seguridad web
TRANSCRIPT
RAMIRO RUEDA P
SEGURIDAD EN EL USO DE
SERVICIOS DE INTERNET
WORLD WIDE WEB
En informática, la World Wide Web (WWW) o Red informática
mundial1 comúnmente conocida como la web, es un sistema de
distribución de documentos de hipertexto o hipermedios
interconectados y accesibles vía Internet.
Con un navegador web, un usuario visualiza sitios web
compuestos de páginas web que pueden
contener texto, imágenes, vídeos u otros contenidos multimedia, y
navega a través de esas páginas usando hiperenlaces.
Antiguo logo de WWW diseñado
Por Robert Cailli
HISTORIA
La web se desarrolló entre marzo de 1989 y diciembre de 1990 2 3 por el inglés Tim Berners
Lee con la ayuda del belga Robert Cailliau mientras trabajaban en el CERN en Ginebra
publicado en 1992. Desde entonces, Berners-Lee ha jugado un papel activo guiando el
desarrollo de estándares Web (como los lenguajes de marcado con los que se crean las
páginas web), y en los últimos años ha abogado por su visión de una Web semántica
Utilizando los conceptos de sus anteriores sistemas de hipertexto como ENQUIRE, el ingeniero
británico Tim Berners-Lee, un científico de la computación y en ese tiempo de los empleados del
CERN, ahora director del World Wide Web Consortium (W3C), escribió una propuesta en marzo
de 1989 con lo que se convertiría en la World Wide web.4
la propuesta de 1989 fue destinada a un sistema de comunicación CERN pero Berners
finalmente se dio cuenta que el concepto podría aplicarse en todo el mundo.5 En la CERN, la
organización europea de investigación cerca de Ginebra, en la frontera
entre Francia y Suiza,6 Berners-Lee y el científico de la computación belga Robert Cailliau
propusieron en 1990 utilizar de hipertexto "para vincular y acceder a información de diversos
tipos como una red de nodos en los que el usuario puede navegar a voluntad",7 y Berners
terminó el primer sitio web en diciembre de ese año.8
Berners-Lee publicó el proyecto en el grupo de noticias alt.hypertext el 7 de agosto de 1991.
FUNCIONAMIENTO DE LA WEB
El primer paso consiste en traducir la parte nombre del servidor de la URL en
una dirección IP usando la base de datos distribuida de Internet conocida como DNS
Esta dirección IP es necesaria para contactar con el servidor web y poder
enviarle paquetes de datos.
El siguiente paso es enviar una petición HTTP al servidor Web solicitando el recurso.
En el caso de una página web típica, primero se solicita el texto HTML y luego es
inmediatamente analizado por el navegador, el cual, después, hace peticiones
adicionales para los gráficos y otros ficheros que formen parte de la página.
Las estadísticas de popularidad de un sitio web normalmente están basadas en el
número de páginas vistas o las peticiones de servidor asociadas, o peticiones de
fichero, que tienen lugar.
Al recibir los ficheros solicitados desde el servidor web, el navegador renderiza la
página tal y como se describe en el código HTML, el CSS y otros lenguajes web.
Al final se incorporan las imágenes y otros recursos para producir la página que ve el
usuario en su pantalla.
•el Identificador de Recurso Uniforme (URI), que es un sistema universal
para referenciar recursos en la Web, como páginas web,
•el Protocolo de Transferencia de Hipertexto (HTTP), que especifica cómo
se comunican el navegador y el servidor entre ellos,
•el Lenguaje de Marcado de Hipertexto (HTML), usado para definir la
estructura y contenido de documentos de hipertexto,
•el Lenguaje de Marcado Extensible (XML), usado para describir la
estructura de los documentos de texto.
Berners Lee dirige desde 2007 el World Wide Web Consortium (W3C), el
cual desarrolla y mantiene esos y otros estándares que permiten a los
ordenadores de la Web almacenar y comunicar efectivamente diferentes
formas de información.
LUCHA CONTRA EL SPAM
¿QUÉ ES EL SPAM?
Actualmente se denomina Spam o “correo basura” a todo tipo de comunicación no solicitada, realizada por vía electrónica.
De este modo se entiende por Spam cualquier mensaje no solicitado y que normalmente tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa.
Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es mediante el correo electrónico. Esta conducta es particularmente grave cuando se realiza en forma masiva.
El envío de mensajes comerciales sin el consentimiento previo está prohibido por la proyecto de ley no. 142/04 "por medio de la cual se regula
-FORMAS DE SPAM-
Correo electrónicoDebido a la facilidad, rapidez y capacidad en las transmisiones de datos, la recepción de comunicaciones comerciales a través de este servicio de la sociedad de la información es la más usual, y el medio por el que los spammersenvían más publicidad no deseada. -Spam por ventanas emergentes (Pop ups) Se trata de enviar un mensaje no solicitado que emerge cuando nos conectamos a Internet. Aparece en forma de una ventana de diálogo y advertencia del sistema Windows titulado "servicio de visualización de los mensajes". Su contenido es variable, pero generalmente se trata de un mensaje de carácter publicitario.
Para ello se utiliza una funcionalidad del sistema de explotación Windows, disponible sobre las versiones Windows NT4, 2000, y XP y que permite a un administrador de redes enviar mensajes a otros puestos de la red. La solución más sencilla para evitar estas ventanas emergentes consiste
indiscriminadamente correos mediante Spam para que se acceda a esta página con el fin de actualizar los datos de acceso al banco, como contraseñas, fechas de caducidad, etc.
HoaxEl hoax es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena. Algunos hoax informan sobre virus, otros invocan a la solidaridad, o contienen fórmulas para ganar millones o crean cadenas de la suerte. Los objetivos que persigue quien inicia un hoax son normalmente captar direcciones de correo o saturar la red o los servidores de correo.
Scam El Scam no tiene carácter de comunicación comercial. Este tipo de comunicación no deseada implica un fraude por medios telemáticos, bien vía teléfono móvil o por correo electrónico.
Spam en el móvil Además de las comunicaciones del operador de telefonía mediante mensajes de texto (SMS- Short Message Services), o mensajes multimedia (MMS
registrar la identidad de una persona en Internet y suele servir de base para la acumulación de información en torno a la misma. En muchas ocasiones contiene información acerca de la persona como el apellido, la empresa donde trabaja o el país de residencia. Esta dirección puede utilizarse en múltiples lugares de la red y puede ser conseguida fácilmente sin nuestro conocimiento, por lo que es necesario seguir una serie de normas para salvaguardar nuestra privacidad.
Ser cuidadoso al facilitar la dirección de correo Facilitar únicamente la dirección de correo a aquellas personas y organizaciones en las que confía y aquellas con las que quiera comunicar.
Utilizar dos o más direcciones de correo electrónico Es aconsejable crear una dirección de correo electrónica, que será la que se debe proporcionar en aquellos casos en los que no se confíe o conozca lo suficiente al destinatario. De este modo, su dirección personal será conocida únicamente por sus amigos o por sus contactos profesionales, con el ahorro de tiempo que implica no tener que separar correos importantes de aquellos no deseados. Lo mismo se recomienda a la hora de utilizar servicios de mensajería
Esta forma de crear el correo permite a los spammers intuir las direcciones de correo electrónico. Por ejemplo, si su nombre es Jesús Fernández, el spammerprobará con las siguientes opciones: jesusfernandez@...., j.fernandez@...., jfdez@....., jesus.fdez@...., etc. Los spammers incluso cuentan con programas que generan automáticamente posibles direcciones de correo. Pueden crear cientos de direcciones en un minuto, ya que trabajan utilizando diccionarios, es decir, una lista de palabras que se suelen usar en las direcciones de correo. Estos diccionarios suelen contener campos como los siguientes: • Alias • Apellidos • Iniciales • Apodos • Nombres de mascotas • Marcas • Signos del zodiaco • Meses del año • Días de la semana • Nombres de lugares • Modelos de coches
de contactos, foros o páginas web. En el caso de los chat, no se debe mostrar la dirección de correo electrónico en las listas de usuarios y no se debe comunicar a desconocidos. Cuando envíe correos en los que aparezcan muchas direcciones, envíelas usando BCC o CCO (con copia oculta) para no hacer visibles todas las direcciones. Si es necesario facilitar la dirección de correo electrónico en alguna web, envíela en formato imagen o escriba ‘at’ o ‘arroba’ en lugar de @. De este modo se puede evitar que lo capturen los programas creadores de Spam. Asimismo, si reenvía un correo, elimine las direcciones de los anteriores destinatarios: son datos de fácil obtención por los spammers.
Leer detenidamente las Políticas de Privacidad y las Condiciones de Cancelación. Si se va a suscribir a un servicio on line, o a contratar un producto, revise la política de privacidad antes de dar su dirección de correo electrónico u otra información de carácter personal. Puede que esta compañía vaya a ceder los datos a otras o a sus filiales y observe que no le suscriben a boletines comerciales, por lo que es conveniente saber la política de alquiler, venta o intercambio de datos que han adoptado tanto su proveedor de acceso a Internet
CONSEJOS PARA REDUCIR EL SPAM
¿qué hacer si ya recibe spam?
Una vez que se empieza a recibir Spam, es casi imposible detenerlo completamente sin recurrir a un cambio de dirección de correo electrónico. De todas formas, se recogen una serie de recomendaciones que pueden ser aplicados para reducir la proliferación del “correo basura”.
Es conveniente desactivar la opción que envía un acuse de recibo al remitente de los mensajes leídos del sistema de correo electrónico. Si un spammer recibe dicho acuse sabrá que la dirección está activa, y lo más probable es que le envíe más Spam.
- No pinche sobre los anuncios de los correos basura. Entrando en las páginas web de los spammers podemos demostrar que nuestra cuenta de correo está activa, con lo que puede convertirse en un objetivo para nuevos envíos. Por otra parte, los gráficos e imágenes (también
- FILTROS BASADOS EN ISP
Muchos proveedores de Internet ofrecen soluciones que pueden llegar a ser muy efectivas a la hora de bloquear el Spam. Utilizan combinaciones de listas negras y escaneado de contenidos para limitar la cantidad de Spam que llega a las direcciones. El principal inconveniente es que, en ocasiones, bloquean correos legítimos, y además suelen ser servicios de pago. Para más información, consulte con su proveedor.
Mantenga al día su sistema Los ordenadores personales requieren de un mantenimiento. La mayoría de las compañías de software distribuyen actualizaciones y parches de sus productos que corrigen los problemas detectados en sus programas. Estas actualizaciones suelen estar disponibles en las páginas web de los fabricantes, y generalmente su descarga e instalación es gratuita. Por otra parte, los usuarios deberían utilizar programas antivirus para protegerse contra estos perniciosos programas, capaces de destruir todos los archivos de un ordenador, y que cada vez son más utilizados por los spammers. Asimismo, es muy recomendable la instalación de un cortafuegos para
RECOMENDACIONES PARA MEJORAR LA SEGURIDAD DEL CORREO ELECTRNICO
El correo electrónico actualmente se ha constituido en uno de los medios de propagación e infección más utilizados. Personas mal intencionadas utilizan este medio de comunicación para reproducir todo tipo de amenazas informáticas que atentan contra la seguridad de los usuarios.
Mensajes en cadena (Hoax), correos electrónicos no deseados (Spam), estafas en línea por medio de scam o ataques de phishing, así como mecanismos de infección a través de enlaces maliciosos o por medio de archivos adjuntos, son solo algunos casos que demuestran la importancia de incorporar buenas practicas de seguridad respecto al manejo de este recurso.
Es por ello que a continuación, se presentan una seria de consejos de seguridad orientados a aumentar los niveles de prevención y de esta manera mitigar el riesgo de sufrir un potencial ataque durante el uso del correo electrónico:
. No envíes correos en cadena. Evita esta práctica ya que este tipo de mensajes generalmente suelen estar relacionados con algún tipo de engaño (Hoax). Ahora bien si por algúndesea reenviar el mensaje a muchos destinatarios, se recomienda entonces usar el campo CCO (con copia oculta) para insertar allí las direcciones. De esta manera las direcciones de correo de los usuarios de destino, no podrán ser visualizadas. Además tomate un segundo para borrar aquellas direcciones del mensaje anterior que por lo general, al momento de reenviar quedan consignadas en el cuerpo del mensaje.
. No publiques tu correo electrónico en foros, sitios web, blog, redes sociales, conversaciones en línea y demás, ya que esto lo que hace es facilitarle las cosas a los usuarios dedicados al envío de spam (spammers) que podrán capturar tu cuenta e incluirla en su selecta lista para
spam.
. Utiliza cuentas de email alternativas para los casos en los que se requiera tener que navegar o registrarse en sitios de dudosa procedencia o baja reputación. Esto con el fin de evitar la recepción de un mayor volumen de spam en la bandeja de entrada de nuestro email principal. También es recomendable usar cuentas de correos temporales y desechables, utilizando servicios como por ejemplo: 10 Minute Mail, así es posible usar servicios en línea sin llenar
secreta de manera tal que sea difícil de adivinar. De esta forma evitamos el robo de nuestra cuenta. Para más información sobre cómo crear contraseñas seguras y mantenerlas protegidas, puedes revisar el articulo: Crear contraseñas seguras y fáciles de recordar en 7 pasos.
6. Elimine el historial de navegación, archivos temporales, cookies, datos en cache, etc., cuando termine una sesión de correo electrónico a la que halla accedido desde en una red publica. También en estos casos de uso de email en sitios públicos como por ejemplo un ciber-café o un hotel, resulta una buena practica utilizar el modo de navegaciónprivada, la cual es una funcionalidad disponible en muchos navegadores web en la actualidad.
7. No descargue archivos adjuntos si no esta seguro de su procedencia. En caso de hacerlo, revíselo con una solución antivirus con capacidades de detección proactiva, y así garantizar que no se traté de algún código dañino que pueda afectar su equipo. Además verifique si estos archivos tienen doble extensión; si es así, sea precavido ya que probablemente se trate de un gusano o troyano, los cuales utilizan este modo de engaño para su propagación.
8. Tenga presente que las empresas, no adjuntan archivos en sus actualizaciones de
FHISHING
Phishing o suplantación de identidad, es un término informático que denomina
un tipo de abuso informático y que se comete mediante el uso de un tipo de
ingeniería social caracterizado por intentar adquirir información confidencial de
forma fraudulenta (como puede ser una contraseña o información detallada
sobre tarjetas de crédito u otra información bancaria). El
cibercriminal, conocido como phisher, se hace pasar por una persona o
empresa de confianza en una aparente comunicación oficial electrónica, por lo
común un correo electrónico, o algún sistema de mensajería instantánea1 o
incluso utilizando también llamadas telefónicas.2
Dado el creciente número de denuncias de incidentes relacionados con
el phishing, se requieren métodos adicionales de protección. Se han realizado
intentos con leyes que castigan la práctica y campañas para prevenir a los
usuarios con la aplicación de medidas técnicas a los programas.
ORIGEN DEL TÉRMINO
El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo
alusión al intento de hacer que los usuarios "muerdan el anzuelo".3 A quien lo
practica se le llama phisher.4 También se dice que el término phishing es la
contracción de password harvesting fishing (cosecha y pesca de contraseñas
aunque esto probablemente es un acrónimo retroactivo, dado que la escritura
ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la
antigua forma de hacking telefónico conocida comophreaking.5
La primera mención del término phishing data de enero de 1996. Se dio en
grupo de noticias de hackers alt.2600,6 aunque es posible que el término ya
hubiera aparecido anteriormente en la edición impresa del boletín de
noticias hacker 2600 Magazine.7 El término phishing fue adoptado por quienes
intentaban "pescar" cuentas de miembros de AOL.
INTENTOS RECIENTES DE PHISHING
intentos más recientes de phishing han tomado como objetivo a clientes de bancos y servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado
phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar unelectrónico, falseado apropiadamente, a la posible víctima.10 En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spearphishing (literalmente pesca con arpón).
sitios de Internet con fines sociales también se han convertido en objetivos para phishers, dado que mucha de la información provista en estos sitios puede ser utilizada en
robo de identidad.11 Algunos experimentos han otorgado una tasa de éxito de un 90% en ataques phishing en redes sociales.12
finales de 2006 un gusano informático se apropió de algunas páginas del sitio MySpace logrando redireccionar los enlaces de modo que apuntaran a una página web
manipuladas, o el uso de subdominios, son trucos comúnmente usados por phishers; por ejemplo en esta URL: http://www.nombredetubanco.com/ejemplo, en la cual el texto mostrado en la pantalla no corresponde con la dirección real a la cual conduce. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares14 ). Por ejemplo, el enlace http://[email protected]/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla15 e Internet Explorer.16 Otros intentos de phishingcomandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de
seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting)
reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a