofisticadas afectando el equipo informático. Estos objetivos están estrictamente relacionados con la persona que diseña cada malware; algunos lo hacen por simple ocio, mientras que la gran mayoría lo hace en pos de un beneficio económico. Algunos propósitos destacados, se indican a continuación,

• Recolección de información personal, para venderla a otras compañías • Uso de recursos del equipo informático de manera remota • Dañar la infraestructura del sistema operativo del equipo informático y las aplicaciones instaladas

Y las vías de infección principalmente son:

• Redes Sociales • Fotos, Salas de Chat • Sitios Web fraudulentos, o legítimos e infectados • Correos electrónicos no solicitados (SPAM) • Dispositivos USB/CDs/DVDs infectados

Existen diferentes tipos de Software Malicioso, entre ellos se mencionan,

Virus Informáticos Son programas maliciosos que “infectan” a otros archivos del sistema con la intención de modificarlo o dañarlo. Dicha infección consiste en incrustar su código malicioso en el interior del archivo “víctima” (normalmente un ejecutable) de forma que a partir de ese momento dicho ejecutable pasa a ser portador del virus y por tanto, una nueva fuente de infección. Troyano Se trata de un programa generalmente alojado dentro de otra aplicación (un archivo) normal. Su objetivo es pasar inadvertido al usuario e instalarse en el sistema cuando se ejecuta el archivo "huésped". Luego de instalarse, pueden realizar las más diversas tareas, ocultas al usuario. Algunos troyanos, los menos, simulan realizar una función útil al usuario a la vez que también realizan la acción dañina. La similitud con el "Caballo de Troya" de los griegos es evidente y debido a esa característica recibieron su nombre. Gusano Se trata de un programa desarrollado para reproducirse por algún medio de comunicación como el correo electrónico (el más común), mensajería instantánea. Su objetivo es llegar a la mayor cantidad de usuarios posible y lograr distribuir otros tipos de códigos maliciosos. Estos últimos serán los encargados de llevar a cabo el engaño, robo o estafa. Otro objetivo muy común de los gusanos es realizar ataques contra sitios webs específicos, produciendo que éstos dejen de funcionar por saturación. Keylogger Derivado del inglés: key (tecla) y logger (registrador); registrador de teclas, es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente almacenarlas en un archivo y enviarlas a través de internet. Adware Se trata de un software que despliega publicidad de distintos productos o servicios. Estas aplicaciones muestran la publicidad en ventanas emergentes, o a través de una barra que


14

aparece en la pantalla simulando ofrecer distintos servicios útiles para el usuario. Generalmente, agregan íconos gráficos en las barras de herramientas de los navegadores de Internet o en los clientes de correo, las cuales tienen palabras claves predefinidas para que el usuario llegue a sitios con publicidad, sea lo que sea que esté buscando.

Será importante que para mitigar este tipo de riesgos, se tomen precauciones:

• Usar contraseñas fuertes, concepto que implica el uso de números, letras mayúsculas y minúsculas, caracteres especiales (Ej. %, $, @, /) en su formación, y no deben encontrarse en

un diccionario. • Mantener un antivirus actualizado y parches de seguridad aplicados en el equipo informático que

utilicemos. • No ingresar a vínculos de sitios web que no parezcan confiables. • Analizar con un antivirus los archivos adjuntos a los correos electrónicos, previo a abrirlos. • Tratar de no acceder a sitios donde es posible efectuar transacciones sensibles, como el caso de

las transacciones bancarias, desde computadoras públicas, por ejemplo las ubicadas en Cibercafés; estos equipos suelen no ser lo suficientemente mantenidos de manera segura.

• Se sugiere también realizar revisiones periódicas en los equipos con un antivirus actualizado. • Si alguno de nuestros contactos se encuentra enviando mensajes, archivos o enlaces

sospechosos, ya sea por mensaje instantáneo, correo electrónico u otra manera, se recomienda no abrirlos y darle aviso para ponerlo en conocimiento.


15

Conclusiones Lo anterior expuesto son sólo algunas de las diversas situaciones con las que convivimos diariamente, a veces sin poner demasiada atención y otras veces no sabiendo cómo actuar cuando alguna de ellas se manifiesta. Podemos concluir entonces, que es fuertemente nuestra responsabilidad el uso de las nuevas tecnologías que hoy se nos ofrecen para satisfacer las actividades diarias, entre otras cosas. No menor es el compromiso, que como personas debemos asumir para ser pacientes y colaborar con respeto y también con cautela en los distintos entornos donde interactuamos. Utilicemos el sentido común, para cuidar a nuestras familias en el uso responsable de los recursos tecnológicos. Debemos aprender a convivir con las nuevas tecnologías y no denegar su uso, ya que no es la manera de evitar riesgos y amenazas; esta convivencia se basa en por ejemplo, mejorar o agregar controles en nuestro trabajo, en educar a nuestros hijos en el hogar, en no tomar acciones inconsultas sino acercarnos a las entidades e instituciones a disipar dudas y solicitar explicaciones. La educación respecto del uso de las nuevas tecnologías es sustantiva, a los efectos de lograr muy buenos resultados en materia de seguridad. Propiciemos el uso seguro de las tecnologías con nuestros actos, para lograr un cambio cultural integrador.

Referencias http://www.enisa.europa.eu/ http://www.identidadrobada.com/ https://www.argentinacibersegura.org/


16

Acerca del autor Lic. Ana Cecilia Garçon CYBSEC Security Systems Tel. (+5411) 4371-4444 [email protected] www.cybsec.com Es Licenciada en Análisis de Sistemas recibida en la Universidad de Buenos Aires y posee el posgrado en Seguridad de la Información de la Universidad del Salvador. Como consultora, se ha especializado en la elaboración de Políticas y Normas, el Asesoramiento y Consultoría especializada y la Capacitación. Posee experiencia en Auditoría SOX y Certificación de Sistemas. Como instructora, ha dictado clases en la materia Implantación de Sistemas - Módulo Seguridad y Auditoría de Sistemas en la Facultad de Ingeniería de la UBA.

promover la seguridad c omo un cambio de comportamiento

Documents