Boletín de Consultoría Gerencial Ataques sobre cuentas de redes sociales

Documentos relacionados
Boletín de Consultoría Gerencial

Boletín de Consultoría Gerencial Realidad y Expectativas del Mercado de Divisas

Tecnología Safe Money

Boletín Asesoría Gerencial*

Boletín de Asesoría Gerencial* Análisis y gestión de riesgos laborales

Boletín de Consultoría Gerencial Gestión de la Cadena de Suministros (Supply Chain Management): Gestión Integral de la Cadena

Boletín de Asesoría Gerencial* Gestión práctica para el cálculo de la tasa de recuperación crediticia

Recomendaciones para el uso del correo electrónico.

Seguridad Informática en Bibliotecas

Transferencia documentos Actas - Extranet

Transferencia documentos Hechos Esenciales - Extranet

Boletín Asesoría Gerencial*

Conexiones de Internet

Seguridad de las contraseñas. <Nombre> <Institución> < >

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA ROBO DE IDENTIDAD EN INTERNET: USO INDEBIDO DE DATOS PERSONALES

Navegadores. Los navegadores. Privacidad. Oscar Herrero INTERNET SEGURO CEIP ARCIPRESTE DE HITA. Fuente:OSI

Boletín de Consultoría Gerencial Planificación Estratégica: Una acción proactiva para la sustentabilidad de los negocios

BOLETÍN INFORMATIVO. No. 025 Bogotá D.C., octubre 21 de 2016

Boletín de Consultoría Gerencial

Boletín Asesoría Gerencial*

QUE SON LOS CANALES. Oficinas Todos los puntos físicos de atención o contacto con los clientes

Ley de Costos y Precios Justos: Enfoque práctico basado en estrategias y modelos para minimizar los impactos en su negocio

Solicitud de certificado digital - Scotia en Lí nea.

DECÁLOGO DE SEGURIDAD

Boletín de Consultoría Gerencial

MANUAL DE ADMINISTRACIÓN DEL SITIO WEB DE NACIONES UNIDAS EN COLOMBIA

Boletín de Asesoría Gerencial* Gestión de TI en tiempos de Recesión

UÍA RÁPIDA. Protegiéndose contra el Phishing y el Fraude

SEGURIDAD DE LA DATA MASTERBASE S.A.

Boletín de Consultoría Gerencial

Estudio de los riesgos relacionado con las redes Wi-Fi. A. Alejandro González Martínez

Skimming VIGI PRENSA: Asegure sus Tarjetas Bancarias

COOPERATIVA RIACHÓN LTDA.

DEFINICIÓN. Fuente de imagen: ica.blogspot.com.es/2015/03/ley delitos-informaticos.html

INSTALACIÓN DE CERTIFICADO DE FIRMA DIGITAL EN MOZILLA FIREFOX

MANUAL DE AUTENTICACIÓN DE USUARIO ACCIÓN FIDUCIARIA

Web Privada. Documentación para el cliente. Pág. 1

Vulnerabilidad en la Capa de Conexión Segura de la librería OpenSSL - Heartbleed

POLICÍA NACIONAL DEL ECUADOR DIRECCIÓN NACIONAL DE COMUNICACIONES

Cifrado y firmado de correo electrónico con Mozilla Thunderbird

Paso a paso: Verificación de requisitos e Instalación de JAVA

Enfoque práctico basado en estrategias y modelos para minimizar los impactos

INSTALACIÓN DE TOKEN GEMALTO DESDE EL CD

Ejercicio práctico 6

Manual de Usuario Sistema de Postulación en Línea

Privacidad en Internet

Ejercicio práctico 6

CONFIGURACIÓN DE FIRMA DIGITAL EN WORD 2013

DIRECCIÓN GENERAL DE REGISTRO CIVIL, IDENTIFICACIÓN Y CEDULACIÓN. Sistema Nacional de Identificación Ciudadana. Manual de Usuario

Boletín de Consultoría Gerencial Plan de Sucesión: Reto y Oportunidad para las Empresas Familiares

Sobre CSIRT-CV CSIRT-CV Datos de contacto

Tramitar Certificado de Sello Digital

6. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED:

Boletín de Asesoría Gerencial*

Boletín de Asesoría Gerencial* Modelo Credit Scoring: Un paso hacia una gestión diferenciada y eficiente del riesgo de crédito

Instructivo. Registro y validación de cuentas bancarias de los Usuarios, para interconexión con el sistema de consignaciones INSTRUCTIVO:

UCWIFI en WINDOWS 7 para Docentes, Investigadores y Empleados

Boletín de Consultoría Gerencial

Qué es World Wide Web? La red como instrumento de comunicación. Sugerencias para sacar el máximo partido de WWW. Requisitos para utilizar WWW

Manual de Instalación de Token Safenet

Contraloría General de la República Sistema Transferencia Manual de usuario

DIRECCIÓN GENERAL DE REGISTRO CIVIL, IDENTIFICACIÓN Y CEDULACIÓN. Sistema Nacional de Identificación Ciudadana. Manual de Usuario

o Seguridad en el acceso a recursos: o Establecer identidad del solicitante (Autentificación). o Permitir o denegar el acceso (Autorizar).

GUÍA DE USO PLATAFORMA VOLUNTARIADO 2.0

Requisitos Técnicos. net cash

Cómo identificar y evitar los peligros en Internet

DEL 5 AL 9 DE ENERO. Guía de usuario para Firma Electrónica de Actas de Evaluación Sistema Integral de Información Académica

Manual de Usuario Estadísticas P.E.N. Manual de Usuario

ESET NOD32 ANTIVIRUS 10

MANUAL PARA EL CARGUE DE REPORTES POR FTP

Gestión de Noticia Portal de Dirección de Postgrados Dirección de Tecnologías de Información, Universidad de Concepción.

Servicios para el docente

Registro e Ingreso de Usuarios en Internet

Boletín de Asesoría Gerencial* La próxima generación de herramientas para la gestión de privilegios de acceso en sistemas integrados - ERP

Sacar una cuenta de correo electrónico con Gmail

MANUAL DE USUARIO. La ventana principal de ingreso del sistema es la que se indica a continuación:

III Encuesta de Responsabilidad Social en Venezuela

INTRODUCCIÓN 2 QUE HAY DE NUEVO 2 PRE- REQUISITOS 2 INSTALACIÓN DE LA TOTUGA 2

PrivacyKeeper permite: Eliminar las credenciales de inicio de sesión:

ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

Manual de Descarga e instalación de la Máquina Virtual Java. Versión 1.0

Departamento Informática Departamento Informática Softhard Seguridad TI. Softhard Seguridad TI. Qué es cryptowall 4.0?

B VEDA F I S C A L R Más alla de la Facturación Electrónica Más alla de la Facturación Electrónica

. Conceptos generales 1

LOCKY: NUEVO RANSOMWARE CON CARACTERÍSTICAS COMUNES AL TROYANO BANCARIO DRIDEX

Firma Electrónica Guía de Uso

1. CONTENIDOS. CONTENIDOS MÍNIMOS 2. CRITERIOS DE EVALUACIÓN 3.CRITERIOS DE CALIFICACIÓN

Manual de Aplicativo de Escritorio Multimarca

Manual de Operación. Cotización Interactiva

PROTECCIÓN ANTE VIRUS Y FRAUDES

PARTE 1. XSS indirecto

Ayuda para entrar a EVA Unidad de Capacitación

Boletín de Asesoría Gerencial* Implementación de la Norma Técnica para la Elaboración del Programa de Seguridad y Salud en el Trabajo

Guía Rápida del Portal de Proveedores

Manual de instalación Certitool.

Manual de Campus virtual para Alumnos. Económicas Virtual. UNLZ-Facultad de Ciencias Económicas

Tramite de Certificado de Sello Digital

Convocatoria C Convocatoria 2016

Auditoría Técnica de Seguridad de Aplicaciones Web

Guía de Instalación de fastpos

Transcripción:

www.pwc.com/ve Inicio Boletín Digital No. 16-2011 Espiñeira, Sheldon y Asociados

- No. 16-2011 Haga click en los enlaces para navegar a través del documento 4Introducción Principales medios de ataques a las cuentas en redes sociales Deducción de contraseñas Ingeniería social/ Phishing Instalación de software malicioso Captura de tráfico Debilidades de la plataforma Conclusiones 4Créditos / Suscribirse

Introducción Los ataques a cuentas de usuarios en las redes sociales ha sido un tema recurrente en las noticias, al punto que se ha hecho cotidiano el acceso no autorizado a cuentas de personalidades como Sarah Palin 1, Paris Hilton 2, Ashton Kutcher 3, Alvaro Uribe y Juan Manuel Santos 4, Daniel Samper 5, etc. Otro ejemplo: el 9 de Septiembre del 2011 la cuenta de Twitter de la cadena de NBC News fue atacada 6, logrando los agresores publicar noticias referentes a atentados terroristas similares a los del 11 de Septiembre del 2001. Venezuela no escapa tampoco a esta realidad. A comienzos del mes de Septiembre de 2011 se pudo observar una oleada de intrusiones a las cuentas de redes sociales de varios personajes públicos en Venezuela. Las cuentas se usaron luego para enviar mensajes ofensivos, afectando la imagen pública de estas personas. Al margen de los ataques notorios que hemos mencionado, y que usualmente sólo sirven como un mecanismo para incrementar la reputación de algún grupo de Hackers, la realidad es que muchos otros casos ocurren y las consecuencias son el acceso a la información confidencial de las personas, pudiendo servir luego como punto de partida para otras modalidades criminales como chantajes, robo de identidad, fraudes, secuestros, etc. La pregunta ahora es: Cómo logran los atacantes obtener el acceso a estas cuentas?, y más importante aún: Qué puedo hacer como usuario para protegerme? En una reciente encuesta realizada por Harris Interactive entre el 31 de Mayo y el 2 de Junio de 2011 7, el 10% de los usuario respondió haber sido víctimas de ataques a sus cuentas en las redes sociales y un 13% no está seguro si fue atacado o no. Adicionalmente, el 69% de los usuarios de redes sociales respondieron que están preocupados por la seguridad de sus perfiles, sin embargo, sólo el 55% actualiza el perfil de seguridad de sus cuentas al menos una vez cada seis (6) meses. Sólo el 55% de los usuarios actualiza su perfil de seguridad al menos una vez cada seis meses 55% Fuente: Eset Survey, Junio 2011 1 http://www.thetechherald.com/article.php/200839/2083/palin-hackhighlights-important-e-mail-risks 2 http://www.oreillynet.com/pub/a/mac/2005/01/01/paris.html 3 http://news.cnet.com/8301-17852_3-20038602-71.html 4 http://www.elespectador.com/noticias/politica/articulo-285824- anonymous-hackea-cuenta-de-twitter-de-uribe 5 http://www.vanguardia.com/actualidad/colombia/117112-hackearoncuenta-de-twitter-del-periodista-daniel-samper-ospina 6 http://news.cnet.com/8301-27080_3-20104165-245/nbc-news-twitteraccount-hacked/ 7 http://blog.eset.com/2011/06/22/the-social-networkingcybersafetydisconnect

Principales medios de ataques a las cuentas en redes sociales Deducción de contraseñas Cualquier atacante intentará la vía más sencilla, antes de recurrir a modalidades de ataques más complejas. La deducción de una contraseña es un ataque sencillo y con un grado de éxito aceptable. La estrategia comúnmente utilizada por los atacantes consiste en realizar una pequeña investigación sobre la persona a ser atacada buscando obtener datos que tradicionalmente se utilizan para crear sus contraseñas, como nombres de familiares y allegados, fechas importantes, nombres de mascotas, ciudades donde ha vivido, etc. Con estos datos se conforma una lista de palabras o diccionario que luego puede ser introducida a una herramienta que se dedica a intentar varias combinaciones de estas, con ligeras alteraciones, hasta agotar las posibilidades o lograr el acceso a la cuenta. Para ampliar, haga click sobre el cuadro Diccionario de Palabras Internet Intentos de Acceso Figura N 1. Modelo de ataque de diccionario Atacante Web Una variante de este ataque consiste en atacar los mecanismos de recuperación de contraseñas de las páginas: muchas redes sociales o sitios de correo electrónico, permiten al usuario recuperar o reiniciar su contraseña, a través del uso de preguntas secretas, cuya respuesta únicamente el usuario debería conocer. Sin embargo, muchas de las preguntas predefinidas como: Apellido de soltera de la madre?, Color favorito?, Ciudad donde nació?, Nombre de su primera mascota?, etc., pueden ser deducidas con una investigación previa sobre la persona. La principal contramedida contra estos ataques es tan sencilla como el ataque mismo, definir contraseñas seguras no relacionadas directamente con nuestra persona. Una buena guía se encuentra en nuestro boletín 2011-15 El Password: Factor crítico de éxito para proteger la información contra los Hackers.

Principales medios de ataques a cuentas en redes sociales (cont.) De igual manera, con las preguntas secretas, se pueden implementar mecanismos sencillos, tales como, elegir palabras que recordemos y que no sean relacionables con la pregunta, por ejemplo: Color favorito?, respuesta: Caracas. Para ampliar, haga click sobre el cuadro 2 La principal defensa contra la Ingeniería Social consiste en mantener una buena cultura en Seguridad de Información, teniendo siempre presente el no revelar información confidencial, como por ejemplo las contraseñas. Ingeniería social/ Phishing Otra premisa importante para un atacante es el hecho que el ser humano tiene la naturaleza de confiar en otras personas. El método por el cual un atacante busca explotar esta característica para obtener un acceso es conocido como Ingeniería Social. 1 Víctima Envío de link 3 Envío de usuario / contraseña Web Ficticia De igual manera, el verificar las direcciones y características de seguridad (Candado de cifrado, URL, etc.) de cualquier sitio al que naveguemos, buscando tener como costumbre ingresar siempre la dirección manualmente y no utilizar enlaces enviado por terceras partes. Instalación de software malicioso Existen diversos mecanismos para realizar ataques de Ingeniería Social, que van desde llamadas telefónicas donde el atacante de hace pasar por personal de soporte técnico o telemercadeo para obtener datos del usuario, hasta mecanismos más complejos como guiar a los usuarios a sitios Web idénticos al original para obtener su información de autenticación. 4 Atacante Figura N 2. Modelo de ataque de Phishing Web Real Un tercer vector de ataque, cuando los es no han sido exitosos, consiste en el uso de software malicioso. En este escenario, el atacante busca infectar a su víctima con un programa con el cual pudiese tener acceso a los documentos almacenados en el equipo, captura de teclado y pantalla y ejecución de programas remotos.

Principales medios de ataques a cuentas en redes sociales (cont.) Los métodos más comunes para infectar al usuario consisten en hacer llegar al usuario archivos troyanos, que al ejecutarse instalen el software malicioso. Estos troyanos son usualmente enviados por correos electrónicos, memorias USB o CD-ROMs, donde se busque explotar la curiosidad del usuario para ejecutar la aplicación maliciosa. La mejor defensa para estos ataques consiste en contar con software antivirus actualizado, que detecte y elimine cualquier software malicioso presente en el equipo. De igual manera, se recomienda tener cuidado de programas que sean enviados por correos o que se descarguen por Internet, así como también el insertar medios removibles no confiables en los equipos. Para ampliar, haga click sobre el cuadro 1 Víctima Envío de troyano Atacante 4 Web Figura N 3. Modelo de ataque por infección de troyano 2 3 Envío de usuario / contraseña Captura de tráfico Otro mecanismo utilizado para obtener la información de los usuarios consiste en la captura del tráfico de red (sniffing) por parte del atacante. Para poder ejecutar este tipo de ataques, el usuario debe encontrarse en la misma red que el atacante, esto puede darse, por ejemplo, al usar redes inalámbricas (Wi-Fi) públicas, tales como: aeropuertos, hoteles, restaurants, o en algunos casos el mismo proveedor de Internet (ISP). Una vez que el atacante identifica que la victima esta en la misma red, procede a utilizar herramientas especializadas para obtener los datos de autenticación (Password y Contraseña) o la información de sesión de la página Web (Cookies). Una vez que el atacante posee esta información, puede proceder a suplantar la identidad o robar la sesión del usuario. En Internet existen numerosas herramientas como el plugin firesheep para Firefox, que hacen muy sencillo este tipo de ataque.

Principales medios de ataques a cuentas en redes sociales (cont.) Para ampliar, haga click sobre el cuadro En algunos casos, el tráfico de red puede encontrarse cifrado, como por ejemplo, cuando la página utiliza conexiones Web seguras (HTTPS). En estos casos, el atacante debe realizar ataques para forzar que el tráfico de la victima sea enviado primero a su equipo, antes de ir al sitio final. Estos tipos son conocidos como Hombre en el Medio. Normalmente al generarse este tipo de ataques, los navegadores generan mensajes de error del certificado digital, sin embargo muchos usuarios tienden a ignorar estos errores, haciéndole más sencillo el trabajo al atacante. La manera de defenderse contra este tipo de ataques consiste en evitar acceder a las cuentas de redes sociales desde redes públicas y en caso de requerirlo asegurarse de ingresar a las mismas por las versiones cifradas (HTTPS) y validar y revisar cualquier mensaje de error de certificados digitales que se presenten al iniciar sesión y en caso de duda no ingresar al sitio. Intercepción del tráfico 3 Víctima 1 Ataque de redirección del tráfico Atacante 2 4 Web Debilidades de la plataforma Otro recurso que el atacante puede buscar con hechos, son vulnerabilidades presentes en la plataforma de la página de la red social o servicio de correo electrónico. Aún cuando no son comunes y normalmente son del conocimiento de pocos, estas vulnerabilidades pueden ser muy poderosas permitiendo al atacante obtener acceso a la información de las víctimas. Estas debilidades tienden a ser detectadas y corregidas rápidamente por los proveedores del servicio, por lo cual la ventana de exposición tiende a ser muy corta. Sin embargo, el usuario final no tiene ninguna defensa para este tipo de ataque. Figura N 4. Modelo de ataque por redirección de tráfico

Conclusiones Después de analizar los principales métodos por los cuales un atacante puede obtener los datos de las redes sociales para ingresar a las cuentas de sus víctimas, se puede observar que muchos de estos ataques pueden ser evitados contando con una buena cultura de Seguridad de Información, donde el usuario busque proteger sus datos a través de contraseñas robustas, accediendo a sus cuentas desde redes conocidas y seguras y desconfiando de fuentes externas que hagan envío de archivos desconocidos o que indaguen datos personales del usuario.

Créditos Para suscribirse al Boletín Consultoría Gerencial Síganos en El presente boletín es publicado por la Línea de Servicios de Consultoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PwC. Este boletín es de carácter informativo y no expresa opinión de la Firma. Si bien se han tomado todas las precauciones del caso en la preparación de este material, Espiñeira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daños y perjuicios resultantes del uso de la información contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueños. PwC niega cualquier derecho sobre estas marcas Editado por Espiñeira, Sheldon y Asociados Depósito Legal pp 1999-03CS141 Teléfono master: (58-212) 700 6666 2011 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a Espiñeira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J-00029977-3

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback