SSL (Secure Socket Layer) comprende protocolos de comunicación encriptados que proveen de una comunicación segura en Internet.
por Osvaldo Callegari*
Diversas versiones de protocolos se encuentran distribuidas en diferentes aplicaciones como navegadores, correos electrónicos, fax por Internet, mensajería instantánea y voz sobre ip VoIP.
TLS (Transport Layer Security) dio origen a SSL como un borrador de seguimientos de seguridad.
Estos estándares generados por IETF (Grupo de Ingenieros de Internet) permiten encriptaciones sobre conexiones de segmentos de redes que utilizan la capa de transporte TL, los cuales utilizan criptografía asimétrica para el intercambio de claves y un algoritmo de encriptación simétrica para privacidad. Los mensajes acarrean unos códigos de autentificación para la integridad de los mismos.
Es posible hablar mas de una hora de SSL, cuando pensamos que era invulnerable demostró lo contrario. En este mundo tecnológico de hoy nunca esta dicha la última palabra, está visto que las medidas que uno adopta no siempre permanecen inalterables. La seguridad en las comunicaciones es una analogía exacta con los antivirus, dado que tenemos que estar constantemente actualizándolo para evitar nuevas amenazas.
¡Phishers al teléfono!
Las tecnologías de los teléfonos celulares están avanzando día tras día, por lo que los phishers (estafadores cibernéticos) también están buscando diversos medios para explotar teléfonos celulares vulnerables.
Las dos áreas clave en las que podemos observar esta tendencia son, en primer lugar, el aumento de la suplantación de identidad contra páginas WAP (Wireless Application Protocol) y en segundo lugar, el uso de nombres de dominio que han sido registrado para dispositivos móviles con doble intención.
Muchas marcas legítimas han diseñado sus sitios web para teléfonos celulares o páginas WAP. La diferencia entre un WAP y una página web normal es que la página WAP utiliza un reducido tamaño de los archivos y gráficos. Esto se hace para la compatibilidad de la pantalla de los teléfonos y también para alcanzar mayores velocidades de navegación mientras el usuario está en movimiento.
Symantec por ejemplo identifica las páginas de phishing o suplantación de páginas webs y ha seguido de cerca esta tendencia. Se observa con frecuencia en las redes sociales y marcas de servicios de información la tendencia al phishing.
En este ejemplo mostrado arriba, la página de phishing consiste en nada más que un formulario pidiendo credenciales a los usuarios (Este es un típico diseño creado para teléfonos celulares). Cuando la víctima entra en la información requerida, la página de phishing se redirige a la página WAP de la marca legítima, en el medio se queda con la información de acceso. El sitio de phishing en este caso fue alojado en un sitio de alojamiento de páginas gratuito.
Los nombres de dominio utilizados para sitios web accesibles por medio de dispositivos móviles suelen tener un dominio de nivel superior (TLD) llamado ".mobi". Estos nombres de dominio están comprometidos y utilizados por los phishers para alojar varios sitios de phishing.
En los últimos seis meses, eran falsos alrededor del 65% de dichos sitios. Su objetivo principal radicado en empresas del sector bancario, mientras que el 19% eran del sector del comercio electrónico y los restantes eran de la ISP, redes sociales, y sectores de servicios de información.
El motivo principal de los phishers en estos ataques sigue siendo el robo de identidad. La manipulación de usuarios de teléfonos celulares es sólo una parte de una nueva estrategia para lograr el mismo resultado con la facilidad de ser móvil y es más vulnerable a los cambios dado que tiene que prestar atención y no siempre en el exterior es posible.
A gran escala los ataques de malware utilizan los servicios de acortamiento de URL (nombres de páginas web). Desde hace tiempo se ven los spammers abusar de los servicios de acortamiento de URL a gran escala, por ejemplo:
Un ataque es perpetrado al menos en cinco diferentes sitios de páginas cortas. El mensaje decía ser de un traslado de fondos interbancarios, alegando que una transferencia había sido cancelada y el motivo era averiguar porqué la transferencia fue cancelada, uno de los beneficiarios se animó a hacer clic en un enlace que supuestamente apunta a un archivo PDF, pero en realidad apunta a una página reducida URL. Esta dirección a continuación, redirige a un sitio con publicidad y amenazas ocultas.
El proceso puede verse en la figura a continuación
La explosión de la popularidad de micro-servicios de blogs y actualizaciones de redes sociales ha generado un enorme aumento en el número de sitios de direcciones cortas. La naturaleza simple y anónima de estos sitios permite a los spammers (generadores de correo basura) crear fácilmente miles de enlaces que luego se incluyen en su correo no deseado en un intento de evadir basados en URL bloqueo de spam.
Consejos y mejores prácticas para las empresas
1. Emplear en profundidad las estrategias de defensa. Hacer hincapié en la implementación de múltiples sistemas para proteger contra un solo punto ante fallos de cualquier tecnología o método defensivo. Esto debería incluir el despliegue de servidores de seguridad con actualización periódica así como antivirus para Gateways (puertas de acceso a Internet) y detección de intrusos,
2. Vigilar amenazas y las posibles vulnerabilidades. Monitor de intrusiones en la red, la propagación y otros intentos de los patrones de tráfico sospechosos, identificar conexiones que intentaron generar contacto con sitios maliciosos. Recibir alertas de nuevas vulnerabilidades y amenazas a través de plataformas activas.
3 Seguimiento de uso indebido de marcas a través de informes de alerta y de dominio del sitio ficticio.
4. Antivirus en los puntos finales. El antivirus solo basado en firmas no es suficiente protección contra las amenazas actuales.
5. Implementar capas de protección adicionales. Prevención de intrusiones en los puntos finales, los cuales protegen contra las vulnerabilidades sin necesidad de parches.
6. Considerar la prevención basada en la nube de software malicioso para proporcionar una protección proactiva contra amenazas desconocidas y archivos basados en Web.
7. Configuración de las aplicaciones de control que puedan evitar que las descargas de contenidos malicioso no autorizado vaya hacia las aplicaciones. Ajustes de control de dispositivos que impiden y limitan los tipos de dispositivos USB que se utilizarán. El uso de encriptación para proteger los datos sensibles: Aplicar y hacer cumplir una política de seguridad mediante el cual los datos sensibles es
cifrada.
8. El acceso a la información sensible debe ser restringido. Este debe incluir una protección de Pérdida de Datos (DLP), el cual es un sistema para identificar, monitorear y proteger los datos. Utilice Data Loss Prevention (Prevención en la pérdida de datos) para ayudar a prevenir las amenazas a los datos: Implementar una solución DLP monitorea los datos confidenciales y los protege ante pérdidas.
9. Implementar una política de medios extraíbles. Cuando sea práctico, restringir los dispositivos no autorizados, tales como externa portátiles de discos duros y otros medios extraíbles. Tales dispositivos pueden introducir efecto dañino, así como facilitar el daño de la propiedad intelectual.
10. En los dispositivos de medios externos automáticamente debe realizarse el análisis de virus al conectarse a la red y utilizar una solución DLP para monitorear y/o restringir la copia de datos confidenciales a cifrar en los dispositivos de almacenamiento externo.
11. Actualice sus medidas de seguridad con frecuencia y rapidez. Más de 286 variantes de malware fueron detectadas por Symantec en 2011, las empresas deben actualizar las definiciones de virus en pos de la seguridad y prevención de intrusiones, por lo menos varias veces al día.
12. Sea agresivo en su actualización y parches. Actualice las versiones de navegadores con periodicidad.
13. Aplicar una política de contraseñas eficaces. Asegurarse de que las contraseñas son fuertes, por lo menos 8-10 caracteres de longitud y incluyen una mezcla de letras y números. Anime a los usuarios para evitar volver a utilizar las mismas contraseñas en múltiples Sitios Web y el intercambio de contraseñas con otras personas debería estar prohibido. Las contraseñas deben cambiarse
regularmente, por lo menos cada 90 días. Evite escribir las contraseñas.
Lavado de dinero producto del phishing
Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de e-mails, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión.
RECUADRO
Consultas
Nos escribe Fernando, quien leyó el artículo anterior Herramientas de Acceso Remotos II con una pregunta sobre Teamviewer.
Asunto: Consulta sobre la nota “Herramientas de acceso remoto (II)”
Pregunta: Hola, mi nombre es Fernando y me pareció muy interesante y útil la nota que te describo en el asunto del mail. Pero me ha quedado una duda.
Ya que no es necesario configurar puertos para permitir la conexión remota. ¿Cómo puedo hacer para evitar que los usuarios de mi red interna se conecten remotamente con este software? Es política de la empresa restringir el acceso remoto, en todas sus variantes, incluso ésta. ¿Qué es lo que tengo que denegar en el proxy/firewall para inhabilitar el acceso hacia la red interna? graciass!
Fernando.
Respuesta: Estimado Fernando: De forma predeterminada TeamViewer utiliza el puerto de salida 80 http para lo cual no es necesaria la configuración en el firewall, el otro puerto que generalmente usa es el 5938 por TCP para conexiones salientes. Cordiales saludos.
Para una autenticación segura es necesario que las aplicaciones estén firmadas, esto será tema de un capítulo posterior.
Las marcas y productos mencionados son marcas y productos registrados de sus propias empresas. Fuentes de referencia Symantec, Netscape, Teamviewer, Wikipedia.
* Para consultas o inquietudes con el autor escriba a: [email protected]
