Seguridad y Privacidad
en la RedPedro Cuesta Morales
Dpto. Informática
Internet de las cosas
● “Tu tele te escucha. Incluso cuando está apagada” “Aplicación pone a la televisión en un modo “off” falso, parece apagada, graba las conversaciones y las envía a través de Internet a un servidor secreto de la CIA”“La CIA ha desarrollado programas para 'pinchar' prácticamente todo. Sus sistemas entran en sistemas operativos de ordenadores (Windows, Mac OS X y Linux), y también en los de las tabletas y móviles (iOS y Android)” (Wikileaks)Fuente: http://www.elmundo.es/internacional/2017/03/08/58bf1e0de5fdea49618b45a9.html
Fuente: http://www.elmundo.es/tecnologia/2017/05/29/592be6a7268e3ecf4e8b4642.html
● Ransomware → cifra ficheros (secuestro datos) y pide rescate para liberar sistema (bitcoins → no rastreo)
● Ciberataque → propagación masiva a través de las redes locales
● Malware (gusano) → usa la vulnerabilidad EternalBlue (debilidad en el protocolo para compartir en red de windows, desarrollada por la NSA estadounidense)
● Microsoft lanzó un parche de seguridad “crítico” el 14 de marzo → empresas afectadas no lo habían aplicado (coste)
Fuente: http://tecnologia.elpais.com/tecnologia/2017/06/28/actualidad/1498639459_556568.html
● Exploit: “es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo”
Infección● Correo electrónico con documento adjunto (normalmente
remitente desconocido, pero pueden simular proceder de la organización o de un contacto)
● Watering hole: infección de una página Web (normalmente de la intranet) a la que los usuarios acceden con frecuencia
● Enlaces a páginas Web que contienen algún malware (problemas de seguridad de navegador no actualizado)
● Links sin verificar: acortador de URLs y Códigos QR● Propagación a otros equipos en la red que sean vulnerables● Equipos con SO que ya no cuentan con soporte oficial:
Windows XP, Windows Server 2003 y Windows 8● Microsoft tuvo que publicar parches de seguridad también
para estas versiones (MS17-010)
Fuente: http://www.elmundo.es/grafico/tecnologia/2017/06/27/59527daf468aebc00d8b45d7.html
● Conseguir exámenes → distribución por whatsapp● “Los equipos tenían instalado un software ilegal que se
encargaba de registrar las pulsaciones que se realizaban en el teclado, generando y memorizando un fichero de texto con todo el contenido"
● Realizaron dos compras usando número de cuenta de una tarjeta bancaria
A Estrada (Pontevedra)
22 junio 2017
● Fuente:http://www.europapress.es/galicia/noticia-detenidos-cinco-alumnos-diez-investigados-hackear-cuentas-correo-profesores-estrada-pontevedra-20170622122803.html
Tipos de virus
Troyano
KeyloggerRegistrador teclas
Gusano
RoguewareFalso Antivirus
Spyware
Ransomware
Fuente: https://www.osi.es/actualidad/blog/2014/07/18/fauna-y-flora-del-mundo-de-los-virus
Usa un escudo e impide el avance de los virus
Virus: medidas de protección
Actualizar Sistema
Operativo
Instalar Parches de Seguridad
!SENTIDOCOMÚN!
Deshabilitar funciones de
macro en documentos de
Microsoft Office
Instalar software
SandBouxing
Instalar software
protección ransomware
Realizar copias de seguridad
Usar cuentas de usuario sin
permisos de administrador
Instalar antivirus y
cortafuegos
Protección ransomware
Sandbouxing
● LLega un correo con un documento adjunto el sistema lo abre en un entorno virtual aislado y si detecta algo sospechoso lo elimina antes de que llegue al usuario
● Tecnología sandbox: crear un entorno virtual estanco donde ejecutar programas o procesos sin que se relacionen directamente con el resto del sistema
Deshabilitar macros
Sobrecarga “configuraciones”
● Apps maliciosas - malware○ Realizaban llamadas automáticas a números de tarificación adicional:
de madrugada y bajando el sonido del teléfono○ Suscribían automáticamente a servicios de mensajes "Premium"○ Sin consentimiento de los usuarios que se las habían descargado
● Víctimas en España: > 1 millón de personas● Modus operandi:
○ Descarga por distintos medios: llega mediante mensaje o redes sociales, búsquedas, descargas en markets conocidos
○ Instalación con permisos innecesarios
Fuente: http://www.interior.gob.es/prensa/noticias/-/asset_publisher/GHU8Ap6ztgsg/content/id/7464244
Fuente: https://elpais.com/tecnologia/2017/03/27/actualidad/1490626770_125439.html
“Según estudio (Kaspersky) de las 66 apps más populares entre los usuarios de Android 54 funcionaban por sí solas consumiendo 22 MB de datos por día, sin que el usuario ni siquiera las abriese”
Permisos Apps - acceso a datos sensibles (9):
1. Calendario: leer, editar y crear eventos2. Contactos3. Cámaras: tomar fotos y grabar vídeos4. Almacenamiento o memoria5. Micrófono: grabar conversaciones6. Mensajes de texto: leer y enviar7. Sensores corporales: datos salud8. Ubicación: localización9. Teléfono: llamadas
Fuente: https://elpais.com/tecnologia/2017/03/27/actualidad/1490626770_125439.html
Gestión de permisos
Fuente: https://elpais.com/tecnologia/2017/03/27/actualidad/1490626770_125439.html
● Configuración: android o IOS● Aplicaciones predeterminadas cuando se solicitan
ciertas acciones (enviar mensajes, abrir imágenes, navegador, …)
● Controlar superposición de aplicaciones: apps que tienen permiso para abrirse por encima de otras que están funcionando
● Apps con permiso de modificación de ajustes del sistema
Fuente: http://www.interior.gob.es/prensa/noticias/-/asset_publisher/GHU8Ap6ztgsg/content/id/7464244
Fuente: http://www.expansion.com/economia-digital/2017/06/08/5937ceb6468aeb6f498b4592.html
Smartphone: medidas de protecciónActualizar Sistema
Operativo
Mantener actualizadas
Apps
!SENTIDOCOMÚN! Instalar App de
control remoto
Realizar copias de seguridad
Instalar antivirusDescargar Apps
desde canales oficiales
Verificar Apps: leer condiciones
y comprobar permisos
Añade mecanismo de control
acceso
No “rootear” o “jailbreaking”
Utilizar herramienta de
cifrado
Cómo proteger nuestros dispositivos móviles
Fuente:http://www.europapress.es/portaltic/sector/noticia-informacion-personal-peligro-si-te-conectas-redes-wifi-publicas-vacaciones-20170701125949.html
Fuente: http://www.abc.es/tecnologia/consultorio/abci-riesgos-conectarte-cualquier-wifi-publica-201706232234_noticia.html
● Puntos de acceso falsos (conexión automática) - copia de nombres de redes populares○ Robo de datos personales:
■ Claves acceso redes sociales → suplantación de identidad■ Datos bancarios
○ Espiar tráfico○ Manipular navegación del dispositivo → cambiar parámetros de las
webs a visitar○ Ciberataque común: ventana emergente que pide actualizar terminal
instalando una app fuera del repositorio oficial → app con acceso total al dispositivo
Riesgos WiFi pública
Fuente: http://www.abc.es/tecnologia/consultorio/abci-riesgos-conectarte-cualquier-wifi-publica-201706232234_noticia.html
WiFi pública: medidas de protección
!SENTIDOCOMÚN!
eliminar los datos de la red
memorizados
Deshabilitar cualquier
proceso de sincronización
Evitar usar WiFi pública
No intercambiar información
privada
No realizar compras on-line
No iniciar sesión en
ningún servicio que requiera
usuario y contraseña
Instalar VPN (G DATA)
Fuente: https://elpais.com/tecnologia/2017/05/19/actualidad/1495184190_517021.html
Riesgos alguien utilice nuestra WiFi
● Robo de la información transmitida● Conexión directa con nuestros
dispositivos● Responsabilidad ante acciones
ilícitas
WiFi privada: medidas de protección
!SENTIDOCOMÚN!
Establecer sistema de
seguridad WPA2
Cambiar SSID y
contraseña
Cambiar contraseña
router
Comprobar dispositivos que
utilizan la red
Protección WiFi
● Configuración del router (ip: 192.168.1.1)○ Cambiar contraseña de la red ○ Cambiar nombre de la WiFi o SSID○ Cambiar contraseña de acceso al router (admin)○ Establecer el sistema de seguridad más avanzado: WPA2
● Comprobar dispositivos que están usando la red○ Apps: Fing (Android y iOS), iNet – Network Scanner (iOS), Who Is On My
Wifi (Android)○ Cada dispositivo conectado: Ip + MAC
● [Habilitar restricción MAC → filtrado de MACs]○ Restricción de acceso a la red a aquellos dispositivos con una
dirección MAC concreta
Fuente: https://www.xataka.com/seguridad/la-cia-lleva-anos-hackeando-routers-wi-fi-domesticos-con-el-programa-cherryblossom
Información que publicamos en la red
● Fotos y vídeos ● Lo que me gusta: aficiones, gustos, intereses,...● Lo que pienso● Dónde estoy → localización● Personas con las que me relaciono → amigos/contactos● ...
Información que otros publican sobre mí
Identidad Digital - Reputación digital
Identidad: “Conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás” (RAE)
Reputación: “Opinión o consideración en que se tiene a alguien o algo” (RAE)
Identidad digital: “todo lo que manifestamos en el ciberespacio e incluye tanto nuestras actuaciones como la forma en la que nos perciben los demás en la red” (Wikipedia)
Amazing mind reader reveals his 'gift' (Duval Guillaume)
Privacidad
“Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión” (RAE)
Contraseñas
● Robustas: combinar caracteres, números y algún carácter especial, minúsculas y mayúsculas
● No utilizar la misma contraseña en diferentes servicios● No compartir las contraseñas● No almacenar en el navegador● Cambiar periódicamente● [Complementar con la verificación en dos pasos]● [Utilizar herramienta de gestión de contraseñas]
Privacidad depende de ...
De mí
De otras personas
Navegador
Servicios on-line etc., etc., etc.
Derechos
● Derecho fundamental a la protección de datos○ Dato de carácter personal: cualquier información que permita
identificarte o hacerte identificable○ Reconoce al ciudadano la facultad de controlar sus datos personales
y la capacidad para disponer y decidir sobre los mismos
● Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal○ Derechos ARCO: Acceso, Rectificación, Cancelación, Oposición
Derechos
● “Derecho al olvido”○ Sentencia del 13 de mayo de 2014 del Tribunal de Justicia de la Unión
Europea (TJUE) ○ El tratamiento de datos que realizan los motores de búsqueda está
sometido a las normas de protección de datos de la Unión Europea○ Las personas tienen derecho a solicitar, bajo ciertas condiciones, que
los enlaces a sus datos personales no figuren en los resultados de una búsqueda en internet realizada por su nombre
Para cuidar y proteger la privacidad
!SENTIDOCOMÚN!
Configurar adecuadamente las opciones de
privacidad
Informarse sobre las
condiciones y políticas de
privacidad
Utilizar contraseñas seguras y no compartirlas
Revisar periódicamente las opciones de
privacidad
“Pensar antes de publicar”
No publicar información de otros sin su permiso
Utilizar conexiones
seguras
Haz valer tus derechos
Tu identidad tiene una parte digital, ¿lo sabías?
Privacidad y seguridad en...
Facebook Whatsapp YouTube
Twitter Snapchat Instagram
Navegadores
● Privacidad, el navegador almacena:○ Historial de navegación○ Historial de descargas○ Archivos e imágenes almacenados en caché○ Cookies y otros datos de sitios○ Contraseñas○ Datos de Autocompletar formulario○ …
● Ordenadores públicos, acceso compartido, o sin control de acceso
Navegadores
!SENTIDOCOMÚN!
Navegación privada
Borrar historial
Instalar extensiones
fiables
Software actualizado
Revisar la configuración
Correo Electrónico
Virus o malware: ficheros adjuntos, urls para visitar, …
Phishing: correos que parecen proceder de fuentes fiables, llevan a páginas falsas para robo de claves
SPAM: fines publicitarios → filtros antispam
Bulos o hoax: noticias falsas con contenido impactante que se suelen distribuir en cadena → no reenviar
SCAM: correos con cualquier tipo de engaño que pretenden estafarnos (premios lotería, herencias, ofertas empleo, … → https://www.osi.es/es/actualidad/avisos
Correo Electrónico
Mensajería instantánea
● Virus → mismas precauciones → instalar antivirus○ Apertura ficheros○ Enlaces
● Difusión de bulos● Grupos → difundiendo número teléfono resto de
miembros del grupo → SPAM● Errores envío de información a grupos● Estados → consultar por cualquiera de nuestros
contactos (cualquier teléfono añadido)
Redes Sociales
● Privacidad:○ ¿Quién puede ver mis cosas?○ ¿Quién puede añadir
contenido a mi biografía?○ ¿Quieres revisar las etiquetas
que otros añaden a tus publicaciones antes de que aparezcan en Facebook?
○ …
Conocer y configurar adecuadamente las
condiciones de uso y politicas de privacidad
Redes Sociales
● Revisar aplicaciones con sesión iniciada● Revisar permisos de las aplicaciones
Redes Sociales
Cuidar la identidad digital → suplantación de identidad
En resumen...
Es importante estar alerta y sobre todo utilizar el sentido común
Referencias