Fernando de Bustos Rodríguez Abril 2013 Fernando de Bustos Rodríguez Abril 2013

¿Estamos seguros?¿Estamos seguros?

RiesgoRiesgo

ExpectativasExpectativas

ContextoContexto

Equilibrio seguridad / funcionalidadEquilibrio seguridad / funcionalidad

Medidas de seguridadMedidas de seguridad

Tecnología + Procesos + PersonasTecnología + Procesos + Personas

¿Qué queremos conservar?¿Qué queremos conservar?

Confidencialidad (Privacidad)Confidencialidad (Privacidad)

Integridad (Información)Integridad (Información)

Disponibilidad (Servicio)Disponibilidad (Servicio)

Tipos de incidentesTipos de incidentes

Incidencia Incidencia físicafísica

HardwareHardware(Equipos y (Equipos y

conexiones)conexiones)

- Catástrofes naturales.Catástrofes naturales.- Incendios.Incendios.- Hurtos de equipos- Hurtos de equipos

Ataque Ataque lógicológico

Software y Software y datosdatos

- Intrusiones y accesos - Intrusiones y accesos no autorizados.no autorizados.- Robo de información.- Robo de información.

AtaqueAtaquesemánticosemántico

Interpretación de Interpretación de la informaciónla información

- Ingeniería social.Ingeniería social.- Phishing.Phishing.- Timos.Timos.- Hoax.- Hoax.

Incidentes con menores (I)Incidentes con menores (I)

IntimidadIntimidad - Grooming- Grooming. . (Acción deliberada de un adulto (Acción deliberada de un adulto

hacia un joven para satisfacción sexual mediante hacia un joven para satisfacción sexual mediante imágenes eróticas o sexuales).imágenes eróticas o sexuales).

- Datos privados.- Datos privados. - Uso y abuso multimedia.- Uso y abuso multimedia. - Reputación online.- Reputación online. - Sexting. - Sexting. (Enviar mensajes, fotos o videos(Enviar mensajes, fotos o videos

pornográficos sobre todo por el móvilpornográficos sobre todo por el móvil)

Incidentes con menores (II)Incidentes con menores (II)

Ciberacoso (ciberbullying)Ciberacoso (ciberbullying) Adicción.Adicción. Contenidos inadecuados.Contenidos inadecuados.

- Pornografía.- Pornografía.

- Violencia (racismo, xenofobia, terrorismo,- Violencia (racismo, xenofobia, terrorismo,

redes criminales, etc.redes criminales, etc.

- Apología a la anorexia/bulimia.- Apología a la anorexia/bulimia.

- Derechos de autor. - Derechos de autor.

Activos de valor para el Activos de valor para el usuario TICusuario TIC

Archivos informáticos.Archivos informáticos. Archivos multimedia.Archivos multimedia. Contraseñas y datos de acceso, Contraseñas y datos de acceso,

certificados, etc.certificados, etc. Información financiera.Información financiera. Ancho de banda.Ancho de banda. Equipo informático.Equipo informático.

Activos de valor para el Activos de valor para el atacante.atacante.

Espacio del disco.Espacio del disco. Potencia de cálculo.Potencia de cálculo. Ancho de banda.Ancho de banda. Credenciales.Credenciales. Información financiera.Información financiera. Otras motivaciones.Otras motivaciones.

Empresas e Instituciones: Empresas e Instituciones: no tengo tiempono tengo tiempo.. - No soy objetivo, no me pasará nada.- No soy objetivo, no me pasará nada. - ¿Cuánto vale el tiempo? ¿Y la información?.- ¿Cuánto vale el tiempo? ¿Y la información?. - Seguridad física / lógica.- Seguridad física / lógica. - Mezclar lo profesional con lo personal.- Mezclar lo profesional con lo personal.

Particulares: Particulares: a mí no me afectaa mí no me afecta.. - Si te afecta: perderás tiempo y dinero.- Si te afecta: perderás tiempo y dinero. - Ancho de banda, instalación, configuración…- Ancho de banda, instalación, configuración… - Fotos: del cole, vacaciones…- Fotos: del cole, vacaciones… - Documentos: del cole, personales…- Documentos: del cole, personales…

¿Seguridad?.¿Seguridad?.

¿Para qué me quieren?.¿Para qué me quieren?.

Lucro.Lucro. Redes “zombie”.Redes “zombie”. Puente de ataque.Puente de ataque. Enviar “Spam”.Enviar “Spam”. Alojar “Phishing”.Alojar “Phishing”. Instalar servidores piratasInstalar servidores piratas IniciaciónIniciación..

Redes “Zombie”.Redes “Zombie”.

- - Millones de ordenadores esclavos al ser-Millones de ordenadores esclavos al ser-vicio de los estafadores en Internet.vicio de los estafadores en Internet. - Ataques DDOS.- Ataques DDOS. - Pasarela para comprometer sistemas.- Pasarela para comprometer sistemas. - Envío de Spam.- Envío de Spam. - Realización de “Phishing” (alojamiento)- Realización de “Phishing” (alojamiento) - Robo de datos personales.- Robo de datos personales. - Robo de identidades.- Robo de identidades. - Alquiler de redes para organizaciones cri-- Alquiler de redes para organizaciones cri-minalesminales

Grado de exposición.Grado de exposición.

Uso compartido. Uso compartido. (Cuando compartimos (Cuando compartimos archivos o documentos).archivos o documentos). Tipo de uso. Tipo de uso. (Profesional o personal).(Profesional o personal). Tipo de S.O. Tipo de S.O. (Sistema Operativo).(Sistema Operativo). Desconocimiento.Desconocimiento. Zona oscura: Zona oscura: pornografía, cracks, serials, pornografía, cracks, serials, descargas, p2p,.. o no tan oscura.descargas, p2p,.. o no tan oscura.

Amenazas.Amenazas.

Malware.Malware. IntrusosIntrusos.. Fallos software.Fallos software. Fallos hardware.Fallos hardware. Contenidos: Contenidos: spam, phishing, adware, spam, phishing, adware, fraudes….fraudes…. Errores humanos.Errores humanos.

Malware (I)Malware (I)

Virus informáticos. Virus informáticos. (Programa).(Programa). TroyanosTroyanos.. Gusanos.Gusanos. Spyware y Adware.Spyware y Adware. Keyloggers.Keyloggers. Pharming.Pharming. Phishing.Phishing.

Malware (II)Malware (II)

¿Qué es un virus y cómo funcionan?¿Qué es un virus y cómo funcionan?Los virus son programas maliciosos creados Los virus son programas maliciosos creados para manipular el normal funcionamiento de para manipular el normal funcionamiento de los sistemas, sin el conocimiento ni consenti-los sistemas, sin el conocimiento ni consenti-miento de los usuarios. miento de los usuarios.

Tipos de virus:Tipos de virus:• por su capacidad de propagaciónpor su capacidad de propagación• por las acciones que realizan en el equipo por las acciones que realizan en el equipo infectado.infectado.

Según su capacidad de propagación.Según su capacidad de propagación.

Según a su capacidad de propagación, o mejor dicho de auto-Según a su capacidad de propagación, o mejor dicho de auto-propagación, existen tres tipos de códigos maliciosos:propagación, existen tres tipos de códigos maliciosos:• VirusVirus: : Los ficheros infectados generalmente son ejecutables: Los ficheros infectados generalmente son ejecutables: .exe, .src, o en versiones antiguas .com, .bat; .exe, .src, o en versiones antiguas .com, .bat; • GusanosGusanos: : Los gusanos se suelen propagar por:Los gusanos se suelen propagar por:

• Correo electrónicoCorreo electrónico• Redes de compartición de ficheros (P2P)Redes de compartición de ficheros (P2P)• Explotando alguna vulnerabilidadExplotando alguna vulnerabilidad• Mensajería instantáneaMensajería instantánea• Canales de chatCanales de chat

• TroyanosTroyanos: Carecen de rutina propia de propagación, pueden : Carecen de rutina propia de propagación, pueden llegar al sistema de diferentes formas, las más comunes son:llegar al sistema de diferentes formas, las más comunes son:

• Descargado por otro programa malicioso.Descargado por otro programa malicioso.• Descargado sin el conocimiento del usuario al visitar una Descargado sin el conocimiento del usuario al visitar una página Web maliciosa.página Web maliciosa.• Dentro de otro programa que simula ser inofensivo.Dentro de otro programa que simula ser inofensivo.

Según las acciones que realizan.Según las acciones que realizan.

• Adware.Adware.• AutorumAutorum• Bloqueador.Bloqueador.• Bomba lógica.Bomba lógica.• Broma (Joke).Broma (Joke).• Bulo (Hoax).Bulo (Hoax).• Capturador de pulsaciones (Keylogger).Capturador de pulsaciones (Keylogger).• Clicker.Clicker.• Criptovirus (Ransomware).Criptovirus (Ransomware).• Descargador (Downloader).Descargador (Downloader).• El desbordamiento de memoria.El desbordamiento de memoria.• Espía (Spyware).Espía (Spyware).

• Exploit.Exploit.• Herramientas de fraudes.Herramientas de fraudes.• Instalador (Dropper).Instalador (Dropper).• Ladrón de contraseñas (PWStealer).Ladrón de contraseñas (PWStealer).• Marcador (Dialer).Marcador (Dialer).• Payload.Payload.• Publicidad incrustada (Spotify)Publicidad incrustada (Spotify)• Puerta trasera (Backdoor).Puerta trasera (Backdoor).• Rogueware.Rogueware.• Rootkit.Rootkit.• Secuestrador del navegador (Browser hijacker).Secuestrador del navegador (Browser hijacker).• Software falso.Software falso.• Vulnerabilidades 0-day.Vulnerabilidades 0-day.

• AdwareAdware

Muestra publicidad, generalmente está relacionado Muestra publicidad, generalmente está relacionado con los espías, es por lo que se suelen conectar a con los espías, es por lo que se suelen conectar a algún servidor remoto para enviar la información algún servidor remoto para enviar la información recopilada y recibir publicidad.recopilada y recibir publicidad.

Algunos programas en sus versiones gratuitas o de Algunos programas en sus versiones gratuitas o de evaluación muestran este tipo de publicidad, en este evaluación muestran este tipo de publicidad, en este caso deberán avisar al usuario que la instalación del caso deberán avisar al usuario que la instalación del programa conlleva la visualización de publicidad.programa conlleva la visualización de publicidad.

• AutorumAutorum

El principal objetivo de El principal objetivo de Autorun.INFAutorun.INF es propagarse y es propagarse y afectar a otros ordenadores.afectar a otros ordenadores.Comprueba si el ordenador infectado se encuentra Comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, realiza un conectado a una red. En caso afirmativo, realiza un inventario de todas las unidades de red inventario de todas las unidades de red mapeadasmapeadas y y crea una copia de sí mismo en cada una de ellas.crea una copia de sí mismo en cada una de ellas.

MapeadaMapeada:: Es la acción por la cual se asigna una Es la acción por la cual se asigna una letra a una unidad de disco, que se encuentra letra a una unidad de disco, que se encuentra compartida en una red de ordenadores, como si de compartida en una red de ordenadores, como si de un disco más del ordenador se trataseun disco más del ordenador se tratase

• BloqueadorBloqueador

Impide la ejecución de programas o aplicaciones, Impide la ejecución de programas o aplicaciones, también puede bloquear el acceso a determinadas di-también puede bloquear el acceso a determinadas di-recciones de Internet.recciones de Internet. Generalmente impiden la ejecución de programas Generalmente impiden la ejecución de programas de seguridad para que, resulte más difícil la detección de seguridad para que, resulte más difícil la detección y eliminación de programas maliciosos del ordenador. y eliminación de programas maliciosos del ordenador. Cuando bloquean el acceso a las direcciones de Cuando bloquean el acceso a las direcciones de Internet, éstas suelen ser de páginas de seguridad Internet, éstas suelen ser de páginas de seguridad informática; por un lado logran que los programas de informática; por un lado logran que los programas de seguridad no se puedan descargar las actualiza-seguridad no se puedan descargar las actualiza-ciones, por otro lado, en caso de que un usuario se ciones, por otro lado, en caso de que un usuario se quiera documentar de alguna amenaza informática, no quiera documentar de alguna amenaza informática, no podrá acceder a las direcciones en las que se informa podrá acceder a las direcciones en las que se informa de dicha amenaza.de dicha amenaza.

• Bomba lógicaBomba lógica-Programa o parte de un programa que se instala en Programa o parte de un programa que se instala en un ordenador y no se ejecuta hasta que se cumple un ordenador y no se ejecuta hasta que se cumple determinada condición, por ejemplo, ser una fecha determinada condición, por ejemplo, ser una fecha concreta, ejecución de determinado archivo…concreta, ejecución de determinado archivo…

• Broma (Joke)Broma (Joke)- - No realiza ninguna acción maliciosa en el ordena-No realiza ninguna acción maliciosa en el ordena-dor infectado pero, mientras se ejecuta, gasta una dor infectado pero, mientras se ejecuta, gasta una “broma” al usuario haciéndole pensar que su orde-“broma” al usuario haciéndole pensar que su orde-nador está infectado, por ejemplo, mostrando un nador está infectado, por ejemplo, mostrando un falso mensaje de que se va a borrar todo el conte-falso mensaje de que se va a borrar todo el conte-nido del disco duro o mover el ratón de forma alea-nido del disco duro o mover el ratón de forma alea-toria.toria.

• Bulo (Hoax)Bulo (Hoax)

- Mensaje electrónico enviado por un conocido que Mensaje electrónico enviado por un conocido que intenta hacer creer al destinatario algo que es falso, intenta hacer creer al destinatario algo que es falso, como alertar de virus inexistentes, noticias con con-como alertar de virus inexistentes, noticias con con-tenido engañoso, etc, y solicitan ser reenviado a tenido engañoso, etc, y solicitan ser reenviado a todos los contactos. todos los contactos.

- Algunos de estos mensajes pueden ser peligrosos - Algunos de estos mensajes pueden ser peligrosos por la alarma que generan y las acciones que, en por la alarma que generan y las acciones que, en ocasiones, solicitan realizar al usuario, por ejemplo, ocasiones, solicitan realizar al usuario, por ejemplo, borrando ficheros del ordenador que son necesarios borrando ficheros del ordenador que son necesarios para el correcto funcionamiento del equipo.para el correcto funcionamiento del equipo.

• Capturador de pulsaciones (Keylogger)Capturador de pulsaciones (Keylogger)Monitoriza las pulsaciones del teclado que se hagan Monitoriza las pulsaciones del teclado que se hagan en el ordenador infectado, su objetivo es poder cap-en el ordenador infectado, su objetivo es poder cap-turar pulsaciones de acceso a determinadas cuentas turar pulsaciones de acceso a determinadas cuentas bancarias, juegos en línea o conversaciones y men-bancarias, juegos en línea o conversaciones y men-sajes escritos en la máquina.sajes escritos en la máquina.

• ClickerClickerRedirecciona las páginas de Internet a las que intenta Redirecciona las páginas de Internet a las que intenta acceder el usuario, así logra aumentar el número de acceder el usuario, así logra aumentar el número de visitas a la página redireccionada, realizar ataques de visitas a la página redireccionada, realizar ataques de Denegación de Servicio a una página víctima o en-Denegación de Servicio a una página víctima o en-gañar al usuario sobre la página que está visitando, gañar al usuario sobre la página que está visitando, por ejemplo, creyendo que está accediendo a una por ejemplo, creyendo que está accediendo a una página legítima de un banco cuando en realidad está página legítima de un banco cuando en realidad está accediendo a una dirección falsa.accediendo a una dirección falsa.

• Criptovirus (Ransomware)Criptovirus (Ransomware)

Hace inaccesibles determinados ficheros en el orde-Hace inaccesibles determinados ficheros en el orde-nador y coacciona al usuario víctima a pagar un nador y coacciona al usuario víctima a pagar un “rescate” (ransom en inglés) para poder acceder a la “rescate” (ransom en inglés) para poder acceder a la información. información. Por lo general, lo que hace es cifrar los ficheros con Por lo general, lo que hace es cifrar los ficheros con los que suela trabajar el usuario, como por ejemplo, los que suela trabajar el usuario, como por ejemplo, documentos de texto, hojas Excel, imágenes…documentos de texto, hojas Excel, imágenes…

• Descargador (Downloader)Descargador (Downloader)

Descarga otros programas (generalmente también Descarga otros programas (generalmente también maliciosos) en el ordenador infectado. maliciosos) en el ordenador infectado. Suelen acceder a Internet para descargar estos pro-Suelen acceder a Internet para descargar estos pro-gramas.gramas.

El desbordamiento de memoriaEl desbordamiento de memoria

Es una forma de sobrepasar la memoria que hay Es una forma de sobrepasar la memoria que hay reservada para un dato, hablando en términos de reservada para un dato, hablando en términos de informática. informática.

Cuando un programador hace un programa, no se Cuando un programador hace un programa, no se lía a escribir código todo secuencia, lo normal es lía a escribir código todo secuencia, lo normal es utilizar pequeñas funciones que estructuran ese utilizar pequeñas funciones que estructuran ese código y lo hacen más legible.código y lo hacen más legible.

• Espía (Spyware)Espía (Spyware)Roba información del equipo para enviarla a un Roba información del equipo para enviarla a un servidor remoto. El tipo de información obtenida varía servidor remoto. El tipo de información obtenida varía según el tipo de espía, algunos recopilan información según el tipo de espía, algunos recopilan información relativa a los hábitos de uso del ordenador, como el relativa a los hábitos de uso del ordenador, como el tiempo de uso y páginas visitadas en Internet; sin tiempo de uso y páginas visitadas en Internet; sin embargo, otros troyanos son más dañinos y roban embargo, otros troyanos son más dañinos y roban información confidencial como nombres de usuario y información confidencial como nombres de usuario y contraseñas. A los espías que roban información contraseñas. A los espías que roban información bancaria se les suele llamar Troyanos Bancariosbancaria se les suele llamar Troyanos Bancarios..

• ExploitExploitTipo del software que se aprovecha de un agujero o Tipo del software que se aprovecha de un agujero o de una vulnerabilidad en el sistema de un usuario de una vulnerabilidad en el sistema de un usuario para tener el acceso desautorizado al sistema.para tener el acceso desautorizado al sistema.

• Herramienta de fraudeHerramienta de fraude

Simula un comportamiento anormal del sistema y Simula un comportamiento anormal del sistema y propone la compra de algún programa para solucio-propone la compra de algún programa para solucio-narlo. narlo. Los más comunes son los falsos antivirus, que in-Los más comunes son los falsos antivirus, que in-forman de que el ordenador está infectado, cuando forman de que el ordenador está infectado, cuando en realidad el principal programa malicioso que tie-en realidad el principal programa malicioso que tie-ne es la herramienta fraudulenta.ne es la herramienta fraudulenta.

• Instalador (Dropper)Instalador (Dropper)

Instala y ejecuta otros programas, generalmente Instala y ejecuta otros programas, generalmente maliciosos, en el ordenador.maliciosos, en el ordenador.

• Ladrón de contraseñas (PWStealer)Ladrón de contraseñas (PWStealer)Roba nombres de usuario y contraseñas del ordena-Roba nombres de usuario y contraseñas del ordena-dor infectado, generalmente accediendo a determi-dor infectado, generalmente accediendo a determi-nados ficheros del ordenador que almacenan esta nados ficheros del ordenador que almacenan esta informacióninformación..

• Marcador (Dialer)Marcador (Dialer)

Actúa cuando el usuario accede a Internet, realizando Actúa cuando el usuario accede a Internet, realizando llamadas a Números de Tarificación Adicional (NTA), llamadas a Números de Tarificación Adicional (NTA), lo que provoca un considerable aumento en la factura lo que provoca un considerable aumento en la factura telefónica del usuario afectado. telefónica del usuario afectado. Este tipo de programas está actualmente en desuso Este tipo de programas está actualmente en desuso porque sólo funcionan si la conexión a Internet se porque sólo funcionan si la conexión a Internet se hace a través del Módem, no se pueden realizar lla-hace a través del Módem, no se pueden realizar lla-madas a NTA en conexiones ADSL o WiFi.madas a NTA en conexiones ADSL o WiFi.

• PayloadPayload Es el daño causado por un programa malicioso. Es el daño causado por un programa malicioso. La palabra "payload" en inglés significa contador, pagador, pago La palabra "payload" en inglés significa contador, pagador, pago de carga, etc. En informática, payload son el o los efectos no-de carga, etc. En informática, payload son el o los efectos no-civos y hasta irreparables. El objetivo de un desarrollador de civos y hasta irreparables. El objetivo de un desarrollador de virus, es generar un payload, no solamente dañino, sino que virus, es generar un payload, no solamente dañino, sino que genere efectos secundarios nocivos.genere efectos secundarios nocivos.1.1.Daño a los archivos o áreas del sistema…Daño a los archivos o áreas del sistema…2.2.Corrupción de borrado de archivos.Corrupción de borrado de archivos.3.3.Formateo de discos duros, etc.Formateo de discos duros, etc.4.4.La propagación a través de correo electrónico, Mensajería La propagación a través de correo electrónico, Mensajería Instantánea, Chat, redes compartidas Peer to Peer, liberación de Instantánea, Chat, redes compartidas Peer to Peer, liberación de troyanos/Backdoor, etc.troyanos/Backdoor, etc.5.5.Efectos secundarios como la deshabilitación o término de los Efectos secundarios como la deshabilitación o término de los procesos de software antivirus, firewalls, etc.procesos de software antivirus, firewalls, etc.6.6.Algunos mensajes o cajas de diálogo en la pantalla.Algunos mensajes o cajas de diálogo en la pantalla.7.7.Todo el daño que la mente de los creadores de virus puedan Todo el daño que la mente de los creadores de virus puedan crear y desarrollar.crear y desarrollar.

• Puerta trasera (BackdoorPuerta trasera (Backdoor))

Permite el acceso de forma remota a un S.O., página Web Permite el acceso de forma remota a un S.O., página Web o aplicación, haciendo que el usuario evite las restric-o aplicación, haciendo que el usuario evite las restric-ciones de control y autenticación que haya por defecto. ciones de control y autenticación que haya por defecto. Puede ser utilizado por responsables de sistemas o Puede ser utilizado por responsables de sistemas o webmasters con diversos fines dentro de una organiza-webmasters con diversos fines dentro de una organiza-ción, pero también puede ser utilizados por atacantes ción, pero también puede ser utilizados por atacantes para realizar varias acciones en el ordenador infectado, para realizar varias acciones en el ordenador infectado, por ejemplo:por ejemplo:Utilizar los ficheros que desee para leer su información, Utilizar los ficheros que desee para leer su información, moverlos, subirlos al ordenador, descargarlos, eliminar-moverlos, subirlos al ordenador, descargarlos, eliminar-los…los…Reiniciar el ordenadorReiniciar el ordenadorObtener diversa información de la máquina infectada: Obtener diversa información de la máquina infectada: nombre del ordenador, dirección MAC, sistema operativo nombre del ordenador, dirección MAC, sistema operativo instalado…etc.instalado…etc.

• RoguewareRogueware

Rogueware es un término poco conocido pero debería Rogueware es un término poco conocido pero debería serlo, ya que actualmente es la forma más común para serlo, ya que actualmente es la forma más común para la distribución de virus y malware.la distribución de virus y malware.Podemos definirlo como una aplicación que intenta ase-Podemos definirlo como una aplicación que intenta ase-mejarse a otra, ya sea por nombre o por apariencia, con mejarse a otra, ya sea por nombre o por apariencia, con la única finalidad de engañar y timar al usuario. la única finalidad de engañar y timar al usuario. Este tipo de aplicaciones generalmente se crean con el Este tipo de aplicaciones generalmente se crean con el objetivo de conseguir una compensación económica por objetivo de conseguir una compensación económica por su supuesto uso.su supuesto uso.La forma más común de Rogueware es la que se apro-La forma más común de Rogueware es la que se apro-vecha de la ingenuidad de la personas al ofrecerles la vecha de la ingenuidad de la personas al ofrecerles la descarga gratuita de programas antivirus/spam/adware descarga gratuita de programas antivirus/spam/adware falsos que al ser instalados “hacen un análisis” cuyos falsos que al ser instalados “hacen un análisis” cuyos resultados indican que la computadora está infectada resultados indican que la computadora está infectada con cientos de virus.con cientos de virus.

• RootkitRootkit

-Toma el control de Administrador (“root” en sistemas Toma el control de Administrador (“root” en sistemas Unix/Linux) en el sistema, generalmente para ocultar Unix/Linux) en el sistema, generalmente para ocultar su presencia y la de otros programas maliciosos en el su presencia y la de otros programas maliciosos en el equipo infectado; la ocultación puede ser para escon-equipo infectado; la ocultación puede ser para escon-der los ficheros, los procesos generados, conexiones der los ficheros, los procesos generados, conexiones creadas… creadas…

-También pueden permitir a un atacante remoto tener También pueden permitir a un atacante remoto tener permisos de Administrador para realizar las acciones permisos de Administrador para realizar las acciones que desee.que desee.

- Cabe destacar que los rootkits hay veces que se - Cabe destacar que los rootkits hay veces que se utilizan sin fines maliciosos.utilizan sin fines maliciosos.

• Secuestrador del navegador (browser Secuestrador del navegador (browser hijacker)hijacker)

- Modifica la página de inicio del navegador, la página Modifica la página de inicio del navegador, la página de búsqueda o la página de error por otra de su elec-de búsqueda o la página de error por otra de su elec-ción, también pueden añadir barras de herramientas ción, también pueden añadir barras de herramientas en el navegador o incluir enlaces en la carpeta de en el navegador o incluir enlaces en la carpeta de “Favoritos”.“Favoritos”.

-Todas estas acciones las realiza generalmente para Todas estas acciones las realiza generalmente para aumentar las visitas de la página de destino.aumentar las visitas de la página de destino.

• Vulnerabilidad 0-dayVulnerabilidad 0-dayCualquier programa del ordenador puede tener una Cualquier programa del ordenador puede tener una vul-vul-nerabilidadnerabilidad que puede ser aprovechada para introducir que puede ser aprovechada para introducir programas maliciosos en el ordenador. programas maliciosos en el ordenador. Es decir, todos los programas que haya instalados en el Es decir, todos los programas que haya instalados en el equipo, ya sean: Sistemas Operativos, Windows, Linux, equipo, ya sean: Sistemas Operativos, Windows, Linux, MAC OS, etc, navegadores Web, Internet Explorer, MAC OS, etc, navegadores Web, Internet Explorer, Firefox, Opera, Chrome, etc, clientes de correo Outlook, Firefox, Opera, Chrome, etc, clientes de correo Outlook, Thunderbird, etc, o cualquier otra aplicación: reproduc-Thunderbird, etc, o cualquier otra aplicación: reproduc-tores multimedia, programas de ofimática, compresores tores multimedia, programas de ofimática, compresores de ficheros, etc, es posible que tengan alguna vulne-de ficheros, etc, es posible que tengan alguna vulne-rabilidad que sea aprovechada por un atacante para rabilidad que sea aprovechada por un atacante para introducir programas maliciosos. introducir programas maliciosos. Para prevenir quedarse infectado de esta forma, reco-Para prevenir quedarse infectado de esta forma, reco-mendamos mendamos tener siempre actualizado el software el tener siempre actualizado el software el equipo.equipo.

Otros tipos de virusOtros tipos de virus

• Ejecutables.Ejecutables.• Macro.Macro.• Polimórficos.Polimórficos.• Residentes.Residentes.• Del sector de arranque.Del sector de arranque.

Internet.Internet.• Vulnerabilidades (ataques TCP/IP nave-Vulnerabilidades (ataques TCP/IP nave-gación webs hackeadas)gación webs hackeadas)..• Drive-by Dowload: descarga y ejecución Drive-by Dowload: descarga y ejecución de archivos.de archivos.• Correo electrónico: enlaces, adjuntos y Correo electrónico: enlaces, adjuntos y HTML.HTML.• Mensajería instantánea.Mensajería instantánea.• Redes sociales.Redes sociales.

Vías de contagio: Internet.Vías de contagio: Internet.

• Medios físicos.Medios físicos.• Documentos manipuladosDocumentos manipulados..• Software pirateado y cracks.Software pirateado y cracks.• Codecs de vídeoCodecs de vídeo..

Otras vías de contagio.Otras vías de contagio.

Nomenclatura del malware. CAROCARO. . Computer Research Antivirus OrganizationComputer Research Antivirus Organization.. Familia/Grupo. Variante-tipo.Familia/Grupo. Variante-tipo. W32/Hybris.A-mmW32/Hybris.A-mm. Virus Hybris para Windows 32 bit en su . Virus Hybris para Windows 32 bit en su variante A (primera) que tiene capacidad mass mailing o envío variante A (primera) que tiene capacidad mass mailing o envío masivo de correo electrónico infectado. masivo de correo electrónico infectado. W32/Bagle.dldrW32/Bagle.dldr. Virus Bagle para Windows 32 bit con . Virus Bagle para Windows 32 bit con capacidad de autodescarga (Downloader).capacidad de autodescarga (Downloader). W32/Netsky.p@mmW32/Netsky.p@mm. Virus Netsky para Windows 32 bit en su . Virus Netsky para Windows 32 bit en su variante P con capacidad mass mailing. variante P con capacidad mass mailing. W32/Sdbot.DKE.wormW32/Sdbot.DKE.worm. Virus Sdbot para Windows 32 bit en su . Virus Sdbot para Windows 32 bit en su variante DKE con capacidad de gusano. variante DKE con capacidad de gusano. Generic/PWS.a-trojanGeneric/PWS.a-trojan. Troyano genérico (afecta a varios siste-. Troyano genérico (afecta a varios siste-mas) de nombre PWS en su variante A. mas) de nombre PWS en su variante A. Exploit-PDF.q.gen!streamExploit-PDF.q.gen!stream. Documento especialmente manipu-. Documento especialmente manipu-lado (Exploit) genérico (afecta a varios sistemas) en formato PDF lado (Exploit) genérico (afecta a varios sistemas) en formato PDF en su variante Q con capacidad de dividirse en subarchivos en su variante Q con capacidad de dividirse en subarchivos (Stream).(Stream).

Correo basura (Spam).Correo basura (Spam).

• Tosco, burdo, sin buena traducción.Tosco, burdo, sin buena traducción.• Falsos premios, novias rusas, rolex, via-Falsos premios, novias rusas, rolex, via- gra…gra…• Mulas.Mulas.• Evolución redes sociales y mensajería Evolución redes sociales y mensajería instantánea. instantánea.• Control del Spam:Control del Spam:

- Dirección alternativa.Dirección alternativa.- No publicación en web.No publicación en web.- Bugmenot.Bugmenot.

Tendencias actualesTendencias actuales

• Del hacker a las mafias.Del hacker a las mafias.• De los puntual a lo masivo.De los puntual a lo masivo.• Aumenta el % de infectados.Aumenta el % de infectados.• Rentabilidad: muchos delitos pequeños Rentabilidad: muchos delitos pequeños mejor que uno grande, se diluye la perse-mejor que uno grande, se diluye la perse-cución.cución.• Nuevos frentes:Nuevos frentes:

- Wifi, Pendrives, Smartphones, Redes Wifi, Pendrives, Smartphones, Redes Sociales…Sociales…

Tendencias actualesTendencias actuales

• Robo de credenciales personales.Robo de credenciales personales.• DUMPs. Paquetes de datos de tarjetas de DUMPs. Paquetes de datos de tarjetas de crédito (goldendump.com).crédito (goldendump.com).• Ciberdelito instantáneo, justicia lenta.Ciberdelito instantáneo, justicia lenta.• Organizaciones pequeñas y muy especia-Organizaciones pequeñas y muy especia-lizadas: (programadores, distribuidores, re-lizadas: (programadores, distribuidores, re-copiladores, revendedores, blanqueadores.)copiladores, revendedores, blanqueadores.)• Alquiler bajo petición.Alquiler bajo petición.

Lo más seguro…Lo más seguro…

• No conectar a Internet ni en red local.No conectar a Internet ni en red local.

• No instalar nuevos programas.No instalar nuevos programas.

• No introducir medios externos (DVD, CD,No introducir medios externos (DVD, CD,

USB, etc.USB, etc.

• O bien...O bien...

¿Qué debo hacer?...¿Qué debo hacer?...

• No a los viejos consejos.No a los viejos consejos.o ¿Sentido común?¿Sentido común?o Con un antivirus estoy protegido al 100%.Con un antivirus estoy protegido al 100%.o Si no abro ejecutables estoy protegido.Si no abro ejecutables estoy protegido.

• No a la cuenta de administrador.No a la cuenta de administrador.• Actualizar el software.Actualizar el software.• Mantenerse informado.Mantenerse informado.• Protección física.Protección física.• Copias de seguridad.Copias de seguridad.

Vacunas…Vacunas…

• Antivirus.Antivirus.• Escaneadores.Escaneadores.• Antispyware.Antispyware.• Cortafuegos (Firewall).Cortafuegos (Firewall).• Software alterternativo.Software alterternativo.• Navegación SSL.Navegación SSL.• Cuidado con la wifi.Cuidado con la wifi.• Sistema de alimentación ininterrumpida.Sistema de alimentación ininterrumpida.• Máquinas virtuales.Máquinas virtuales.• Específicos para algunos virus.Específicos para algunos virus.

… … y remedios?y remedios?

• El clásico formateo.El clásico formateo.• Herramientas de eliminación Herramientas de eliminación (Removal tools)(Removal tools)..• Congelador.Congelador.• Copias de seguridad.Copias de seguridad.• Restaurar sistema.Restaurar sistema.• Imágenes de disco.Imágenes de disco.• Live CD.Live CD.

Herramientas IHerramientas I

• Contraseñas seguras, password.es.Contraseñas seguras, password.es.• Keepass. XmarksKeepass. Xmarks• Antivirus free: Avira, AVG, Avast...Antivirus free: Avira, AVG, Avast...• Antivirus online.Antivirus online.• htpp://www.av-comparatives.org/htpp://www.av-comparatives.org/• Removal tools.Removal tools.• Restaurar sistema.Restaurar sistema.• Actualizaciones automáticas.Actualizaciones automáticas.

Herramientas IIHerramientas II

• Firewall o cortafuegos.Firewall o cortafuegos.• Usuarios Windows / Linux, el problema delUsuarios Windows / Linux, el problema del administrador omnipresente.administrador omnipresente.• Originalidad: Firefox vs, Explorer, Linux vs,Originalidad: Firefox vs, Explorer, Linux vs, Windows, Thunderbird vs, Outlook, etcWindows, Thunderbird vs, Outlook, etc• Congelador.Congelador.• Copias de seguridad:Copias de seguridad:

o Totales, diferenciales, incrementales.Totales, diferenciales, incrementales.o Cobian Backup.Cobian Backup.

Herramientas IIIHerramientas III

• Spyware.Spyware.• http://www.siteadvisor.com/http://www.siteadvisor.com/• Norton Ghost / Clonezilla / G4LNorton Ghost / Clonezilla / G4L• Ipconfig, netstat, msconfig.Ipconfig, netstat, msconfig.• Virus total.Virus total.• Protección en documentos (Office, PDF,….)Protección en documentos (Office, PDF,….)• Control parental.Control parental.• Máquinas virtuales.Máquinas virtuales.• Útiles gratuitos de INTECOÚtiles gratuitos de INTECO

Diseño red educativa.Diseño red educativa.

• VLAN.VLAN.• Switches gestionables.Switches gestionables.

o Capa 2 y Capa 3Capa 2 y Capa 3o Administración gráfica/comandos.Administración gráfica/comandos.

• Servidores.Servidores.• Firewall: protección local y perimetral.Firewall: protección local y perimetral.• Proxy caché. Filtrado de contenidos.Proxy caché. Filtrado de contenidos.• QoS.QoS.• Optenet, CiberGest.Optenet, CiberGest.

Biblioteca de recursos.Biblioteca de recursos.

• INTECO: Instituto Nacional Tecnologías INTECO: Instituto Nacional Tecnologías de la Comunicación.de la Comunicación.

• VIL: Virus Information Library de Mcafee.VIL: Virus Information Library de Mcafee.

• Panda: Enciclopedia de virus.Panda: Enciclopedia de virus.

• Symantec Security Response.Symantec Security Response.

Citas I.Citas I.

• Pienso que los virus informáticos mues-Pienso que los virus informáticos mues-tran la naturaleza humana: la única forma tran la naturaleza humana: la única forma de vida que hemos creado hasta el mo-de vida que hemos creado hasta el mo-mento es puramente destructiva.mento es puramente destructiva.

Stephen HawkingStephen Hawking

• Las contraseñas son como la ropa inte-Las contraseñas son como la ropa inte-rior. No puedes dejar que nadie la vea, rior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes debes cambiarla regularmente y no debes compartirla con extraños.compartirla con extraños.

Chris Pirillo Chris Pirillo

Citas II.Citas II.

• El único sistema seguro es aquél que está El único sistema seguro es aquél que está apagado en el interior de un bloque de hor-apagado en el interior de un bloque de hor-migón protegido en una habitación sellada, migón protegido en una habitación sellada, rodeada por guardias armados muy bien pa-rodeada por guardias armados muy bien pa-gados, y aún así, permítanme dudarlo.gados, y aún así, permítanme dudarlo.

Gene SpaffordGene Spafford

• Saber romper medidas de seguridad no ha-Saber romper medidas de seguridad no ha-ce que seas hacker, al igual que saber hacer ce que seas hacker, al igual que saber hacer un puente en un coche no te convierte en un un puente en un coche no te convierte en un ingeniero de automoción.ingeniero de automoción.

Eric RaymondEric Raymond