Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
CRISTHIAN DAVID FERNANDEZ RAMIREZ UNAD 2018 Seguridad Informática: El hacking ético y la ingeniería social. Cuando caminas por una ciudad iluminada y ves presencia de policías te sientes seguro, la percepción de tu seguridad es óptima, pero cuando vas en una calle sola, sin iluminación te sientes inseguro, caminas rápido y deseas salir rápido de allí, en las noticias que escuchas sea por boca de tus vecinos o la televisión y observas la cantidad de hurtos, homicidios en las calles colombianas y buscas la manera de evitar esas calles o creas hábitos seguros para no ser víctima. Así mismo pasa a nivel cibernético en un informe que dio la firma Digiware en el que manifestó que en un año en Colombia se presentaron 198 millones de ataques cibernéticos, pero aun así los ciudadanos no toman ninguna medida de seguridad en sus smartphones o computadores. Por lo general siempre compras uno y no se invierte en un antivirus bueno, siempre se lleva el computador al técnico de barrio para que le instale un antivirus x, y eso que existen antivirus ya muy buenos como el del mismo Windows. Las que ya han despertado y tienen en su presupuesto de inversión en protección cibernética son las grandes empresas o multinacionales. (Rojas, 2008) Es por eso que en [(Rojas, 2008)] manifiesta que la seguridad informática ya es un punto critico en internet, debido al aumento de amenazas que se presentan en distintas formas (Virus informáticos, gusanos, spyware, caballo de Troya, el pharming, el pshishing scam, ataques de denegación de servicios), las empresa invierten ya una gran cantidad de sus recursos en infraestructura para proteger el activo más importante que es la información. Pero hay un problema y es que así se tenga todo un hardware o software las empresas y personas recibirán un ataque cibernético porque el usuario final que no tiene conocimientos técnicos será el eslabón débil por donde entrara la amenaza, es por eso que las personas se están viendo afectadas en su economía y privacidad como ejemplo los fraudes en línea o el robo de información personal. Los problemas mas comunes para estas personas que se pueden encontrar son los virus informáticos (programas hechos para alterar el funcionamiento del computador) ej: cuando un usuario descarga una canción de un sitio web dudoso ejecutara un virus que venga en el; Gusano de Internet (Programa hecho para propagarse por si mismo en la red aprovechando fallas de seguridad) Caballos de Troya (El programa que viene camuflado en otro) Spyware (Son programas para espiar y recopilar información) Pharming (redirigen a un sitio web distinto al que se visita) Phishing scam (mecanismos para robar información personal y suplantar al usuario) Ingeniería social ( Es el arte de engañar a un usuario con cualquier dato o información que dejo en la red). Los gobiernos y empresa están buscando las maneras didácticas para enseñarle a los usuarios finales del porque aprender y conocer los riesgos en internet, en Colombia podemos ver campañas en redes del centro cibernético policial y en otros países con cartillas y manuales. (Bebea, 2015) Las instituciones a la hora de que un usuario interactúe con un sistema informático definen unas responsabilidades y roles de usuario definiendo interrogantes como ¿Quién es el autorizado para usar los recursos? ¿Cuál es el uso que le dará? ¿Quién esta autorizado para conceder acceso y aprobar el uso? ¿Quién tendrá privilegios de administración del sistema? ¿Qué hará con la información suministrada? (ALVAREZ, 2005) En los sistemas informáticos de una entidad siempre es vital proteger al servidor de servicios como lo llaman el “corazón” del sistema informático un fallo en él es una catástrofe para los datos. Es allí donde varias entidades han trabajado en sistemas para detectar cualquier intrusión al sistema, además es un sistema inteligente que sirve para identificar el nivel de amenaza de una intrusión y así tomar decisiones de desconectar el firewall o aislar el servidor. Se dispone también de un antivirus el cual se compone de un motor (de búsqueda) y un conjunto de vacunas (acciones contra los virus) que se actualizan de manera automática en el servidor. (Ficarra, 2002) La seguridad informática abarca más allá que ser un simple antivirus, cortafuegos o spyware, esta compuesta por todas las herramientas y políticas que se tiene para proteger la infraestructura, el software y la información, pero como se sabe primordialmente se creo para proteger la información y es acá donde se define que la seguridad de información es la protección de la información que esta contenida en una computadora o una red y contiene tres principios primordiales “Integridad, confidencialidad. Disponibilidad”. Y actualmente experimenta problemas externos hasta incidentes propios generada por los usuarios. Por eso es que definieron una metodología basado en las etapas de: 1) Definir la seguridad de información. 2)Definir el riesgo (Analís, gestión del riesgo, metodología OCTAVE 3) Alinearse a las normas y estándares internacionales (ISO 27002). 4)Definir la situación actual de la organización (Garzón) La seguridad informática brinda protección contra las contingencias y riesgos relacionados con la infraestructura informática, otra política de seguridad es el marco COBIT un tipo de investigación descriptivo, bajo el esquema PO9 de evaluar y gestionar los riesgos de TI. (Capcha, 2014) Hablando de términos importantes en la seguridad informática encontramos el Hacking Ético y la ingeniería social. El hacking ético: Dentro de un proceso de seguridad informática, el hacking ético es una herramienta que se usa para encontrar si un sistema informático de una empresa e institución posee vulnerabilidades para posteriormente poder mitigarlos y evitar fugas de información sensible, también es llamado test de penetración o también se le considera como una auditoría realizada por profesionales o “pentester” (iniciaron a realizar asesorías en el 2001), este ataque o intrusion no tienen ninguna consecuencia legal ya que se hace por voluntad de la empresa y estos surgieron debido a los ataques informáticos que crearon graves consecuencias como perdidas de dinero y reputación. (Soriano), (cubillos) El termino nace del valor ético que tiene una persona o un grupo con excelentes conocimientos en informática y seguridad. Los servicios que prestan los profesionales en hacking ético sirven para analizar si una compañía esta preparada para soportar un ataque critico perpetrado desde afuera o desde adentro con conexión a la red, se analiza tanto la red interna, como internet, aplicaciones expuestas, los servidores, puertos y avenidas de acceso, pruebas de contraseña. SE siguen la metodología OSSTMM (Manual de la metodología abierta de comprobación de la seguridad) Y OWASP (Proyecto abierto de seguridad de aplicaciones web) (TORI, 2008) para realizar estos ataques se debe definir primero el alcance y definir el objetivo genérico, lo que se está tratando proteger, contra quien se protege, cuanto tiempo, esfuerzo y dinero se está dispuesto a gastar para obtener protección adecuad; seguir una metodología básica como: Reconocimiento, Escaneo, Ataque (obtener acceso), ataque (mantener acceso) borrado de evidencia. Las pruebas más comunes son: Redes remotas, redes locales, ingeniería social, seguridad física. El sistema común para hacer los ataques de penetración es el famoso Kali Linux el cual nos brinda barias herramientas para trabajar entre las mas comunes Maltego, Set Toolkit, Nmap, Armitage, Metasploit. Al final un hacker busca resolver interrogantes como: ¿Qué puede ver un intruso en los sistemas atacados? ¿Qué puede hacer un intruso con la información? ¿Hay Alguien en el sistema atacado que se de cuenta de los ataques o éxitos delintruso? (veloz, 2017) (Carvaja) La ingeniería social es un “arma” certero que se aprovecha del eslabón más débil de cualquier sistema el cual son los usuarios y el personal de una institución el cual son susceptible de engaños simplemente con datos comunes o afines a ellos, en otras palabras, es el arte de persuadir con engaño para que sin sospechar los afectados compartan datos personales con un desconocido. Actualmente es muy usada por los creadores de malware y delincuentes informáticos, por lo general estos se aprovechan de noticias sobre catástrofes, gente famosa, marcas y eventos conocidos. De la ingeniería social se han identificados como ataques cibernéticos la famosa carta nigeriana, la información robada por los empleados, el phishing, spoofing. El fin de todo esto es recopilar información para poder robar cualquier dato o recoger patrones de datos comportamentales de un sector y poder así realizar los ataques. (Borghello, 2009) , Comprendimos que la seguridad cibernética o seguridad informática es de gran importancia que la seguridad urbana. Tenemos que ser personas desconfiadas a la hora de usar un equipo de cómputo, no debemos compartir las contraseñas. Aprendimos que los datos y la información es un activo de alto valor que será el objetivo principal de cualquier atacante. Bibliografía ALVAREZ, L. S. (2005). SEGURIDA EN INFORMATICA (AUDITORIA DE SISTEMAS). Mexico: UNIVERSIDAD IBEROAMERICANA. Bebea, I. (2015). Alfabetización digital crítica, Una invitación a reflexionar y actuar. Madrid: BioCoRe Coop. Borghello, C. (2009). El arma infalible: la Ingeniería Social. ESET para Latinoamerica, 1-7. Capcha, R. O. (2014). EVALUACIÓN DEL DESARROLLO DE POLITICAS DE SEGURIDAD DE INFORMACIÓN. Ciencia & desarrollo, 91-96. Carvaja, M. h. (s.f.). Ethical Hacking: La Importancia de una intrusión controlada. Universidad Mayor de San Andrés, 11-13. cubillos, s. c. (s.f.). WHITE HAT: HACKIN ETICO. universidad piloto de colombia. Ficarra, F. (2002). Antivirus y seguridad informatica. CHASQUI, 72-77. Garzón, M. B. (s.f.). PLAN MAESTRO DE SEGURIDAD INFORMÁTICA PARA LA UTIC DE LA ESPE CON LINEAMIENTOS DE LA NORMA ISO/IEC 27002. Ecuador: UTIC, ESPE. Rojas, J. R. (2008). La seguridad informatica y el usuario final. Revista digital Universitaria, 1-8. Soriano, A. G. (s.f.). Hacking ético: mitos y Realidades. SEGURIDAD CULTURA DE PREVENCIÓN PARA TI, 12. TORI, C. (2008). hacking etico. Rosario: Mastroianni Impresiones. veloz, j. (2017). Ethical hacking, una metodologia para descubrir fallas de seguridad en sistemas informaticos mediante la herramienta kali-linux. REVISTA DE TECNOLOGiIAS DE LA INFORMATICA Y LAS COMUNICACIONES, 1-12. J.Cano, J. (2004). Inseguridad informática: Un concepto dual en seguridad informática [versión electrónica]. Revista de Ingeniería 19. Disponible en: http://revistaing.uniandes.edu.co/index.php?ida=62&idr=3&ids=1. Suárez, I. (2011). Procedimiento para la gestión de Información de la Seguridad Informática. Tesis de Maestría. Universidad Oscar Lucero Moya, Holguín Ingeniería Social. El Arte del Hacking Personal, Christopher Hadnagy
Compartir