VULNERABILIDADES TECNOLÓGICAS.

01 octubre 2018 1

       Autor: David Martín Alvarez.  

Cada día es más habitual oír la palabra vulnerabilidad por la tele, radio e internet. Hasta no hace mucho tiempo los problemas con los sistemas y equipos informáticos venían de mano de los virus o de descuidos por parte del usuario. Y resalto “equipos informáticos”, puesto que hoy en día pueden existir vulnerabilidades en todo tipo de dispositivos, empezando por ordenadores y teléfonos móviles, pasando por Smart TVs y acabando por bombillas inteligentes con wifi o termostatos con acceso a internet.  Y es ahí donde radica todo el problema, estamos rodeados de dispositivos electrónicos que por un lado nos facilitan inmensamente la vida, pero por otro abren puertas a peligros que antes no existían.

Por vulnerabilidad en el ámbito tecnológico entendemos cualquier cosa que haga que un sistema o dispositivo sea susceptible de ser atacado. Y nuevamente resalto “cualquier cosa”, puesto que una vulnerabilidad en un sistema puede partir de cualquier elemento del sistema que propicia una debilidad en este, incluido el propio usuario. El simple hecho de tener las claves apuntadas en un post-it pegado al monitor supone una vulnerabilidad del sistema. 

¿Y una vez que alguien aprovecha una vulnerabilidad que es lo que pueden lograr?, pues muchas cosas, tenemos que tener en cuenta que cada día los dispositivos y sistemas tecnológicos que forman parte de nuestra vida son más numerosos.01 octubre 2018 2

  • Robar los datos de nuestro equipo
  • Acceder a nuestras cuentas bancarias
  • Acceder a nuestras redes sociales
  • Ver a través de las cámaras de nuestros ordenadores, móviles, etc, etc
  • Oír de los micrófonos de nuestros dispositivos.
  • Averiguar nuestra ubicación geográfica.
  • …..

Y todo eso hoy en día, porque a la velocidad a la que van los cambios con la tecnología en nuestra sociedad dentro de nada estoy seguro de que una vulnerabilidad podrá dejarnos sin calefacción, modificarnos la lista de la compra o cambiarnos las citas con el peluquero…

Otro término común muy relacionado con este tema es el de “Exploid”. Se trata de aprovecharse de una vulnerabilidad existente. Cuando se descubren éstas en algunas ocasiones se publican, y hay quien aprovecha esos errores, pues no todo el mundo actualiza los sistemas a pesar de las advertencias de los fabricantes. En otras ocasiones la vulnerabilidad se descubre, pero el fabricante tarda en lanzar el parche. Por tanto estamos en situación de inseguridad hasta que aparezca este. Y por otro lado podría ser que se encuentre un fallo en el diseño cuya solución es bastante complicada. En muchas ocasiones pasa por un rediseño del Sistema Operativo, lo cual puede llevar tiempo. Tal es el caso de  Spectre y Meltdown.

01 octubre 2018 3Mientras se crean esas herramientas para solucionar el problema encontrado existe quien crea programas para aprovecharse de esas vulnerabilidades, y justo eso es un exploit.

Volviendo al tema de los recientes Spectre y Meltdown. Se trata de un error en el diseño físico de los procesadores Intel que propicia  que un programa pueda aprovechar esa debilidad en el sistema para leer una zona de memoria usada por otros programas, de modo que pueda acceder a información usada por ellos, lo cual se traduce en un grave problema de seguridad. Y lo peor de todo es que ese problema existe en la mayoría de los equipos con procesadores Intel desde 1995. Quizás en nuestra casa no nos suponga mucho problema, pero imagina que en servidores de empresas, organizaciones o Administraciones Públicas se exponen todos los datos y eso si que es un grave problema. (Si deseas profundizar en el tema escanea el código QR para ver un video en YouTube).

Para evitar que las vulnerabilidades nos afecten además de estar concienciados sobre su problemática debemos:

  • Actualizar los sistemas operativos y los firmwares de los dispositivos ( el firmware es el sistema operativo de cada uno de los pequeños dispositivos).
  • Conocer todos aquellos dispositivos que pueden ser objeto de vulnerabilidades en nuestro día a día.
  • No instalar aplicaciones de las que no conozcamos su origen o de las cuales desconfiemos.
  • Instalar un firewall en nuestro hogar, lograremos controlar todo el tráfico entre el exterior y nuestro hogar.
  • Mantener copias de seguridad de nuestros datos.
  • Y sobre todo, Sentido Común.

Otra prueba de la importancia de este tipo de problemas es que empresa como Microsoft (Microsoft Secutity Response Center) dispongan de departamentos dedicados exclusivamente a la seguridad. En este departamento se analizan los avisos de los usuarios sobre posibles vulnerabilidades en sus productos, así como informar sobre ellos y solucionarlos. Además, clasifican las vulnerabilidades (esta clasificación es muy usada) en función de su gravedad indicando los efectos que pueden tener en los sistemas:

  • Crítica: Permitir la propagación de un gusano de Internet sin la acción del usuario.
  • Importante: puede poner en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, o bien, la integridad o disponibilidad de los recursos de procesamiento
  • Moderada: El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías o la dificultad intrínseca en sacar partido a la vulnerabilidad
  • Baja: de impacto mínimo o que es realmente complicado de aplicar

La expresión “Vulnerabilidad Tipo Día Cero es muy habitual escucharla hoy en día en lo que se refiere a seguridad informática. Este tipo de01 octubre 2018 4 vulnerabilidades son aquellas que no han sido descubiertas como tales, de modo que aunque suene un poco extraño una vulnerabilidad en cuanto se descubre deja de ser tipo 0, al menos que sea descubierta por alguien con intenciones de desarrollar un exploit para ella y no informar. Imagina que descubres una forma de entrar al cine sin pagar, y la usas para ver películas gratis cuando quieres, mientras el dueño del cine no lo descubra será una vulnerabilidad tipo día cero, pero si algún día se descubre el truco dejará de serlo. Además, seguro que inmediatamente el dueño tomará medidas para que nadie se cuele, ¿Suena lógico verdad?, pues en el mundo digital no siempre ocurre así.

Algunas empresas dan recompensas a quien descubre vulnerabilidades en sus aplicaciones, tal y como hacen Microsoft o Google. La cuantía de estas recompensas va en función del tipo de vulnerabilidad detectada, llegando a pagarse hasta 200.000$ por una vulnerabilidad encontrada, e incluso en algún caso han incorporado a su plantilla de trabajadores al descubridor.

Recientemente Google ha creado Google Play Security Reward, un programa en que se recompensa a los usuarios que encuentran vulnerabilidades en aplicaciones del Play Store. 

Por desgracia en algunas ocasiones se produce el efecto contrario. Cuando una empresa u Administración es informada sobre un problema en su aplicación va en contra del informador, aunque este simplemente haya informado y no explotado la vulnerabilidad. Esto demuestra un desconocimiento, incomprensión e inadaptación a los nuevos tiempos y tecnologías. Por desgracia esto ha ocurrido recientemente en nuestro país con una administración.

Como conclusión debemos sacar que hoy en día el análisis, detección y prevención de vulnerabilidades es un punto crítico en la seguridad informática, pues como decíamos al inicio del artículo el alcance de la tecnología en nuestra vida cada día es mayor y por ello estamos expuestos a todas sus debilidades cada día más.

https://openclipart.org/detail/214766/looking-glass

https://www.publicdomainpictures.net/en/view-image.php?image=240720&picture=error

License: CC0 Public Domain

https://commons.wikimedia.org/wiki/File:Meltdown.png

Creative Commons CC0 1.0 Universal Public Domain Dedication

04 Diciembre 2020 02
Seguridad-Privacidad en Internet

HTTPS, seguridad en la navegación:

HTTPS, SEGURIDAD EN LA NAVEGACIÓN.

Autor: David Martin Alvarez.

Muchas veces cuando hemos navegado hemos visto un candado cerrado a la izquierda de la barra de direcciones de la web en la que estamos. En otras ocasiones podemos ver en esa posición un signo de admiración que nos advierte que puede ser un sitio peligroso. Quizás sepas que esto tiene algo que ver con https, pero estoy seguro que no sabes en que consiste este mecanismo de seguridad con el cual lidiamos casi siempre que navegamos.

En un principio para entender todo esto conviene saber que es http. Se trata de un protocolo de comunicación mediante el cual enviamos y recibimos información, y gracias a ello podemos navegar por internet. Cuando accedemos a una página web se inicia una comunicación entre nuestro navegador y el servidor donde se aloja esta. En esa comunicación se intercambiará todo tipo de información, desde nuestra dirección ip , a nuestros datos de inicio de sesión (usuario y contraseña) , número de tarjeta de crédito si estamos realizando compras, información sensible sobre nuestra identidad…

Leer más
02 octubre 2019 01
Seguridad-Privacidad en Internet

EVITA QUE MICROSOFT TE ESPÍE

EVITA QUE MICROSOFT TE ESPÍE.

Autor: David Martin Alvarez.

En la mayoría de las ocasiones cuando pensamos en la seguridad informática nos vienen a la cabeza imágenes de tipos malvados en un sótano rodeados de ordenadores que interceptan nuestros datos y comunicaciones y los tienen guardados para extorsionarnos algún día.

En realidad eso es bastante complicado que ocurra, aunque como hemos comentado en otros artículos es perfectamente posible. La realidad es más turbia, pues nos están constantemente espiando y rastreando nuestros datos, y lo que más triste, en muchos casos con nuestra autorización. Sí, efectivamente, les hemos dado permiso, cuando hacemos click en “He leído y acepto las condiciones” y a continuación pulsamos el botón de aceptar sin haber leído nada.

A continuación os explicaré una serie de métodos para lograr que los datos que obtienen de nosotros nuestros amigos de Microsoft sea el menor posible. Con esto no quiero decir que Microsoft sea la única empresa que se dedica a recopilar datos ajenos para su propio interés, la lista desgraciadamente es bastante larga, pero por alguna hemos de comenzar.

Leer más
9 Mayo 2019 1
Seguridad-Privacidad en Internet

LOS NIVELES OSCUROS DE LA WEB

LOS NIVELES OSCUROS DE LA WEB.

Autor: David Martin Alvarez.

En pasados artículos nos hemos comenzado a familiarizar con términos y definiciones específicas en el mundo hacker. Poco a poco hemos ido conociendo diferentes aspectos sobre navegación segura por internet, sistemas críticos, tipos de personajes que nos podemos encontrar mientras navegamos (o que se introducen en nuestros sistemas sin que nos percatemos) y muchos otras cuestiones que poco a poco se van presentando.

Ahora vamos a hablar sobre los sitios en los cuales nos podemos introducir navegando por la web. RECOMENDAMOS QUE NO ENTRÉIS EN ESTOS SITIOS, SIMPLEMENTE AQUÍ LOS ENUMERAMOS y os comentamos cuales son las características de estos con objeto de que sepáis que existen. Para entrar en estos sitios debemos controlar perfectamente lo que hacemos, en caso contrario los más seguro que conseguiremos, en el mejor de los casos, es algún malware.

Lo primero que debemos de entender es que la web tal y como la conocemos se compone de una serie de sitios que están al alcance de todo el mundo y que en un principio los buscadores (Google, Yahoo,  duckduckgo…) indexan. El término indexar, aunque suene un poco extraño viene a significar “crear un índice”. Explicado con un poco más de amplitud significa que los buscadores, gracias a una serie de robots que están continuamente recorriendo la web, crean un índice de estas (Se guardan estas páginas y sus características en sus Bases de Datos para que a la hora de realizar búsquedas estas sean eficientes). Una vez tenida en cuenta esta cuestión podemos pasar a saber que es la Deep Web.

Con Deep Web en un principio se englobaron los contenidos no indexables. Esto que suena un tanto extraño simplemente se refiere a los contenidos complicados de encontrar usando los buscadores que están al alcance de todos, principalmente porque los motores de búsqueda no pueden acceder a ellas y por tanto no las incluyen en sus Bases de Datos.

Leer más
Revista