Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

domingo, 23 de junio de 2013

El eslabón más débil a nivel de usuario de Internet: Los niños

Hace tiempo que vengo observando que se amplía el diccionario de nuevas palabras de amenazas, en las cuales las víctimas son los niños o personas con poco conocimiento de tecnología, pero son usuarios de las mismas. Vamos a tratar en este artículo algunos aspectos de seguridad y plantearemos recomendaciones para no ser víctimas de ellos.

1) No hace falta ser un experto
Hoy la tecnología ha permitido que en el mercado existan diferentes tipos de dispositivos, que nos permita desde comunicarnos entre sí ha acceder a Internet sin ningún tipo de restricción. Si vamos a un ejemplo del día a día, observamos que se ha masificado el uso del automóvil, pero cuántos saben lo que pasa por dentro?, cuántos realizan los controles? cuántos desconocen ciertos riesgos ante ciertas situaciones? Bien, pero en la calle vemos cada vez más usuarios con más vehículos.
La tecnología ha permitido que en el hogar, un adolescente, se conecte a Internet desde el SMART TV (o televisor con conexión a Internet) y pueda ver videos de YOUTUBE.
Realmente para ser usuario y hacer uso de los dispositivos actuales, no hace falta ser un experto, a pesar que pueda suceder como que no usemos todas las ventajas que nos provee el mismo.
Pero así como usuarios, desconocemos de ciertos riesgos y que hay en ciertas actitudes humanas, acciones que ponen en riesgo nuestra intimidad o persona. Si volvemos al ejemplo del vehículo, hay comportamientos humanos que ponen en riesgo la vida del conductor o de un tercero, como ir a más velocidad de lo permitido, no respetar las señales, no mantener la unidad como recomienda el fabricante, etc.

2) Medidas de Seguridad
Hay una tendencia en los usuarios de tecnología de pensar que el dispositivo nos protegerán de todo, pero esto no es así. Si nosotros compartimos una fotografía a un amigo, sabemos realmente que es nuestro amigo? lo conocemos a tal punto que sabemos que va hacer con esa fotografía? esa fotografía nos compromete si es publicada? esa fotografía involucra a terceros?.
Las medidas de seguridad de los dispositivos están pensados para cubrir ciertos aspectos del uso de la tecnología, pero no cubre todos los aspectos de los comportamientos humanos. Volviendo al ejemplo del vehículo, el fabricante y las nomas de seguridad fueron previstas para el uso del automóvil, pero si observa las estadísticas, cuantos accidentes ocurren por que el conductor estaba ebrio. Con el tiempo le vamos a tener que obligar a los fabricantes a poner una pipeta, que si los indicadores no están correctos, el vehículo no pueda encender, y así todo, siempre se buscará una manera de evadir ese control.

3) Desconfiar hasta lo que ves en el espejo
Hoy en los sitios de chat, conferencia, mensajerías y otros, nos permite entrar en contacto con personas de todo tipo de nacionalidades y que está en cualquier parte del mundo. Ahora, realmente, la persona del otro lado es la que dice ser? sabemos que intenciones tiene? quiere nuestra amistad o algo más?
Los usuarios deben desconfiar hasta lo que ve en el espejo, por que muchas veces, el usuario mismo con tal de sentirse querido, seguir conversando con otra persona o conseguir algo, viola sus propias ideas y tiene ciertos comportamientos que en otra situación no las tendría. Traiciona sus convicciones.

4) Palabras raras de cosas nuevas
Así es, conversando con un grupo de padres, me comentan que no entienden las nuevas palabras, que son raras y que siempre están en ingles. Para entender que es cada una, vamos hacer una revisión de los términos y tratar de ejemplificar cada una de las amenazas.

 - ROBO DE IDENTIDAD: Se da cuando un atacante, por medios informáticos o personales, obtiene la información personal y la utiliza ilegalmente. Dentro de estos usos, el atacante la utiliza para hacerse pasar por la otra persona. Se recomienda a las personas ser muy cuidadosa con los datos personales y no permitir que nadie sin autorización acceda a los mismos. Para los niños que usan la tecnología, deben entender que no deben confiar en personas que no conocen y no deben pasar información personal. (fotos, datos personales, información de sus actividades, etc).
 - PHISING:   Es un tipo de engaño creado por un atacante malintencionado, con el objetivo de obtener información como números de tarjetas de crédito, claves, datos de cuentas bancarias, otros. El objetivo más común, es robo de datos bancarios para luego acceder a sus cuentas y robar el dinero del banco. Este tipo de ataque se aprovecha de la inocencia de los usuarios. Las entidades bancarias nunca envían correos solicitando números de cuentas y contraseñas, por lo tanto, cuando reciba un CORREO con este tipo de solicitud, elimínelo sin dudarlo y ante cualquier duda, consulte a su entidad bancaria.
- MALWARE:    Es la denominación a todo tipo de software malicioso que quiere aprovecharse de su equipo y provocar algún tipo de daño.  Se recomienda no bajar software si el origen es dudoso y si reciben correos con archivos adjuntos de contactos desconocidos, no abrirlo. Para los niños, tengan en cuenta, que algunos sitios que poseen juegos están infectados y pueden infectar su PC. Verifique con alguna persona con conocimiento técnico, que la computadora tenga un buen antivirus y el mismo esté bien configurado.
- CYBERBULLING: Con el uso de la  información electrónica como correo electrónico, redes sociales, blogs, mensajería instantánea, mensajes de texto, teléfonos móviles, y sitios web difamatorios para acosar a un individuo, mediante ataques personales. Esto hoy se nota mucho entre los adolescentes y entre los políticos. En los adolescentes, los casos más comunes se producen cuando comparten con un amigo alguna foto y el mismo usa la misma para difamarlo y acosarlo. Se recomienda ser muy cuidadoso con el uso de la tecnología y a quienes se le permitir acceder a su contenido. Cuida tu intimidad y no compartas con nadie la misma.
- GROOMING: Es un problema de seguridad acotado en los menores que usan Internet. Consistente en acciones realizadas por parte de un adulto que trata de establecer lazos de amistad con un niño o niña en Internet, con el objetivo de obtener una satisfacción sexual mediante imágenes eróticas del menor hasta incluso provocar encuentros sexuales reales. Para los niños, la recomendación no confíes en nadie en Internet y no permitas que un intruso "entre a tu casa por Internet". Hablen con los padres ante cualquier situación que puedan detectar como un riesgo, hay mayores que se hacen pasar por menores para entrar a tu mundo. 
- FAKE CAM: Es otro tipo de engaño, para que la persona que está del otro lado del ordenador, cuando le pidas que habilite la cámara web para verificar su identidad, proyecte un video que tiene en la computadora y no se muestra tal cual es. Ya los atacantes ni siquiera tienen que grabar el video previamente, hay sitios web donde hay videos pregrabados. Para los niños, solo compartir las cámaras con personas del entorno y conocidos. Un extraño puede grabarte para utilizarte posteriormente con una amiga y/o amigo y hacerte pasar por vos.
- SEXTING:  La práctica de muchos jóvenes de tomarse fotografías en situaciones muy íntimas. Luego las fotos son enviadas a sus parejas, conocidos o las publican en internet (Facebook). Esta práctica aparentemente simple y sin riesgos, es muy peligrosa porque conlleva a la extorsión y en algunos casos lleva al suicidio, como el caso de Inglaterra donde una adolescente no soportó más la situación. Para los niños, compartir fotos o videos en situaciones sexuales puede ser peligroso para
su identidad tarde o temprano,  ya no se sabe en manos de quien puedan terminar esas imágenes. Muchos pedófilos se hacen pasar por adolescentes con tal de obtener fotos de menores en situaciones que lo comprometen.
- ENGAÑO: en la Web hay muchas personas que tratar de engañar para tener algún beneficio. Una foto de un menor, para ellos es un logro. Pero también hay gente que engaña con tal de producir el daño en sí mismo.  En un sitio de chat una mujer que publicaba en su chat que estaba sola y necesitaba compañía, en realidad era una mujer que junto a su marido te enseñaba a drogarte muy rápidamente. Para los niños y adolescentes, hay que  tratar de que no entren a estos sitios mediante filtros o configuraciones, el engaño esta a la vuelta de la esquina y como verán es uno de los motores clásico de los ataques mencionado arriba.
 
 

5) La protección empieza por casa
Es importante que el uso de la tecnología sea medido y que los niños estén acompañados por los padres al momento de acceder a Internet.

Les planteo aquí algunas recomendaciones para los padres:
a) Uso del Ordenador: esté en algún lugar visible por los padres mientras es usado por los niños. Si el mismo está en su habitación, que no naveguen con la puerta cerrada de su habitación.
b) Revisar Historial: los padres deben revisar el historial para saber por donde navegan sus hijos y asesorarlos si observan sitios que no son para menores.
c) Control Parental: habilitar en los navegadores el control parental. Este control permite restringir el acceso a cierto tipo de páginas web y solo es permitido si ponen la contraseña.
d) Asesorarse: es entendible que los padres desconozcan de estas problemáticas del uso de Internet o dispositivos, es recomendado para estos casos que pidan información en Colegios, Casas de Computación o en la web.
e) Equipos móviles: los celulares no deberían tener acceso a Internet hasta cierta edad, pero si no queda más remedio, aplicar las mismas normas que con el ordenador.

Les planteo aquí recomendaciones para los hijos:
a) Situaciones embarazosas: antes de que se produzcan, hablar con tus padres. Si alguien insiste en que les envíes tu foto, datos, etc, habla con tus padres y sabrán como actuar.
b) Sitios Web: no accedas a sitios que desconoces el contenido o si el mismo es dudoso.
c) Chat: conversa con tus amigos, no des alta a desconocidos (no hay premios en Internet por superar alguna marca en cantidad de amigos) y valida entre ellos alguna manera de identificarse, por ejemplo, coordinar con una llamada telefónica.
e) Fotos: no compartas tu intimidad con desconocidos o aquellos que piensas que son tus "amigos". A tu casa no dejas entrar a cualquiera para que te vea en paño menores, por que hacerlo desde Internet?

Por último, es importante la educación. Si los padres hablan con sus hijos y los mismos pueden plantearles los problemas sin prejuicio alguno, podrán evitar todo tipo de situación embarazosa.

6) Recomendaciones
A pesar de las recomendaciones mencionadas anteriormente, les dejo alguno sitios web, en donde podrán encontrar mayor información sobre los temas mencionados arriba:

- Protege tu información en Internet http://www.microsoft.com/es-xl/security/family-safety/online-safety-tips.aspx
- Internet seguro ("Get Safe Online") http://www.microsoft.com/latam/educacion/seguridad/
- Identidad Robada http://www.identidadrobada.com/
- Derechos de los niños en Internet http://www.microsoft.com/latam/educacion/seguridad/padres/derechos.aspx
- Segu-Kids http://www.segu-kids.org/


Encontrarán un ingreso a Segu-Kids en la columnas de nuestro Blog.
Hasta la próxima.

sábado, 22 de junio de 2013

Actualizaciones plataforma Microsoft - JUNIO 2013

En junio, tenemos las siguientes actualizaciones:

1) MS13-047: Actualización de seguridad acumulativa para Internet Explorer (2838727)  Esta actualización de seguridad resuelve diecinueve vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un atacante que aprovechara la más grave de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

2) MS13-048: Una vulnerabilidad en el kernel de Windows podría permitir la divulgación de información (2839229)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Windows. La vulnerabilidad podría permitir la divulgación de información si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada o convence a un usuario local con la sesión iniciada de ejecutar una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría servir para producir información útil que pudiera usarse para tratar de sacar más provecho de un sistema afectado.
CLASIFICACION:IMPORTANTE

3) MS13-049: Una vulnerabilidad en los controladores modo kernel podría permitir la denegación de servicio (2845690) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía paquetes especialmente diseñados al servidor. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. CLASIFICACION:IMPORTANTE

4) MS13-050: Una vulnerabilidad en los componentes del administrador de trabajos de impresión podría permitir la elevación de privilegios (2839894)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios cuando un atacante autenticado elimina una conexión de impresora. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión. CLASIFICACION:IMPORTANTE

5) MS13-051: Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (2839571)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un documento de Office especialmente diseñado con una versión afectada del software de Microsoft Office o bien obtiene una vista previa o abre un mensaje de correo electrónico especialmente diseñado en Outlook con Microsoft Word como el lector de correo electrónico. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:IMPORTANTE

Hasta la próxima.
Saludos

ED