Fundamentos de la ciberseguridad

Bienvenido al curso de conceptos básicos de seguridad IT. Soy Sergio Rodríguez Solís, consultor técnico y de seguridad, y a lo largo de este curso, te voy a acompañar en un recorrido por las bases fundamentales de la seguridad de la información, y más en concreto, de las tecnologías de la información. Explicaremos distintos tipos de malware que pueden afectar a nuestros equipos informáticos. La seguridad bien entendida empieza por lo más básico, así que, estudiaremos las opciones de seguridad y privacidad de nuestros navegadores web, la ventana por la que nos asomamos a Internet. Cada día, usamos más equipos portátiles, y casi siempre conectados a redes Wifi. Estudiaremos sus características y las nociones básicas de seguridad que debemos conocer con respecto a estas redes. Por último, explicaremos qué es el cifrado, estudiaremos los tipos de cifrado que existen, dónde conviene usar cada uno, y algunas técnicas o herramientas de cifrado en función del entorno o finalidad de uso. Al final de este curso, dispondrás de los conocimientos suficientes sobre seguridad IT para mejorar tu actividad personal y profesional en tu día a día, y además, habrás iniciado un camino de conocimiento muy interesante y con muchas ramificaciones, como es el de la ciberseguridad. Disfrútalo.

Los tres pilares de la seguridad

Los datos son valores, son números, medidas, textos, documentos en bruto. La información es el valor de esos datos. Es lo que nos aporta conocimiento. Nuestros manuales de procedimiento, los datos de los empleados, los de los proveedores y clientes de la empresa, la base de datos de facturación. Todo ello, son datos estructurados de tal forma que se convierten en información que nos aportan valor como empresa. Los tres pilares de la seguridad de la información se fundamentan en esa necesidad que todos tenemos, de la información, de su importancia. Necesitamos preservar:

1. Confidencialidad

2. Integridad

3. Disponibilidad de la información

para sacarle el máximo rendimiento con el mínimo riesgo.

Ahora que comprendemos la importancia de la información, podemos deducir que si aquella información que es vital para nuestras actividades cae en manos inapropiadas, perderá valor, nosotros perderemos intimidad o capacidad de maniobra y, además, nuestra reputación puede verse dañada. Sin contar con que la información puede ser aprovechada por cibercriminales, competencia y cualquier otra potencial fuente de riesgos para nuestro proyecto. Por eso, es tan importante la confidencialidad.

La Confidencialidad

Captura de pantalla 2021-10-20 a las 16.14.50.png

Consiste en asegurar que solo el personal autorizado accede a la información que le corresponde, nadie más. De este modo, cada sistema automático o individuo solo podrá usar los recursos que necesita para ejercer sus tareas.

Para garantizar la confidencialidad, se recurre principalmente a 3 recursos:

Captura de pantalla 2021-10-20 a las 16.15.36.png
  1. Autenticación de usuarios que sirve para identificar, que quién accede a la información es quién dice ser.
  2. Asignación de privilegios, para que los usuarios que acceden a un sistema puedan operar solo con la información para la que se les ha autorizado y solo en la forma que se les autorice, por ejemplo: gestionando permisos de lectura y/o escritura en función del usuario.
  3. Cifrado de información también denominado encriptación que evita que esta sea accesible a quien no está autorizado para ello. Solo mediante un sistema de contraseñas puede extraerse la información de forma inteligible y es aplicable tanto a la información que está siendo transmitida como a la almacenada.

Los principios de confidencialidad, no solo deben aplicarse para proteger nuestra propia información, sino todos aquellos datos e información de los que seamos responsables. La información puede tener carácter confidencial no solo por ser de alto valor para nosotros sino, por ejemplo, porque puede estar amparada por legislación de protección de datos de carácter personal. Un ejemplo de violación de la confidencialidad son las filtraciones sufridas por entidades bancarias, grandes empresas y gobiernos para exponer públicamente algunas de sus actividades.

La Integridad

Captura de pantalla 2021-10-20 a las 16.16.37.png

Es el segundo pilar de la seguridad consiste en asegurarse de que la información no se pierde ni se ve comprometida voluntaria ni involuntariamente. El hecho de trabajar con información errónea, puede ser tan nocivo para nuestras actividades como perder la información. De hecho, si la manipulación de la información es lo suficientemente sutil, puede causar que arrastremos una cadena de errores acumulativos y sucesivamente tomemos decisiones equivocadas.

Captura de pantalla 2021-10-20 a las 16.17.39.png

Para garantizar la integridad de nuestra información debemos tener control sobre el tráfico de red para descubrir posibles intrusiones, implementar políticas de auditoria que registren quién hace qué, cuándo y con qué información, e implementar sistemas de control de cambios algo tan sencillo, como, por ejemplo, comprobar los hashes o resúmenes de los archivos de información almacenados en un sistema, para comprobar si cambian o no. Como último recurso tenemos las copias de seguridad que en caso de no conseguir impedir que se manipule o pierda la información, nos permite recuperarla en su estado anterior.

Disponibilidad

Por último, el tercero de los pilares a tener en cuenta para poder considerar que disponemos de una seguridad mínima en lo que a nuestra información respecta es la Disponibilidad; de nada sirve que solo nosotros accedamos a nuestra información y que sea incorruptible, si el acceso a la misma es tedioso o imposible. La información, para resultar útil y valiosa, debe estar disponible para quien la necesita. Debemos implementar las medidas necesarias para que tanto la información como los servicios estén disponibles.

  1. Por ejemplo, un ataque distribuido de denegación de servicio o DDoS puede dejar inutilizada nuestra tienda online, impidiendo que los clientes accedan a la misma y puedan comprar.
  2. Otro ejemplo de pérdida de disponibilidad, sería que nuestra dirección de correo electrónico sea utilizada para lanzar campañas de spam y, en consecuencia, añadida a listas negras impidiendo que ninguno de los destinatarios de nuestro e-mail legítimos, los reciba.
Captura de pantalla 2021-10-20 a las 16.18.52.png

Para este propósito, se implementan políticas de control como el SLA o Acuerdo de Nivel de Servicio; Balanceadores de carga de tráfico para minimizar el impacto de ataques de denegación de servicio; Copias de seguridad para restauración de información perdida.

Captura de pantalla 2021-10-20 a las 16.19.22.png

<aside> ⚠️ Para concretar, diremos que nuestra información y sistemas son seguros, si solo accede a la información y recursos quién debe. Si podemos detectar y recuperarnos de manipulaciones accidentales o voluntarias de la información, y si podemos garantizar un nivel de servicio y acceso a la información, aceptable, según nuestras necesidades.

</aside>

Evaluación de riesgos, amenazas y vulnerabilidades

Evaluación de riesgos amenazas y vulnerabilidade.mp4

Cuando nos planteamos mejorar la seguridad de nuestra empresa o vida particular, debemos tener en cuenta varios factores. Entre ellos están

1. Los recursos

2. Los riesgos

3. Las amenazas

4. Las vulnerabilidades.

  1. Los «Recursos» son los bienes tangibles o intangibles con los que contamos para realizar nuestras tareas. La información que disponemos es un bien intangible, ya sean las bases de datos de clientes, de proveedores, los manuales de producción, nuestras investigaciones o nuestras patentes. Por otro lado, tenemos los bienes tangibles, que son los recursos físicos que disponemos en la empresa: servidores, equipos de red, computadoras, teléfonos inteligentes, flotas de vehículos, bienes inmuebles, etc.
  2. El riesgo es la probabilidad de que algo negativo suceda dañando nuestros recursos tangibles o intangibles y, por tanto, impidiéndonos desarrollar nuestra labor profesional.
  3. Las «Amenazas» son esos sucesos que pueden dañar nuestros procedimientos o recursos
  4. las «Vulnerabilidades» son los fallos en nuestros sistemas de seguridad o de los propios sistemas que utilizamos para desarrollar nuestras actividades que permitirían que una amenaza tuviese éxito a la hora de generarnos un problema.

Así pues, el principal trabajo de un responsable de seguridad en una organización grande o pequeña es:

  1. Detectar vulnerabilidades
  2. Identificar amenazas y, en base a esta información,
  3. Evaluar los riesgos a los que están sujetos nuestra actividad y recursos

Considerando el riesgo como la probabilidad de que una amenaza concreta aproveche una determinada vulnerabilidad, podemos aplicar la representación clásica que asume que el riesgo es igual al resultado de multiplicar el impacto producido por la amenaza, por la probabilidad de que una vulnerabilidad permita que dicha amenaza tenga éxito.

En un sistema de evaluación de riesgos sencillo, podríamos asignar un valor numérico a la importancia de una vulnerabilidad y otro valor numérico a la importancia de una amenaza. Por ejemplo, las amenazas que no causen daño tendrían un impacto 0, mientras que las qué causen un gran daño tendrían un valor de impacto igual a 3. Del mismo modo, la probabilidad puede ser nula, baja, media o alta, con lo que podríamos dar valores de probabilidad de 0 a 3. Multiplicando ambos valores, obtendríamos el valor de riesgo. De esta forma, podríamos clasificar los distintos riesgos a los que estamos expuestos y actuar en consecuencia, obviamente, empezando por los de mayor gravedad.

<aside> ✅ Por ejemplo, si existe una amenaza de ataque mediante robo de credenciales para acceder a un recurso cifrado, el impacto de perder dicha información sería alto, pero dado a que tenemos un sistema de autenticación biométrico, las probabilidades de que exista una vulnerabilidad aprovechable son prácticamente nulas. Por tanto, el riesgo es cero para esa amenaza.

</aside>

Existen amenazas difícilmente controlables, como desastres o errores humanos, pero que deben ser tenidas en cuenta a la hora de calcular riesgos. Un humano podría borrar accidentalmente información de un servidor o podría enviar un correo electrónico con información confidencial a un destinatario erróneo. Del mismo modo, el hardware de los recursos informáticos de la empresa puede verse dañado por el uso, por inundaciones, fallos eléctricos, etc. A parte de esas amenazas, existen las voluntarias. Aquellas que derivan de ataques deliberados, ya sean de agentes internos o externos de nuestra organización.

  • Los agentes internos pueden ser, por ejemplo, empleados descontentos o ex empleados cuyas credenciales de acceso no han sido revocadas.
  • Mientras que los agentes externos, pueden ser competencia desleal, activistas, terroristas, cibercriminales, etc.

Las «Vulnerabilidades» son por lo general fallos de diseño de procedimiento o de recursos.

<aside> ⚠️ Las vulnerabilidades existen, no se fabrican. Una vulnerabilidad es cualquier fallo de diseño que permite que una amenaza pueda afectar a un recurso.

</aside>

Si hablamos de recursos informáticos, solemos decir que una vulnerabilidad es un fallo de diseño de un sistema, un sistema no actualizado o un sistema mal configurado que permite que un agente externo, la amenaza, acceda sin permisos apropiados al recurso o información que dicho sistema gestiona. En función del tipo de recurso al que estemos orientados, existen distintas fuentes de información donde podemos buscar vulnerabilidades aplicables a nuestros sistemas.

Por ejemplo, si usamos el gestor de contenidos WordPress para desarrollar una página web, podemos buscar vulnerabilidades del CMS de alguna de sus plantillas, o de lo plugings que utilizaremos para dar funcionalidad a nuestra página web en https://wpscan.com/

Si buscamos bases de datos más amplias y relativas a más sistemas, podemos buscar las bases CVE o Common Vulnerabilities and Exposures. Por ejemplo, podemos recurrir al boletín de vulnerabilidades del Centro Criptológico Nacional de España o CCN-CERT. https://www.ccn-cert.cni.es/

CCN-CERT

En este tipo de buscadores, podemos filtrar la información de vulnerabilidades expuestas por fabricantes, versiones, recursos, etc. Y suelen estar gestionados por equipos de respuesta a incidentes informáticos, por sus siglas en inglés CERT, pertenecientes a instituciones tanto públicas como privadas que comparten y difunden esta información, ya que la mejora global de la seguridad incrementa la seguridad individual y fuerza a desarrolladores y fabricantes a eliminar vulnerabilidades de sus sistemas.

Veamos un ejemplo de evaluación de riesgos. Si disponemos de un servidor de almacenamiento de ficheros y consideramos las distintas amenazas que pueden afectarle, tendremos, por ejemplo, el acceso no autorizado, la infección por spyware, la perdida de suministro eléctrico o la infección por ramsonware. El impacto de cada caso sería alto para el acceso no autorizado porque sería imparable. Alto para el spyware porque podría exfiltrar información de forma oculta sin acceso físico. Bajo para la perdida de suministro eléctrico ya que sería fácil de solucionar, y medio para el ramsonware ya que solo necesitaríamos restaurar copias de seguridad. Respecto a la probabilidad, dado a que tenemos control de acceso biométrico, la posibilidad de robo de credenciales es nula, la probabilidad de infección por malware es media, suponiendo que no tengamos las medidas idóneas. La misma probabilidad se aplicaría al ramsonware, la perdida de suministro eléctrico seria de baja probabilidad.

Por tanto, los riesgos de mayor a menor importancia serían la infección por spyware, el ramsonware, la perdida de suministro eléctrico y por último el robo de credenciales.

La Ley de Mínimos Privilegios

Evaluación de riesgos, amenazas y vulnerabilidades.mp4

Al implementar cualquier sistema organizativo y de reparto de tareas y responsabilidades debemos tener claro que no todo el mundo tiene por qué acceder a todos los recursos de la organización ni tiene que hacerlo de forma permanente. Cada individuo y cada herramienta debe acceder solo a aquello imprescindible para el desempeño de sus funciones. Sabiendo a lo que podemos acceder y a lo que no, hay que decidir qué podemos hacer con la información o recursos a los que tenemos acceso. Esto es a lo que llamamos privilegios y permisos.

Captura de pantalla 2021-10-20 a las 17.04.38.png

Los privilegios son permisos de actuación que un usuario, sea una persona o un sistema, tiene para actuar sobre otro recurso. El sistema más conocido de privilegios es el de los tipos de cuenta de usuario de un sistema operativo. Tanto en Windows como en Mac OS o Linux las cuentas de usuario se dividen básicamente en usuarios y administradores; aunque se pueden crear más grupos con características específicas.

Los usuarios normales solo pueden hacer uso de las herramientas que hay instaladas en la computadora y acceder a la información de su directorio de usuario.

Captura de pantalla 2021-10-20 a las 17.05.43.png

Los administradores, además, tienen privilegios para acceder a otras estructuras de archivos que no sean las propias de su usuario. Pueden instalar o eliminar software del sistema, y pueden cambiar parámetros de configuración del sistema operativo como, por ejemplo, la configuración de red.

Captura de pantalla 2021-10-20 a las 17.05.19.png

La Ley de Mínimos Privilegios establece que para la realización de una tarea un usuario debe disponer de los privilegios mínimos necesarios durante el tiempo imprescindible y con el alcance limitado a lo que exija la tarea. Por ejemplo, si trabajamos con una computadora, deberíamos tener un usuario normal y otro con privilegios de administrador, de este modo, solo usaríamos el usuario administrador cuando tuviésemos que hacer cambios de configuración, instalar o desinstalar software, aplicar actualizaciones y parches de seguridad o gestionar las copias de seguridad. El resto del tiempo, para operar con nuestro contenido habitual, para navegar por internet, gestionar nuestro correo electrónico, etc., operaríamos con un usuario sin privilegios especiales, lo que minimiza el riesgo de infección por malware, espionaje, filtración de datos, corrupción de archivos del sistema y demás.

Captura de pantalla 2021-10-20 a las 17.06.55.png

Podemos ver el usuario con el que estamos operando en Windows escribiendo el comando whoami en la línea de comandos, lo cual nos indica el nombre de la computadora y el nombre de usuario. Si además añadimos unos complementos al comando, nos informará a qué grupos pertenece y qué privilegios tiene. Serían:

whoami /all /fo list. 

Nos informa de los privilegios asignados a este usuario y de los grupos a los que pertenece. De todos modos, podemos ver los privilegios aquí de los que dispone. Mientras que si ejecutamos el mismo comando como administrador, vemos que la lista de privilegios es bastante más larga.

Ahora estamos en una máquina Linux, en concreto, Kali Linux, una distribución orientada a pruebas de seguridad. Si en este caso ejecutamos

whoami

en el usuario de juan nadie, nos informa del nombre de usuario. Podemos subir los privilegios del usuario para poder hacer tareas de administración mediante el comando su. Nos pide la contraseña de administrador, y ahora mismo nos encontramos trabajando con el usuario root que es el nombre de usuario por defecto para administración de sistemas Linux.

Conceder los permisos adecuados a cada usuario de un sistema es tan importante para la disponibilidad como lo es para la confidencialidad y la integridad revocar ese permiso cuando ya no sea necesario.

<aside> ✅ Es por esto que las políticas de privilegios no solo deben ocuparse de la asignación, también de la revocación de los mismos. Por ejemplo, cuando un empleado cambia de departamento, abandona la empresa o está de vacaciones.

</aside>

Ingeniería social

Ingeniería social.mp4

La ingeniería social, tal y como la define Christopher Hadnagy, es cualquier acto que induce a una persona a realizar una acción, que puede o no ser en su mejor interés.

La ingeniería social es una forma de aplicar determinados conocimientos psicológicos y sociológicos fundamentales. Es decir, no se trata de conocimientos excesivamente complejos porque el atacante normalmente no dispone de muchos detalles sobre su víctima, y tiene que basarse en generalidades estadísticamente válidas para obtener en la misma proporción resultados estadísticamente positivos.

La ingeniería social se nutre inicialmente de una serie de conceptos básicos y estadísticamente ciertos de la psicología del individuo. Entre estos conceptos destacan los cuatro que nos hacen más vulnerables a este tipo de acciones.

Captura de pantalla 2021-10-20 a las 17.19.54.png

Nos cuesta decir «no». Está mal visto. Ofende. Nos deja en mal lugar. No nos gusta decir que no. Es fácil escuchar a alguien que responda solo con un sí a una petición, pero cuando se trata de decir no casi nunca los escuchamos tal cual. Sonaría grosero. Ese «no» casi siempre va acompañado de una excusa, porque nos gusta ayudar a los demás, nos hace sentir bien. Y cuando queremos o tenemos que decir que no, necesitamos razonarlo y excusarlo, tanto a la persona a la que se lo decimos como a nosotros mismos. Por eso, si el ingeniero social es capaz de neutralizar el uso de excusas, estará cerrándole las puertas al objetivo que se encontrará en la encrucijada entre decir simplemente «no» o ceder a la petición, sea total o parcialmente.

Somos confiados por naturaleza. Si algo es plausible, la mayor parte de la gente simplemente lo dará por válido. Tendemos a creer en las cosas si parecen reales, lo sean o no. El más claro ejemplo está en la gran cantidad de noticias falsas y cadenas que se distribuyen y distribuyen por redes sociales como Facebook or WhatsApp, o mediante el phishing por parte de cibercriminales.

Nos encanta que nos adulen. Todos buscamos cierto reconocimiento en nuestra vida profesional, particular o sentimental. Queremos ser reconocidos en la empresa, en la familia o en el deporte que practicamos. Cuando se alimenta el ego, la sensación de superioridad nos hace sentir seguros y, en consecuencia, se baja el nivel de atención respecto a otros detalles. Como ya hemos comentado, nos gusta ayudar. Estamos educados para evitar sentirnos mal tanto con nosotros mismos, como por los demás. Y si alguien puede mejorar su situación con nuestra ayuda, nos sentiremos bien ayudándole.

Un buen ingeniero social aprovecha esta vulnerabilidad para que nos preocupemos por sus simulados problemas, de forma que ayudarle nos haga sentir mejor que atender a nuestras propias preocupaciones.

Desde el punto de vista más sociológico, la principal barrera o vulnerabilidad, según se mida, para un ingeniero social es la tribalización, los clanes. Todos somos vulnerables en cuanto a que, por defecto, confiamos. Esta confianza es más fuerte si cabe con la gente de nuestros círculos: la familia, los amigos, los compañeros de trabajo o los de afición.

<aside> ✅ Somos más receptivos a todo aquello que nos cuente gente de nuestros clanes o tribus.

</aside>

Es más fácil para nosotros creer en algo que nos diga nuestra madre o nuestro hijo que lo que nos cuente cualquier extraño. Y, por difícil que resulte de creer, el asunto sobre el que nos hablen carece totalmente de importancia.

Al hablar de tribu o clan, no solo hablamos de gente a la que conocemos directamente, también hablamos de los contextos, ya que el elemento de una tribu a la que pertenecemos solo tendrá sentido en dicho contexto. Unas de las formas más habituales de uso de la ingeniería social para atacar infraestructuras informáticas, es la obtención de información personal de la plantilla de una organización, confiando en que dicha información permita descubrir contraseñas de acceso a nuestros recursos restringidos.

También se usa la ingeniería social para generar campañas genéricas de emails fraudulentos, conocidas como phishing, destinadas a distribuir, por ejemplo, malware. En la actualidad, es el principal método de distribución de ransomware: un malware que cifra nuestros archivos y nos pide un rescate económico.

Captura de pantalla 2021-10-20 a las 17.23.37.png

El phishing funciona porque el email parece auténtico; suplanta la identidad corporativa de una empresa reconocible. Es muy común suplantar a compañías eléctricas, de mensajería o proveedores de servicios telefónicos.

El caso del spear-phishing es una variación del phishing, que en lugar de distribuirse masivamente, emplea emails redactados y diseñados para engañar específicamente a una persona. Es común que suelan suplantar a otro miembro de la compañía de una posición jerárquica superior, o a un proveedor o un cliente de la compañía. Así consiguen crear una historia consistente, capaz de engañar a la víctima específica a la que se está atacando mediante ingeniería social.

Captura de pantalla 2021-10-20 a las 17.23.57.png

Para defendernos de los posibles ataques de ingeniería social, debemos ser siempre meticulosos a la hora de identificar la identidad de quien nos escribe o visita nuestras oficinas, y la titularidad real de las páginas web que visitamos. De este modo será más difícil caer en los engaños de lo que aparentemente son visitas, correos electrónicos o páginas web normales.

Captura de pantalla 2021-10-20 a las 17.24.39.png

Superficie de ataque

Superficie de ataque.mp4

La superficie de ataque de una infraestructura es la totalidad de elementos susceptibles de tener vulnerabilidades que pueden ser explotadas por un incidente natural o por un ataque deliberado.

Entre los elementos que conforman la superficie de ataque de una infraestructura IT tenemos:

  1. Los dispositivos de red como routers, switchers o firewalls.
  2. También las computadoras, servidores, y sistemas de almacenamiento en red.
  3. Así como los sistemas operativos, firmware y demás software implementado en todos esos equipos.
  4. Incluso las persona que administran y usan toda esa tecnología, forman parte de la superficie de ataque de la infraestructura, ya que tienen sus propias vulnerabilidades.
Captura de pantalla 2021-10-20 a las 17.38.46.png

Cuánto mayor sea la superficie de ataque, es decir, cuántos más elementos estén expuestos, más probabilidades hay de que existan vulnerabilidades disponibles para un ataque, por lo que minimizar esta superficie implica, directamente, una reducción de los riesgos que pueden causarnos problemas. Además de que pueda reducirse también, la tasación de los riesgos que no se puedan evitar.

A la hora de estudiar las distintas superficies de ataque tenemos que comprender que hay dos formas de ataque: la pasiva y la activa.

  • El ataque pasivo consiste en monitorizar al sujeto atacado. Es un ataque no invasivo, ya que no afecta a la infraestructura, pero monitoriza lo que esta puede almacenar o transmitir, incluso información que es directamente pública. Para este tipo de ataque pueden emplearse técnicas de monitorización de tráfico en busca de documentos o contraseñas o fuentes abiertas de información, conocidas como OSINT. Los ataques pasivos están orientados, exclusivamente, a obtener información que puede ser suficiente en sí misma o ser empleada para posteriores ataques activos. Es por esto, que identificar un ataque pasivo puede ponernos en alerta respecto a uno activo.
  • Los ataques activos se caracterizan por acciones directas, que tratan de penetrar en nuestra infraestructura e incluso, de hacerse estables dentro de ella permanentemente. Los objetivos suelen ser sabotajes, robos de información, o despliegue de malware para espionaje o secuestro de equipos para otras actividades de ataque contra terceros objetivos.
Captura de pantalla 2021-10-20 a las 17.39.46.png
Captura de pantalla 2021-10-20 a las 17.40.08.png

Las vulnerabilidades son fallos en los sistemas, no son puertas abiertas diseñadas deliberadamente, sino errores de diseño, configuración o implementación que generan oportunidades de ataque, es decir, que hacen viable una amenaza. Veamos las distintas superficies que debemos estudiar para identificar potenciales amenazas y vulnerabilidades.

Software

El software está compuesto de aplicaciones, servicios, ejecutables, páginas web y otros servicios como FTP o similares. Las vulnerabilidades de software son fallos en la programación o compilación de los programas que ejecutan nuestras computadoras o servidores. Los ataques a estas vulnerabilidades pueden derivar en un mal funcionamiento del software, acceso a información restringida, fallos de sistema, etcétera. Para reducir esta superficie de ataque hay que reducir al mínimo necesario el software instalado en nuestras computadoras y servidores. Mantener actualizado el software y aplicar todos los parches de seguridad publicados por los desarrolladores. Configurar el software con «la ley de mínimos privilegios» en mente. No utilizar software pirata o de fuentes no confiables y explorar, recurrentemente, las bases de datos públicas de vulnerabilidades en busca de aquellas que puedan afectar a nuestro software.

Captura de pantalla 2021-10-20 a las 17.46.03.png

Hardware

Estadísticamente hablando, el hardware es la segunda superficie de ataque a considerar. Lo más común, es que para atacar un dispositivo hardware el atacante necesite tener acceso físico al dispositivo. En este caso, es fácil ver que las amenazas naturales como fallos por envejecimiento de equipos o desastres como robos, incendios o inundaciones afectan, específicamente, a esta superficie de ataque. Los ataques a hardware también pueden producirse a través de la red o afectando al medio físico de transmisión. Por ejemplo, los perturbadores de señal o jammers pueden interrumpir las comunicaciones de distintos tipos de tecnología inalámbrica mediante la generación de ruído radioeléctrico en la frecuencia y forma correctas. Este tipo de ataques podría anular sistemas de comunicaciones de los que dependen alarmas, sensorización o cualquier otro tipo de comunicaciones, ya sean entre dispositvos o personas. Todo hardware de nuestra infraestructura está o puede estar expuesto como dispositivo en sí mismo. por sus puertos y protocolos de comunicación, aplicaciones e interfaces. Para reducir al mínimo la superficie de ataque debemos proteger físicamente los equipos frente a incidentes y sabotajes mediante instalaciones seguras y controles de acceso. Debemos configurar los equipos cerrando todo puerto innecesario y deshabilitando cualquier protocolo de comunicación no pertinente. En el entorno de red podemos desplegar firewalls, sistemas de detección de intrusión, y sistemas de gestión y balanceo de carga de tráfico. Al igual que con el software, debemos procurar mantener actualizado el firmware de nuestros equipos y evitar que personal no autorizado pueda manipular su configuración.

Captura de pantalla 2021-10-20 a las 17.48.02.png

Recursos humanos

Por último, tenemos la superficie de ataque correspondiente a los recursos humanos que pueden actuar contra los intereses de nuestra organización por descontento, error, engaño o coacción. Además de implementar y exigir el cumplimiento de protocolos de actuación es aconsejable implementar sistemas de registro y auditoría para verificar quién hace qué y cuándo. De este modo, al evitar el anonimato minimizamos la probabilidad de éxito de una amenaza de carácter humano. Además, debemos invertir esfuerzo y recursos en educar y concienciar a los usuarios de nuestros recursos e infraestructuras para que se impliquen a la hora de mantener un alto nivel de seguridad.

Captura de pantalla 2021-10-20 a las 17.48.59.png

02 CONCEPTOS DEL MALWARE

Términos relacionados con malware

Términos relacionados con malware.mp4

Para familiarizarnos con el vocabulario relativo al malware, estableceremos una serie de definiciones que nos permitirán comprender otros términos y comunicar con propiedad, incidentes e informes sobre amenazas y riesgos.

Una vulnerabilidad

Una vulnerabilidad es un fallo de diseño o configuración, normalmente, referida a software. Una vulnerabilidad puede causar mal funcionamiento en un sistema, permitir que se sorteen las barreras de seguridad, o dejar al descubierto información que debería ser confidencial.

Captura de pantalla 2021-10-20 a las 17.50.42.png

Por ejemplo, un Buffer overflow, es un fallo de diseño de aplicaciones que permite escribir en la memoria más información, que la que realmente se asigna a un programa. Esto puede permitir al atacante, dejar código malicioso en la memoria que se ejecutaría cuando el sistema atacado procesase los espacios de memoria que han sido sobreescritos sin su consentimiento. Es un sistema de ataque muy popular y su éxito deriva de una falta de previsión al respecto por parte de los desarrolladores de algunas aplicaciones.

Captura de pantalla 2021-10-20 a las 17.54.21.png

En Windows disponemos de la herramienta Data Execution Prevention (DEP), para los servicios básicos del sistema, minimizando la probabilidad de que esta vulnerabilidad sea explotada por un atacante. Para activarlo, debemos que abrir el:

<aside> ✅ panel de control, acceder a Sistema de seguridad Sistema Configuración avanzada del sistema, y en el frame, Rendimiento, abrimos Configuración, vamos a la pestaña Protección de ejecución de datos, que es la traducción de la herramienta. Activar DEP, solo para los programas y servicios de Windows esenciales. También podemos activar DEP, para todos los programas y servicios, excepto los que se seleccionen en la lista inferior.

</aside>

Los Exploits

Los Exploits son los mecanismos que se emplean para, valga la redundancia, explotar una vulnerabilidad. El hecho de que exista una vulnerabilidad, no significa que se conozca o que se haya implementado una forma de aprovecharla para atacar al sistema que la sufre. Por eso una vulnerabilidad, supone un riesgo, en tanto y en cuanto, se desarrolle un exploit que le saque partido. Por ejemplo. Si una aplicación es susceptible al desbordamiento de memoria, un exploit podría realizar esa escritura de memoria sobredimensionada haciendo que el código malicioso quedase fuera del espacio que leería la aplicación afectada. Cuando ese espacio fuese ajecutado, el código malicioso entraría en funcionamiento. Los exploits se clasifican en función de su tiempo de vida, siendo los más popularmente conocidos, los denominados zero-day o día cero. Reciben este nombre aquellos exploits descubiertos que no han sido puestos en conocimiento del fabricante del software, a cuya vulnerabilidad atacan. Cuando se da a conocer el exploit, ya sea públicamente o solo al fabricante del software, el contador empieza a sumar números. Y se dice, por ejemplo, que el exploit es de siete días, si es el tiempo que hace desde que se publicó, y/o desde que fue conocido por la empresa, pero aún no se ha publicado ningún parche de seguridad que elimine la vulnerabilidad.

Captura de pantalla 2021-10-20 a las 18.01.10.png

Un Backdoor

Un Backdoor es, literalmente, una puerta trasera. Suele ser una de las primeras cosas que un ciberdelincuente instala en un sistema al que ataca. El procedimeinto suele ser: detección de vulnerabilidades, explotación de alguna vulnerabilidad que permita acceso no autorizado, e instalación de un backdoor. El objetivo del backdoor, es dejar en el sistema un mecanismo de entrada oculto, solo conocido por el atacante, que le permita volver a ingresar en el sistema, volver a ingresar en el sistema, aunque el administrador del mismo emparche la vulnerabilidad que usó en el ataque inicial. A diferencia de las vulnerabilidades, los backdoors sí son accesos voluntariamente implementados.

Captura de pantalla 2021-10-20 a las 18.01.39.png

Rootkit

Por último, tenemos los rootkit. Al acceder a un sistema, un atacante dispone de los privilegios que le conceda el usuario, que se vea afectado por la intrusión. Dado que este ususario puede no tener privilegios de administrador, el atacante usará una herramienta tipo rootkit para escalar privilegios o desplazar su ataque a una cuenta de usuario con los máximos privilegios posibles. Además el rootkit puede realizar tareas de ocultación y persistencia, lo que unido a uno a uno o varios backdoors, permitiría al atacante realizar ataques de larga duración e, incluso, interrumpirlos en el tiempo.

Captura de pantalla 2021-10-20 a las 18.03.02.png

Virus y gusanos informáticos

Virus y gusanos informáticos.mp4

Llamamos ‘malware’ a cualquier tipo de software residente o directamente ejecutado en memoria, cuyo propósito es en beneficio de quien lo ejecuta en un equipo informático sin permiso del administrador ni de los usuarios del mismo. Además de actuar en beneficio del gestor del malware, también puede tener como objetivo perjudicar al dueño del equipo afectado.

Captura de pantalla 2021-10-20 a las 18.15.08.png

De entre los distintos tipos de malware que existen, los virus se caracterizan por reproducir el comportamiento de sus homónimos del mundo biológico; es decir, su objetivo es infectar y reproducirse para seguir infectando más y más equipos. Generalmente tienen comportamiento dañino para la computadora afectada:

  1. Borran archivos de información o de sistema;
  2. Crean miles de archivos grandes para saturar el espacio de disco;
  3. Modifican configuraciones que dificulten al usuario su eliminación.
  4. Y, lo más importante, aprovechan los canales de comunicación del usuario para su propagación: discos o memorias externas donde almacena datos, correos electrónicos o cualquier otra forma de compartir archivos.
Captura de pantalla 2021-10-20 a las 18.16.22.png

Uno de los virus más famosos fue el denominado ILOVEYOU. Estaba programado en VisualBasic, y en el año 2000 consiguió infectar a más de 50 millones de computadoras en todo el mundo, provocando pérdidas mil millonarias. Este virus sustituía archivos reales por copias de sí mismo y destruía otros archivos. Además, se autorreplicaba dentro de cada máquina infectada, dificultando mucho su eliminación; y para asegurarse de estar siempre activo, modificaba el registro de Windows. El medio de propagación fue el correo electrónico de los usuarios de las computadoras infectadas. ILOVEYOU es considerado como el malware que ha desarrollado la propagación más virulenta conocida hasta la fecha.

Captura de pantalla 2021-10-20 a las 18.17.32.png

Gusanos

Captura de pantalla 2021-10-20 a las 18.18.20.png

Una variante de los virus son los gusanos. Podemos decir que estos son una evolución de los anteriores, ya que para que un virus se propagase necesitaba de herramientas proporcionadas por el usuario, como el correo electrónico o una memoria USB. Mientras que los gusanos son capaces de replicarse sin necesidad de modificar archivos instalados o extensiones y, del mismo modo, pueden propagarse, pero sin necesitar intervención del usuario. Esa es la diferencia clave entre virus y gusano: que el primero requiere de la intervención del usuario para su propagación, mientras que el segundo es capaz de hacerlo de forma automática, pudiendo llegar a propagarse por ordenadores, cuentas de usuario de un mismo equipo, por equipos de una misma red y, dependiendo de cómo esté diseñado, incluso de aprovechar otras vías para infectar equipos ajenos a los de nuestra organización con los que se pueda interactuar, por ejemplo, mediante correo electrónico o redes sociales.

Captura de pantalla 2021-10-20 a las 18.19.21.png

Uno de los más famosos gusanos que se recuerdan es Code Red, «Código rojo». Descubierto por empleados de eEye Digital Security. Este gusano afectaba a máquinas web que ejecutasen el servidor web IIS, siglas de Internet Information Server. Mediante la explotación de una vulnerabilidad de desbordamiento de memoria o buffer overflow. Apenas dejaba rastro en el disco duro de los equipos afectados, ya que residía en la memoria RAM, ocupando menos de medio megabyte de esta. Una vez infectada la máquina, hacía cientos de copias de sí mismo, consumiendo recursos del sistema y afectando su rendimiento. Además, generaba listas de direcciones IP aleatorias, a las que intentaba conectarse con el objetivo de detectar si eran servidores Windows con IIS, y así infectarlos.

Captura de pantalla 2021-10-20 a las 18.20.16.png

Curiosamente, el gusano realizaba también ataques de denegación de servicio a la web de la Casa Blanca. Fallos en la programación del propio gusano lo hacían inestable, y podían forzar que fuese necesario reiniciar los servidores infectados, lo que equivaldría también a un ataque de denegación de servicio. Aparte de atacar periódicamente la web de la casa blanca y de causar inestabilidad en los sistemas, su tercer, aunque principal ataque era un defacement, que consiste en sustituir una web original con una falsa o en modificar la original. En este caso, cuando un cliente pretendía acceder a una web servida por una máquina afectada, recibía el mensaje: «Welcome to www.worm.com, Hacked by Chinese».

Captura de pantalla 2021-10-20 a las 18.20.30.png

Troyanos y spyware

Troyanos y spyware.mp4

El malware es todo aquel software desarrollado con la idea de actuar sin permiso en las máquinas en las que se instala. Suele usarse en beneficio del creador o gestor del malware y para perjudicar a la organización o persona propietaria de los equipos afectados. De entre los distintos tipos de malware cabe destacar, por su especial importancia en el mundo empresarial, los troyanos y el spyware.

Troyanos

Los troyanos, abreviatura de caballos de Troya son aplicaciones destinadas a que un atacante pueda realizar operaciones en la computadora infectada sin el consentimiento ni conocimiento del legítimo usuario de esta. El objetivo de los troyanos no es puramente destructivo, algo mucho más común en virus y gusanos. Los troyanos son a su vez backdoors, que permiten al atacante acceder a la máquina afectada cuando desean y a la vez perminten a este ejecutar aplicaciones, cambiar configuraciones del sistema e incluso robar información sin el consentimiento de este.

Captura de pantalla 2021-10-20 a las 18.23.10.png

Hoy en día, este tipo de aplicaciones es más conocida en círculos profesionales como RAT, siglas en inglés de Troyano de Acceso remoto un nombre mucho menos agresivo que troyano, pero que define a la perfección la funcionalidad de este.

La evolución de los troyanos sería el spyware. Si los troyanos permiten al atacante controlar la máquina afectada, el spyware podría ser una versión más automatizada. Dependiendo del tipo, puede seguir recibiendo instrucciones de su operador humano, pero también puede realizar tareas automáticas por sí mismo. El objetivo del spyware, más que permitir la gestión remota del equipo afectado, es el espionaje puro y duro. Su objetivo es localizar información y exfiltrarla.

Captura de pantalla 2021-10-20 a las 18.25.42.png

Algo que distingue a troyanos y spyware frente a virus y gusanos, es que no están diseñados para propagarse e infectar otras máquinas. La masificación no es su objetivo. Muy al contrario, este tipo de malware es más efectivo cuánto menos se propague porque así las probabilidades de ser descubierto se reducen y, por tanto, puede permanecer más tiempo operativo.

Otra característica de este tipo de malware es que requiere de conexión con su operador. El cibercriminal o atacante opera desde lo que se conoce como un C&C siglas de Centro de Comando y Control. Si originalmente los troyanos incorporaban un backdoor para que el atacante pudiese conectarse cuando desease, los RAT y spyware más modernos establecen la comunicación en sentido contrario, es decir, en lugar de conectar al atacante con el spyware es este el que conecta con el C&C, algo muy beneficioso, sobre todo ahora que las computadoras portátiles están tan extendidas y que puede conectarse cada vez desde un sitio distinto.

Dado el alto coste de este tipo de software y que no está diseñado para su propagación automática sino para el uso a discreción por parte de su operador, existen particulares, grupos de cibercriminales, empresas y entidades gubernamentales que desarrollan sus propios spyware para vigilancia, tanto legítima como ilegítima según quien opere y con qué permisos.

Protección contra malware

Protección contra malware.mp4

En entorno Site la seguridad bien entendida debe ser multicapa. Es decir, que debe ocuparse cada herramienta de proteger la porción de superficie de ataque que le corresponde.

Cuando hablamos de malware, las superficies de ataque implicadas son: software, hardware y redes. En equipos informáticos convencionales, como servidores y computadoras, es donde está la mayor parte de la superficie de ataque correspondiente al software. Las aplicaciones que instalamos sobre los sistemas operativos y estos mismos, pueden tener vulnerabilidades explotables por distintos tipos de malware. Para minimizar este riesgo, debemos eliminar las aplicaciones y servicios innecesarios. Mantener actualizado el sistema operativo y las aplicaciones. Configurar cada aplicación, servicio y el propio sistema operativo de forma correcta y prescindir de las configuraciones por defecto. Aplicar la ley de mínimos privilegios a los usuarios. Debemos, también, utilizar software antimalware comúnmente conocido como antivirus.

En cuanto al hardware, sobre todo debemos prestar atención al firmware, el cual debe estar siempre actualizado. También, es importante anular el servicio de los puertos e interfaces que no sean necesarios para la operativa normal del dispositivo. Por ejemplo, se pueden desactivar los puertos USB en computadoras cuyos usuarios no deban utilizarlos. Al igual que anular lectores de discos o tarjetas y cualesquiera otras interfaces de comunicaciones físicas que no sean imprescindibles.

Dado que el malware, generalmente, tiene una parte enfocada a las comunicaciones, ya sea para la propagación de virus y gusanos o para la comunicación de un troyano o spyware con su centro de comando y control es importante monitorizar las redes en buscas de hilos de comunicación sospechosos. Como este tipo de monitorización sería imposible de forma manual, conviene utilizar sistemas de detección de intrusión o IDS por sus siglas en inglés. Este tipo de sistemas monitoriza el tráfico en busca de patrones anómalos, ya sea por el contenido de los mismos o por las direcciones y puertos utilizados. Por último, debemos siempre recurrir a los firewall para limitar las conexiones, tanto entrantes como salientes, de nuestras redes. Si, por ejemplo, los usuarios de una red solo necesitan acceder a Internet para gestionar el correo electrónico y navegar por la web, bastará con habilitar las comunicaciones en los puertos TSP, 80 y 443 para HTTP y HTTPS y el puerto 53 para resolución de DNSs y los correspondientes puertos aplicados a los protocolos POP, IMAP y SMTP empleados en el correo electrónico. Cualquier otra comunicación saliente que no use esos puertos será registrada por el firewall y podrá ser investigada. Respecto al tráfico entrante, si no hay ningún servidor que deba ser accesible desde el exterior, pueden bloquearse todas las entradas. Es importante aclarar que los desarrolladores de todo tipo de malware ya utilizan, precisamente, los puertos de comunicación estándar para sortear los firewalls con IDSs, pero no aplicar estas medidas sería contraproducente. Si regresamos a los antivirus, debemos entender las dos vías clásicas de funcionamiento, búsqueda de firmas y búsqueda heurística.

  • La búsqueda de malware mediante firmas lo que hace es comprobar el hash o resumen de cada programa que se ejecuta con una base de datos de malware conocido. Funciona tanto buscando hashes de malware en todos los archivos almacenados del disco de la computadora como calculando el hash cada vez que se ejecuta un programa y bloqueando la ejecución del mismo si se encuentra en la base de datos.
  • La otra técnica, la heurística, lo que hace a grandes rasgos es buscar algoritmos determinados que el fabricante del antivirus considera relacionados con el malware. Es una búsqueda mucho más lenta que la de los hashes, pero puede detectar malware que no esté en la base de datos de hashes conocidos. De todos modos, no tiene un altísimo nivel de eficiencia.
  • Otra herramienta es el sandboxing. Los hay autónomos dentro del propio equipo y los hay que actúan a nivel de red o que necesitan otros equipos en red. El sandbox es un entorno seguro que simula ser una computadora corriente para que, si algún proceso resulta ser un malware, se capture en ese sistema en lugar de en el entorno real de trabajo. El problema de estos sistemas es que los desarrolladores de malware los superan con facilidad y han quedado obsoletos.

En conclusión, hay que tener actualizados todos los sistemas. Hay que limitar los privilegios de usuario para minimizar el riesgo de que el malware pueda ganar privilegios de administrador. Hay que limitar el tráfico de red a lo mínimo imprescindible. Y, siempre que sea posible, monitorizar ese tráfico en busca de patrones anómalos. Y, por último, y no menos importante, hay que usar sistemas antimalware, preferiblemente, basados en el comportamiento aunque los antivirus tradicionales, también ayudan a reducir el riesgo.

Como última norma, nunca, jamás, instalar software cuya procedencia no sea verificable, como por ejemplo, software sin licencia válida del fabricante.

03 SEGURIDAD EN EL NAVEGADOR

Navegadores web

Navegadores web.mp4

Hoy en día, el trabajo de prácticamente cualquier organización está ligado a recursos dependientes de Internet, y uno de los más extendidos es la página web.

La World Wide Web nació a finales de 1989, de mano de Tim Berners-Lee para proporcionar un sistema de presentación de documentos mediante aplicaciones instaladas en la computadora del usuario, y que descargaba el documento a presentar del servidor del proveedor del mismo. El procedimiento, muy someramente explicado, que hace funcionar a un navegador web es el siguiente.

Un usuario introduce la dirección URL de la página que quiere visitar. El navegador web utiliza lo que se conoce como resolución de nombre de dominio mediante el protocolo DNS, que consiste en preguntar a un servidor de nombres de dominio cuál es la dirección IP asociada al nombre de dominio introducido por el usuario en el navegador. Conocida la dirección IP, el navegador accede a dicho servidor y realiza una petición de información, normalmente un GET del potocolo HTTP. Cuando el navegador recibe la respuesta del servidor, procesa la información recibida y la muestra al usuario en la ventana del navegador.

Captura de pantalla 2021-10-21 a las 12.55.45.png

Normalmente, la respuesta de un servidor a un navegador web, se da mediante documentos de texto etiquetado en formato HTML o XHTML, que pueden estar almacenados de forma estática en el servidor, o ser generados directamente, por ejemplo, con PHP o AJAX.

Captura de pantalla 2021-10-21 a las 12.56.33.png

A veces, la respuesta también incluye pequeños programas escritos en lenguaje JavaScript, que aportan funcionalidad ejecutándose dentro del propio navegador o archivos que definen el estilo a aplicar a las etiquetas del documento web, conocidos como hojas de estilo CSS.

Curiosamente, aunque la web nació en 1990, no fue hasta el año 1993 que apareció el primer navegador web, Mosaic, programado por Mark Andres, quien al poco tiempo lideró el desarrollo de Netscape, el primer navegador web empleado por el gran público. Así pues, podemos decir que un navegador web es una herramienta que solicita información a un servidor en forma de documento etiquetado, y que presenta esta información al usuario del navegador interpretando dichas etiquetas como formatos gráficos para el contenido.

Captura de pantalla 2021-10-21 a las 12.58.24.png

Los navegadores web más famosos utilizados en la actualidad son Internet Explorer de Microsoft, sustituido en Windows 10 por el navegador Edge. Firefox, de Mozilla; Chrome, de la compañía Google y Safari, de Apple. Aunque existen otros muchos navegadores, cada cual con sus ventajas e inconvenientes.

Captura de pantalla 2021-10-21 a las 12.59.08.png

Durante muchos años Internet Explorer ha sido el navegador más utilizado, básicamente por venir instalado de serie en el sistema operativo Windows. Con la necesidad de estandarizar los sistemas web, fue creciendo en gran medida el uso de Firefox, aunque más en nivel particular que empresarial. Sin embargo, en el último lustro ha sido Chrome, el navegador de Google, el que ha disparado su presencia en las computadoras y terminales telefónicos de la gran masa de usuarios particulares y profesionales.

Como hemos comentado, los navegadores no solo traen información de los servidores de las páginas web, también pueden descargar pequeños programas que ayudan al servidor a conocer mejor la información del navegador del usuario conectado.

Puede utlizar scripts, cookies, formularios y cualesquiera otras tecnologías que generen una comunicación bidireccional entre navegador y servidor. Esa recopilación de información, sumada a la capacidad de comunicación con el servidor, puede afectar a la privacidad del usuario. Por otro lado, la capacidad que tienen algunos servidores web de ejecutar código en el navegador del usuario, puede abrir puertas a la instalación de malware. Otro elemento importante de los navegadores web modernos, que debemos tener en cuenta, son las extensiones o plugins.

Las extensiones son pequeños programas que funcionan dentro del entorno de nuestro navegador. Pueden servir para modificar el aspecto de la representación gráfica de una página web. Por ejemplo, una extensión que aumente el contraste entre colores para facilitar la lectura a usuarios con problemas de visión. También hay extensiones que sirven para recordar contraseñas de servicios web, y otras pueden proporcionar al usuario información de la tecnología utilizada en el servidor. Hay extensiones de todo tipo y con funcionalidades muy variadas. Por eso siempre debemos tener presente que no dejan de ser programas, lo mismo que lo es el navegador, un editor de textos o la calculadora integrada en nuestro sistema operativo, y que hay que tratarlas con la misma precaución por motivos de seguridad.

Captura de pantalla 2021-10-21 a las 13.05.09.png

La importancia vital de los navegadores en nuestra vida personal y profesional reside en que se han convertido en la ventana desde la que observamos el mundo digital y nos comunicamos con él. Accedemos al banco, realizamos gestiones tributarias, nos comunicamos con socios, familiares y amigos, vemos películas, leemos libros, periódicos y un largo etcétera. Toda la información, que descargamos o transmitimos al los servidores web, es susceptible de ser espiada o manipulada, al igual que la información a la que tiene acceso nuestro navegador, pero que no debería ser transmitida.

Todo ello, convierte a nuestro navegador en una de las principales superficies de ataque aprovechable por muchos tipos de amenazas.

Captura de pantalla 2021-10-21 a las 13.02.29.png

Privacidad en navegadores

Privacidad en navegadores.mp4

Formularios

Los navegadores web son las ventanas por las que miramos a internet. A través de ellos nos asomamos a los portales de las empresas con las que trabajamos, proveedores, banca, clientes, socios, etc.

Los navegadores web almacenan información de cómo actuamos en las distintas páginas web que visitamos.

Pueden recordar que hemos rellenado un formulario indicando nuestro nombre, apellidos y dirección de correo electrónico, por ejemplo. Puede recordar el número de la tarjeta de crédito que hemos introducido para hacer una compra online. Puede recordar la contraseña de nuestra cuenta de correo electrónico. El navegador puede recordar prácticamente cualquier cosa que escribamos en un formulario. Esto es así, porque los desarrolladores de navegadores quieren facilitar el trabajo y la vida del usuario. Si cada vez que nos encontramos un formulario tenemos que escribir nuestro nombre, dirección postal, correo electrónico y un largo etcétera de datos, podemos cansarnos, y resulta muy cómodo que el navegador recuerde todos esos datos y rellene automáticamente los formularios que puedan estar pidiendo esa información.

El problema es que los formularios puede constar de campos visibles e invisibles, más conocidos como ocultos. Si un formulario de una noticia que quiero comentar me pide nombre, correo electrónico y el comentario, no está pidiendo nada especial. Sin embargo, podría tener un campo oculto que estuviese pidiendo mi dirección postal. y si hemos configurado el navegador para que rellene automáticamente los formularios, estará rellenando también ese campo oculto y dando la información de nuestra dirección postal al gestor de esa página web sin que nosotros seamos conscientes de ello. Con páginas legítimas esto no suele suponer un problema. Pero hay muchos cibercriminales que pueden crear páginas web fraudulentas y utilizar esta técnica para robar datos personales de los usuarios que las visitan.

Captura de pantalla 2021-10-21 a las 13.31.26.png

Para anular esta amenaza, conocida como Auto-fill Phishing, es recomendable no utilizar el asistente que los navegadores tienen para rellenar formularios de forma automática. En Microsoft Edge, el navegador por defecto de Windows 10, podemos deshabilitar esta función desde

el menú de Configuración, en Configuración avanzada, desactivando el selector Guardar las entradas de formularios.

Mientras que en Internet Explorer, iríamos a

Herramientas Opciones de Internet Contenido, y en la sección Autocompletar, en Configuración, podríamos eliminar el historial, para que no recordase nada de lo que hemos estado rellenando hasta ahora, y desactivar la funcionalidad de autocompletar.

Si el navegador que utilizamos es Chrome, podemos ir al menú de Configuración, desplegar

Configuración, descender hasta Opciones avanzadas. En esa lista de nuevas opciones, en la categoría Contraseñas y formularios, podemos desmarcar la opción Habilitar la función de autocompletar formularios con un solo clic y la de preguntar si queremos guardar nuestras contraseñas.

Con esto, el navegador ya no recordará lo que guardamos en los formularios y, por tanto, no autocompletará los mismos.

Historial

Además del sistema de autocompletado de formularios, los navegadores guardan un historial de todas las páginas web que visitamos. Dicho historial no supone un problema siempre que se conserve de forma confidencial. Si una persona sin autorización accede a nuestro historial de navegación, podría conocer mucho, no solo sobre nuestras costumbres, también sobre nuestra vida personal y profesional. Sería muy fácil deducir en qué bancos opera el usuario del navegador; qué redes sociales utiliza; si recientemente ha estado visitando páginas de agencias de viajes, de compra de equipos, o cualquier otra información que permita a esa persona no autorizada conocer mejor a su objetivo.

<aside> ✅ Por eso es importante mantener nuestro historial de navegación limpio.

</aside>

Además esto impediría que algún software espía pueda acceder a esta información y remitirla a un centro de comando y control.

Cookies

Por último, aunque no menos importante, están las cookies. Las cookies son pequeños archivos de texto que el navegador guarda en la computadora del usuario a petición del servidor de una página web. Esta cookie puede guardar información que facilite la actividad del usuario. Por ejemplo, una web en varios idiomas, que cada vez que accedemos a ella nos pregunta en qué idioma queremos leerla. Una cookie guardaría nuestra elección y así no tendríamos que responder a esa pregunta cada vez que accedemos a esa página web.

El problema es que hay páginas que abusan de lo que almacenan en las cookies, llegando a guardar información de la actividad que podemos estar realizando en otras pestañas, es decir en otras páginas web. Esto es muy habitual en los banners publicitarios, que depositan sus propias cookies para rastrear nuestra actividad y ofrecernos publicidad personalizada. Por eso es aconsejable que en las mismas secciones de preferencias que hemos visto antes, revisemos cómo está configurado nuestro navegador a la hora de aceptar cookies. La norma más básica es no aceptar cookies de páginas web que no estemos visitando.

El nivel de interacción que tienen los navegadores con nuestras computadoras, les permiten incluso saber el modelo de computadora y cosas tan curiosas como las extensiones del navegador o el nivel de batería de las computadoras portátiles, algo fácilmente disponible para los programadores de páginas web.

Una buena forma de entender lo importante que es aplicar una buena configuración de privacidad en nuestro navegador, es visitar la web «What every Browser knows about you» de robinlinus.com,

What your Browser knows about you

Donde además de responder a esta pregunta, qué sabe mi navegador sobre mí, nos explican el porqué lo saben y qué podemos hacer al respecto. Si hacemos scroll hacia abajo, nos puede mostrar la localización basada en la dirección IP; con qué software estamos navegando y sistema operativo; el hardware de nuestra computadora; desde dónde nos conectamos, tanto en red privada como en red pública; a qué redes sociales estamos conectados; y nos informa de otro tipo de problemas, como el mencionado Auto-fill Phishing.

Zonas seguras en Internet Explorer

Zonas seguras en Internet Explorer.mp4

Internet Explorer es el navegador web por defecto en el sistema operativo Windows. Aunque en la versión 10 del sistema operativo se ha introducido el navegador web Edge, este no dispone de tantas opciones de configuración como el anterior, que sigue disponible.

Una de las funcionalidades de Internet Explorer es la asignación de zonas de seguridad, disponible en la pestaña de Opciones de Internet Seguridad. Las zonas de seguridad son conjuntos de reglas que se aplican a las páginas web que asignamos a cada contexto o zona. La zona Internet contempla, por defecto, todas aquellas páginas web que no forman parte de la red de tu organización o que no están asignadas a otras zonas. No se pueden añadir páginas manualmente a esta zona y la única forma de hacer que una página deje de pertenecer a ella, es asignarla a otra zona. Las páginas disponibles dentro de la red de nuestra organización están englobadas dentro de la zona privada. Desde Sitios podemos establecer las reglas que definirán qué páginas forman parte de esta zona. Podemos añadir nuevas páginas a Sitios de confianza haciendo clic en Sitios e indicando la dirección de la página web. Es importante que las páginas web que introduzcamos sean seguras. Si introducimos una página web http, por ejemplo, «google.es«, nos saldrá un mensaje de error indicando que la página debe ser https. Si introducimos la s, nos deja agregar la página y esta pasará a formar parte de los sitios de confianza.

Por último, están los Sitios restringidos que también es una zona donde incluiremos URLs de forma manual. Para las zonas Internet y Sitios de confianza podemos establecer cinco niveles de seguridad, desde el bajo hasta el alto. El nivel más bajo es el nivel más permisivo con lo que se permite hacer a las páginas web a las que accedemos y el nivel alto el más restrictivo. Podemos activar un modo de protección mejorado desde Opciones de Internet, donde estamos ahora, Opciones avanzadas, y en la sección de Seguridad activando Habilitar el modo protegido mejorado. Tenemos que descender hasta la sección de Seguridad y Habilitar el modo protegido mejorado, que nos indica que se aplicará cuando se reinicie el equipo.

Captura de pantalla 2021-10-21 a las 13.35.15.png

Con este modo activado, los complementos y barras del navegador solo funcionarán si son compatibles con este modo de funcionamiento, eliminado los riesgos que estas herramientas puedan implicar, sean herramientas de búsqueda, barras de navegación de algunos buscadores o algunos plugins externos.

Identificar webs seguras

Identificar webs seguras.mp4

Los navegadores web son las ventanas desde las que miramos Internet, los escaparates de particulares, empresas y organizaciones, que son sus páginas web. Estas han evolucionado tanto, que son la ventanilla del banco, el mostrador de la oficina de hacienda desde donde gestionamos nuestros impuestos, o la tienda donde hacemos la compra para llenar la despensa.

Los cibercriminales saben esto, y también saben que las páginas web se han convertido en algo tan natural en nuestro día a día, que han diseñado técnicas específicas para engañarnos. A la hora de acceder a cualquier página web, considerando que nuestro navegador es lo suficientemente seguro, y que hemos aplicado la configuración de privacidad que mejor se ajuste a nuestras necesidades, debemos tener en cuenta varios factores.

El primero, es que el formulario de búsqueda de Google no es donde debemos escribir las direcciones de las páginas web que queremos visitar, para eso está la barra de direcciones. Normalmente, en la parte superior de la ventana del navegador, bien centrada o alineada a la izquierda. Si escribimos en el buscador la dirección de una tienda online o un periódico, no pasa nada, aparte de que estamos dando un rodeo innecesario. Pero si alguien comparte un archivo con nosotros mediante sistemas como DropBox, OneDrive o similares, y pegamos el enlace en el buscador este pasará a indexarlo, y por tanto, cualquiera que haga la búsqueda apropiada podrá encontrarlo. Para estar convencidos de que una web es lo que dice ser, hay que fijarse, sobre todo, en dos elementos, en enlace o URL y el certificado, si lo tiene. Veamos los enlaces. Esta página web la he diseñado para ejemplificar distintos tipos de enlace que podemos encontrarnos. En primer lugar, tenemos un enlace válido. Si dejamos el cursor encima, nos resalta que nos va a llevar a ./autentico.html. En la esquina inferior izquierda, podemos verificar que ese dato es correcto, es decir, el texto del enlace dice AUTÉNTICA y el destino de ese enlace es ./autentico.html, y pone lo mismo allí arriba que aquí abajo. Si vemos un enlace falso, aunque el texto sigue diciendo AUTÉNTICA, la página nos lleva a una página web falsa. En este lo hemos puesto como ejemplo, ./falso.html Recordemos que esta información tenemos que verla en la esquina inferior izquierda de la pantalla, en los navegadores no aparecerá ese resalte en amarillo que he programado.

Typosquating

Y luego tenemos el Typosquating, que es confundir con una letra, normalmente con un número, poner una i mayúscula en lugar de una l, o algo que está muy de moda actualmente, que es utilizar caracteres cirílicos, que se parecen muchísimo al alfabeto latino. Es lo que se llama Typosquating. En el ejemplo, la web es auténtica, el enlace que hemos puesto, sin embargo, tenemos que el o de Auténtico, en este caso es un 0. Si lo leemos muy rápido, ni nos damos cuenta, y ahí es donde se aprovechan los cibercriminales para engañarnos.

Certificados SSL

Los certificados SSL los emite una autoridad certificadora que no deja de ser un tercero de confianza que se asegura de que algo es como dice ser. Como verificar ciertas cosas lleva más trabajo que otras, existen distintos tipos de certificados SSL.

  1. Certificados compartidos, sirven para cifrar las comunicaciones, pero no dan garantía de que la web o el dominio pertenezcan a alguna organización o persona en concreto. Es el tipo de certificado gratuito que emite, por ejemplo Letsencrypt.
  2. Certificados con validación de dominio, son los que emite una autoridad certificadora para que estén asociados a un dominio específico. Dan garantías de seguridad en las comunicaciones, y verifican la autenticidad de una URL si comparamos esta con la expresada en el certificado. Son el mínimo imprescindible que deberían implementar tiendas online o páginas con registro de usuarios o formularios de contacto.
  3. Certificados con validación de organización, son casi iguales que los anteriores, solo que la autoridad certificadora pide además de mostrar que el solicitante es la organización asociada al nombre del dominio. Además de seguridad, estos dominios mejoran la reputación de quién los usa.
  4. Por último, tenemos los certificados con validación ampliada, es el nivel máximo y no se comprueba solo el dominio y la organización, sino que se solicita demostración con documentación jurídica para verificar la identidad de la organización. La gran ventaja de estos certificados, es que los navegadores modernos muestran, al lado de la URL el nombre de la empresa certificada y generan así gran confianza.

Para ver el certificado de una página web, por ejemplo, la de Microsoft en el navegador Internet Explorer, podemos acceder a la página y darle al candado que aparece junto a la URL, lo cual desplegará un menú desde el que podemos acceder al certificado.

Si utilizamos el navegador Chrome, para acceder al certificado de seguridad, deberemos hacer clic derecho en algún punto de la página e Inspeccionar o Ctrl + Mayúsculas + I. A la derecha aparecerá una serie de menús, buscamos Seguridad y tendremos la opción de Validar certificado y Ver certificado, que nos muestra la misma información a la que accedía Internet Explorer.

04 REDES INALÁMBRICAS

Redes WiFi

Redes WiFi.mp4

En un mundo tan conectado como el actual y tan tendente a la telefonía móvil sería una locura que todas las conexiones fuesen cableadas.

Es por esto, que es más y más común, el uso de redes inalámbricas, también conocidas como Wireless o WiFi. En concreto, las distintas variantes del protocolo IEEE 802.11. Las comunicaciones Ethernet, las hegemónicas en las redes telemáticas cableadas, no aportan, prácticamente, ninguna capa de seguridad porque están confinadas al cable por el que se transmiten los pulsos eléctricos. El protocolo 802.3 o Ethernet gestiona las comunicaciones a nivel físico y de enlace de la torre OSI, y como sustituto o equivalente inalámbrico se diseñó el protocolo 802.11.

Las comunicaciones tanto Ethernet como inalámbricas ocupan, como hemos dicho, la capa física y de enlace en la torre de comunicaciones OSI, siglas en inglés de «modelo de interconexión de sistemas abiertos».

Captura de pantalla 2021-10-21 a las 15.24.39.png

La capa física es la que hace referencia a la conversión de la información lógica los datos binarios, en señales eléctricas o radioeléctricas, según si operamos por cable o por radiofrecuencia. El nivel superior al físico es el de enlace. La capa de enlace de OSI específica cómo las distintas máquinas que comparten un mismo medio físico se reconocen entre ellas para poder enviarse mensajes. Debemos tener en cuenta, que originalmente múltiples máquinas se conectaban entre sí, con la intermediación de un hub, precursor de los switches, y, por tanto, cualquier señal que una computadora emitiese enlazaba a todas las demás computadoras conectadas al hub, era necesario indicar a qué máquina iba dirigido cada mensaje para que sólo esa máquina le prestase atención.

Captura de pantalla 2021-10-21 a las 15.25.15.png

Las comunicaciones telemáticas, basan esa identificación en direcciones MAC o de enlace, que constan de 6 números hexadecimales de dos cifras. El mismo problema que tenía Ethernet operando con hubs, se da en el espacio radioeléctrico para las comunicaciones inalámbricas. No hay forma de impedir que la señal se propague por el espacio alcanzando a cualquier receptor dentro del rango de alcance. Por eso, también se utilizan las direcciones MAC exactamente igual que en Ethernet. El problema de las comunicaciones inalámbricas originales, equivalentes a Ethernet, es que, al igual que este, carecían de medidas de seguridad y como se trataba de señales transmitidas vía radio, cualquiera con un receptor podía vigilarlas.

Captura de pantalla 2021-10-21 a las 15.34.37.png

Por ello, se desarrollaron, a lo largo del tiempo, sistemas de control de acceso de cifrado de comunicaciones. Mediante los sistemas de control de acceso, se impide que un dispositivo no identificado puede enviar mensajes que sean atendidos por el resto de máquinas. De hecho, uno de sus principales usos es evitar que el servidor DHCP de nuestra red asigne una dirección a un nuevo dispositivo, si este no demuestra pertenecer a la organización, generalmente, mediante el envío de una contraseña que debe ser conocida de antemano. Los sistemas de cifrado pueden impedir que dispositivos no registrados puedan vigilar las comunicaciones y decodificar el contenido de la misma.

Captura de pantalla 2021-10-21 a las 15.35.05.png

Sea cual sea el método empleado, debemos tener en cuenta que las redes inalámbricas tienen siempre alguien que las gestiona, que las pone a disposición de una serie de usuarios, como pueden ser los habitantes de una vivienda, los trabajadores de una empresa o los clientes de un negocio.

Dicho esto, debemos intentar evitar conectarnos a cualquier red cuya seguridad no podamos verificar, sobre todo si vamos a realizar actividades importantes a través de dicha red, como operaciones bancarias, conectarnos al correo electrónico corporativo, o a redes y servicios que puedan exponer nuestra privacidad o recursos profesionales. Sí nos vemos obligados a usar ese tipo de redes es recomendable disponer de conexiones VPN, que son canales de comunicaciones cifrados que harán que todos nuestros datos viajen seguros desde nuestra computadora o teléfono, hasta una red de confianza donde poder operar o desde la que navegar. De esta forma, evitaremos que quien controle una red pueda llegar a vigilar nuestras comunicaciones.

Protocolos de cifrado y acceso WiFi

Protocolos de cifrado y acceso WiFi.mp4

Para garantizar que solo los equipos autorizados acceden a una determinada red inalámbrica o WiFi y que estas comunicaciones no pueden ser vigiladas por terceros, que se encuentren dentro del rango de alcance de la señal radio de nuestros puntos de acceso, debemos recurrir al control de acceso y cifrado.

Captura de pantalla 2021-10-21 a las 15.44.13.png

Originalmente, no existía ningún medio para ello y todos los equipos podían solicitar conexión a un punto de acceso identificándose mediante su dirección MAC para comunicarse con el resto de equipos de la red. Esto se sigue pudiendo hacer hoy en día en muchas redes que establecimientos, principalmente de hostelería y restauración, ponen a disposición de sus clientes. Son las conocidas como Redes WiFi abiertas. Las que no piden contraseña.

Captura de pantalla 2021-10-21 a las 15.44.59.png

WEP

El primer método de control de accesos a redes que tuvo gran implantación, y que perduró por años, fue WEP. Siglas en inglés de Privacidad equivalente a cableado. Es decir, que era un protocolo que pretendía que la seguridad de la red inalámbrica fuese tan segura como la de Ethernet. El principal problema del Sistema WEP es que las Claves RC4 generadas eran extremadamente frágiles, debido a que las tramas de comunicación referentes al cifrado se repetían y eran fáciles de identificar. Teniendo en cuenta que las contraseñas eran cadenas hexadecimales con una longitud máxima conocida, la potencia de computación necesaria para descifrar la contraseña estaba al alcance de cualquiera. WEP nació en 2001 y dada su baja seguridad en 2003 se presentó el Protocolo WPA. Sin embargo, por razones de retrocompatibilidad, WEP siguió siendo el principal protocolo de control de accesos y cifrados de redes inalámbricas hasta la segunda década de este siglo. Aún hoy en día no es extraño encontrar redes WEP, aunque los fabricantes de puntos de acceso WiFi ya suelen establecer WPA o WPA2 como sistema por defecto.

Captura de pantalla 2021-10-21 a las 15.46.03.png

WPA

WPA son las siglas de Acceso inalámbrico protegido. La versión WPA2 era el objetivo inicial, pero se publicó WPA anticipadamente para proporcionar un medio más seguro que WEP hasta que la versión definitiva estuviese disponible. WPA2 llegó solo un año después, en 2004. Mientras que WEP usaba cifrado de 64 o 128 bits como decíamos, claves de longitud fija en hexadecimal, WPA estaba usando el Protocolo TKIP, Protocolo de intercambio temporal de claves. La gran ventaja de este protocolo es que cada paquete de información transmitido, usa una clave de 128 bits distinta, dificultando en extremo la vulnerabilidad de repetición mediante la que se explotaba el Protocolo WEP. WPA también incluyó Sistema de control de integridad o CRCs para garantizar la integridad de los paquetes de información transmitidos.

Captura de pantalla 2021-10-21 a las 15.50.28.png

WPA2

WPA2 fue la evolución del protocolo agregando soporte obligatorio para CCMP que es un Protocolo para mejorar la confidencialidad y los recursos de autenticación e integridad. CCMP es más fuerte que TKIP. Además, añadió el Protocolo de cifrado AES El cual, con distintas longitudes de claves se sigue usando hoy en día para cifrar comunicaciones del más alto nivel. Así como para almacenamiento cifrado de información. En la web wigle.net podemos ver una gráfica histórica de los distintos sistemas de protección utilizados para redes WiFi. En rojo vemos la Protección nula o Redes abiertas y en verde la Protección cifrada. Vemos que hasta mediados de 2006 era más habitual las redes abiertas que las cifradas. Si seguimos la línea de Cifrado WEP, vemos que alcanzó su máximo a principios del 2010, que empezó a descender y no se vio superada hasta casi 2013. Los tres sistemas de los que hemos hablado basan la mejor o peor protección que proporcionan en una clave que debe conocer tanto el punto de acceso como el cliente. Sea nuestro smartphone o computadora. Este método se conoce como PSK o Clave compartida previamente. El problema es que cualquiera que sepa dicha clave, puede acceder y monitorizar todo el tráfico. La ventaja de WPA y WPA2 sobre WEP es que mediante TKIP hace extremadamente complicado descubrir la clave maestra mediante fuerza bruta, si esta es lo suficientemente compleja. Además, WPA o WPA2, permite usar contraseñas más largas de hasta 95 caracteres y no solo letras y números, también se pueden usar mayúsculas, minúsculas y signos de puntuación. A pesar de su popularidad, en 2009 e estableció el Protocolo CCMP para sustituir a TKIP. No es habitual encontrárselo, pero es más seguro. Estas redes son las que podemos encontrar como personales, WPA o WPA2 Personal. Basta saber la contraseña para acceder a ellas. En entornos corporativos, suele ser más seguro emplear WPA Enterprise. Este método, no solo requiere del conocimiento de la clave de usuario, sino que el dispositivo deberá identificarse ante un servidor Radius que se encarga de la autenticación y de generar las claves de cifrado que el dispositivo recién conectado empleará en la comunicación inalámbrica. De forma, que el hecho de conocer la contraseña de usuario, no permite descifrar las comunicaciones.

Filtrado de direcciones y ocultación

Filtrado de direcciones y ocultación.mp4

En cuanto a la seguridad de redes inalámbricas, hay dos medidas que siempre generan algo de controversia y que deben comprenderse para decidir si conviene o no su aplicación. Lo primero que debemos tener en mente es que antes de aplicar ninguna medida de seguridad tenemos que detectar amenazas y vulnerabilidades y, en base a ellas, calcular los riesgos.

Captura de pantalla 2021-10-21 a las 15.51.23.png

Esto nos permitirá seleccionar las medidas que contrarresten los riesgos que sean realmente importantes y que no tienen porqué coincidir siempre en todas las organizaciones. El protocolo 802.11 de comunicaciones inalámbricas y todas sus variantes se ocupan de las capas de nivel físico y de enlace, y para el nivel de enlace se asignan direcciones MAC a todos los dispositivos capaces de conectarse a una red según este estándar.

Captura de pantalla 2021-10-21 a las 15.51.53.png

Las direcciones MAC vienen grabadas de serie por el fabricante de las interfaces red y, a priori, no pueden ser modificadas. Por lo que una dirección MAC identifica univocamente a un dispositivo concreto. En base a esta premisa se diseñaron las listas de direcciones MAC. Estas listas son una herramienta de control de accesos sin autenticación; hay tanto listas blancas como negras. Es decir, el punto de acceso Wi-Fi comprueba la dirección MAC de un nuevo dispositivo que desea conectarse y concede acceso al mismo si su dirección MAC no está en la lista negra o está en la lista blanca. Decimos «o», porque se aplican listas negras o blancas, ya que no tiene sentido aplicar ambas a la vez. Si la dirección MAC no está autorizada, entonces el punto de acceso ni siquiera iniciará el protocolo de autenticación. Esta medida de seguridad tiene utilidades interesantes como, por ejemplo, impedir que equipos conocidos accedan a nuestra red mediante listas negras. Puede ser útil, por ejemplo, si tenemos una red abierta y alguien abusa de la conexión, o si un miembro de la organización deja la empresa para que no pueda seguir conectándose, aunque sepa la clave de autenticación. Si miramos las ventajas desde la perspectiva de las listas blancas, podemos hacer una lista de dispositivos conocidos, y que solo estos puedan conectarse, por ejemplo, las computadoras y teléfonos de la empresa pero no los teléfonos personales de los empleados.

Captura de pantalla 2021-10-21 a las 15.53.27.png

Ahora, veamos los puntos débiles de esta medida de seguridad basada en el filtrado de direcciones MAC. Como habíamos comentado, la dirección MAC asociada a los módems Wi-Fi integrados en nuestros equipos, no puede modificarse, pero en muchos dispositivos, normalmente computadoras, sí puede indicarse al sistema operativo que queremos que al conectarse a una red revele una dirección MAC distinta a la que viene grabada en la tarjeta de red. No es un proceso complejo ni mucho menos, pero hay que saber hacerlo. Por lo que descartaría conexiones por parte de atacantes poco motivados.

Veamos un ejemplo con Windows 10. Si accedemos a la Configuración de Recursos de Red y cambiamos la configuración del adaptador con el botón derecho en Propiedades, podemos acceder a Configurar y a Opciones Avanzadas. En Local Administrated Address podemos cambiar la configuración. Pero veamos cuál es la dirección original antes de cambiarla. Ejecutamos el comando ipconfig/all, y nos muestra la dirección del equipo y su dirección MAC 00-0C-29-57-D6-B1. Si accedemos a la configuración de nuevo, para cambiar la configuración indicamos los valores sin ninguna separación: 001122334455. Aceptamos y repetimos el proceso. Vemos que la dirección ha cambiado con respecto a la solicitud que hicimos antes. Si alguien con la motivación suficiente aprende a hacerlo, ya hemos visto lo fácil que es, y pueden suceder dos cosas. Si tenemos una lista negra, cambiando un carácter de la dirección podrá conectarse a la red. Para detectarlo, deberemos disponer de un sistema de monitorización y alerta de equipos conectados. Si tenemos una lista blanca, la situación es incluso peor. El atacante podrá indicar a su computadora que suplante la dirección MAC de un dispositivo legitimamente conectado a la red. Esto impediría que la conexión fuese detectable como ilegítima y además podría causar problemas de colisión de tráfico de red ya que habría dos dispositivos con la misma dirección MAC.

Conocido lo que son las listas blancas y negras, deberás evaluar los riesgos relativos a tu organización y decidir si es mejor usar listas blancas, negras o directamente ninguna de ellas.

El segundo punto de controversia a la hora de tratar la seguridad de redes inalámbricas es la ocultación del SSID, que es el nombre de la redes que transmiten los puntos de acceso. La teoría dice que si haces público el nombre de tu red, estás comunicando abiertamente que existes y, por lo tanto, que puedes ser atacado. La ventaja de transmitir el nombre de red es que los usuarios de los dispositivos pueden saber fácilmente si pueden conectarse o no a una red. Si se oculta el nombre de red, lo que ocurre es que cuando nuestro teléfono o computadora tiene la tarjeta de red activada y no está conectado estará lanzando peticiones al aire para ver si el punto de acceso está cerca y poder conectarse. El peligro viene porque un atacante podría simular ser ese punto de acceso oculto. En tal caso, nuestro dispositivo se conectaría y estaríamos navegando por una red controlada por el atacante, con todos los riesgos que eso conlleva.

Captura de pantalla 2021-10-21 a las 15.57.32.png

A la hora de decidir ocultar o no el SSID hay que valorar si los usuarios de esa red están permanentemente conectados a ella: si son dispositivos fijos o si son por ejemplo teléfonos móviles que entran y salen. En el segundo caso, no sería recomendable ocultar el nombre de la red. Es decir, que esta medida de seguridad tiene más sentido en redes industriales o de propósito técnico que en redes en las que, por ejemplo, se conectan los trabajadores de una compañía con sus teléfonos personales o de empresa.

05 CIFRADO Y SEGURIDAD

Técnicas de cifrado

Técnicas de cifrado.mp4

Desde la más remota antigüedad hasta nuestros días, la confidencialidad ha sido una necesidad, y, en base a ella, se han establecido métodos de comunicación, cuya codificación fuese desconocida para un observador externo. Sin embargo, la codificación es algo que se puede aprender, por lo que las comunicaciones y el almacenamiento de información, para hacerse más seguros, se empezaron a cifrar, es decir, se modificaba el mensaje codificado en base a una algoritmo de dos variables: el mensaje codificado y la clave de cifrado.

Uno de los métodos de cifrado más antiguos conocidos es el de sustitución: si, por ejemplo, queremos enviar unos números, podríamos aplicar una técnica de sustitución en la que a cada cifra le asignásemos una letra, como el ejemplo que tenemos en pantalla. Pongamos, por ejemplo, que la información que queremos cifrar es la fecha 31 de septiembre de 2018, la codificaríamos como 31092018, y mediante sustitución con la clave indicada, el mensaje cifrado sería XSTEITSP. Lo mismo se puede hacer sustituyendo unas letras por otras, sílabas por números o cualquier combinación que se nos ocurra. La clave, en este caso, es lo que se llama «Alfabeto de cifrado».

Captura de pantalla 2021-10-21 a las 15.59.34.png

Una técnica muy conocida es la del cifrado César o de desplazamiento en el que un número indicaba cuántas letras había que desplazar el alfabeto. Por ejemplo, «casa» con un desplazamiento 5 se cifraría como «xvnv». El receptor del mensaje cifrado sólo necesita la clave: el número 5, ya que el alfabeto de sustitución es, en este caso, el propio alfabeto de codificación.

Captura de pantalla 2021-10-21 a las 16.01.37.png

Como vemos, el cifrado consta de una información codificada, de una clave y de un método de cifrado o algoritmo, que haga que el resultado sea incomprensible. Si no hay clave, no es cifrado, sería codificación. En la codificación solo hay método, en el cifrado tenemos algoritmo y clave o claves.

Captura de pantalla 2021-10-21 a las 16.02.00.png

Uno de los casos más conocidos de cifrado de la historia es el de la máquina «Enigma» de la Alemania nazi en la segunda guerra mundial. Esta máquina constaba de un teclado, unos discos de posición, unas clavijas y unas luces. La posición de los discos y de las clavijas eran la clave y el método de cifrado eran los mecanismos electromecánicos contenidos en el aparato. El operador podía teclear un mensaje en claro sin cifrar y se irían iluminando unas luces con otros caracteres. Esos caracteres eran los que debían transmitirse. La genialidad de Enigma residía en que la clave aplicada al algoritmo de sustitución cambiaba cada vez que el operador pulsaba una tecla. Ese cambio de clave se generaba mediante la rotación automática de los tres discos conocidos como «routers», por eso, para transmitir un mensaje, la posición de esos discos al cifrar la primera letra debía ser conocida, tanto por el emisor como por el receptor del mensaje. Estamos hablando de combinaciones de 3 discos de 26 posiciones, es decir, 17576 posibles combinaciones de arranque. Además de un tablero agregado para transponer diez pares de letras que generaba más de 150 trillones de combinaciones. Cada unidad de radio del ejército con una máquina Enigma, tenía una tabla de qué posición de discos utilizar cada día para transmitir y de las conexiones del tablero de transposición. Por lo que, aunque se lograse deducir el algoritmo, cada día era necesario descubrir ambas claves. El matemático polaco Marian Rejewski inició la tarea de deducción del funcionamiento del algoritmo y el ordenador del afamado Alan Turing fue la herramienta empleada para calcular cada día las nuevas claves.

Captura de pantalla 2021-10-21 a las 16.03.19.png

El cifrado de la información garantiza la confidencialidad e, incluso, la integridad. Las técnicas de cifrado más modernas consiguen que, si se modifica la información cifrada, el resultado de descifrarla, incluso disponiendo de la clave correcta, carezca de sentido. Aunque hemos estado hablando del cifrado para el envío de mensajes no es menos importante el cifrado para almacenamiento de información o para el aislamiento. Los soportes en los que almacenamos información, típicamente memorias y discos duros, pueden cifrarse para que, incluso, si la información no se transmite, esté segura en caso de robo o acceso no autorizado.

Captura de pantalla 2021-10-21 a las 16.05.22.png

Las comunicaciones deben ser cifradas siempre que sea posible, pero en ocasiones, tenemos que comunicarnos mediante redes que no controlamos, y cuya seguridad puede ser mala o muy mala; en estos casos, es aconsejable utilizar sistemas de cifrado como redes privadas virtuales, que nos llevan por un canal cifrado hasta una red de nuestra confianza en la que trabajar o desde la que navegar por Internet. Por último, no quiero terminar esta explicación sobre qué es el cifrado sin aclarar que «encriptación» es un anglicismo y que el término correcto en español es «cifrado»; aunque debemos tener en cuenta que es más probable que el público no especializado haya escuchado «encriptar» en lugar de «cifrar»

Cifrado simétrico y asimétrico

Cifrado simétrico y asimétrico.mp4

El cifrado de unos datos consiste en aplicar un algoritmo en el que los valores de entrada son, la clave y los datos a cifrar, y el resultado es la información cifrada. Diremos que un algoritmo de cifrado es simétrico cuando utiliza la misma clave para cifrar y para descifrar el mensaje, es decir, que si una función, con los datos y la clave como entrada, dan un mensaje cifrado como salida, si aplicásemos ese mensaje cifrado y la misma clave al algoritmo complementario, obtendremos la información original. En este ejemplo encajan todos los métodos clásicos de cifrado, de hecho, todos los anteriores a las nuevas directivas de criptografía de «Diffie-Hellman», que dieron origen al sistema de claves públicas y privadas, también conocido como Cifrado asimétrico.

Captura de pantalla 2021-10-21 a las 16.07.32.png

Veamos en detalle el cifrado con clave simétrica, son algoritmos de clave simétrica aquellos que utilizan la misma clave para cifrar y para descifrar un mensaje, proporcionan confidencialidad, y, normalmente, también integridad a la información que protegen. El primer paso del proceso consiste en generar una clave conocida por quien quiere proteger la información, o por emisor y receptor si se trata de una comunicación, después se cifra el mensaje y se almacena o transmite. El receptor de la información puede descifrarlo conociendo el algoritmo y la clave. Las principales características del cifrado asimétrico son que: solo el «receptor designado» puede descifrar el mensaje, existe garantía de integridad, y cada usuario dispone de dos claves, una pública y una privada. El proceso de transmisión de un mensaje mediante este método es el siguiente:

emisor y receptor comparten entre sí sus claves públicas, también se las denomina «llaves» por su traducción directa del inglés. El emisor del mensaje cifra este, empleando la clave pública del receptor, y lo envía. El receptor del mensaje solo puede descifrarlo si dispone de la clave privada asociada a la clave pública empleada por el emisor. Así es como se garantiza que solo el receptor designado pueda descifrar el mensaje, porque solo una llave privada asociada a determinada llave pública puede descifrar lo que se cifre con ella. Además, el sistema de llaves asimétricas aporta una ventaja extra, la firma del remitente. El remitente de un mensaje, cifrado o no, puede firmar dicho mensaje con su llave privada, esto garantiza al receptor del mensaje que el remitente es quién dice ser, porque las claves privadas, nunca deben ser compartidas ni enviadas. De este modo, si el sujeto A cifra un mensaje con la clave pública del B y lo firma con su propia clave privada, consigue que, el mensaje esté protegido, que solo el sujeto B con su clave privada pueda acceder al contenido del mensaje, y que el sujeto B, conociendo la clave pública del sujeto A pueda verificar la firma de este, y comprobar que el remitente es auténtico.

Captura de pantalla 2021-10-21 a las 16.10.20.png

El más famoso sistema de cifrado asimétrico es el desarrollado en 1977 por Rivest, Shamir y Adleman, denominado «RSA».

RSA

Este método genera para cada usuario un par de claves en base a dos números primos de longitud similar entre sí; la clave privada nunca debe ser compartida y la pública puede, valga la redundancia, publicarse o compartirse. Para mejorar aun más las ventajas del sistema RSA existen también las autoridades certificadoras, o terceros de confianza. Es común que estas entidades actúen como repositorios de claves públicas donde poder consultar la clave pública de una determinada persona para enviarle una comunicación cifrada. Pero la verdadera utilidad de estas entidades, es la de dar veracidad a las firmas. Cuando recibimos un mensaje, sabemos que tiene una firma, muy bien, pero si no hay forma de contrastarla, no aporta nada. Para eso están las entidades certificadoras, que se han asegurado de comprobar la identidad de los firmantes, para que los receptores de los mensajes puedan estar seguros de que la firma pertenece a la persona que dice ser, ya que hay múltiples herramientas con las que generar estas claves, en base a la información que queramos.

Captura de pantalla 2021-10-21 a las 16.11.36.png

Uno de los usos más extendidos del cifrado de claves asimétricas es el PGP, siglas de Pretty Good Privacy, principalmente utilizado para correo electrónico. En este caso, las claves se asocian al nombre de una persona o entidad, y a una o varias direcciones de correo electrónico de dicha persona o entidad.

Captura de pantalla 2021-10-21 a las 16.12.06.png

Cifrado de archivos, directorios y discos

Cifrado de archivos, directorios y discos.mp4

No toda la información de que disponemos está para ser transmitida o, al menos, no siempre está en tránsito. Es decir, la almacenamos para nuestro uso, ya sea porque la hemos recibido, o porque la hemos generado para utilizarla o transmitirla. Los soportes de almacenamiento físico digital como soportes magnéticos, ópticos, electromecánicos o electrónicos, guardan ingentes cantidades de información. Dado que son bienes tangibles, estos soportes pueden perderse o robarse si se trata de dispositivos portátiles como, por ejemplo, memorias USB. También tenemos soportes fijos instalados en nuestras computadoras, servidores, recursos en red, etcétera. Esos discos duros o SSD pueden ser robados y sufrir accesos ilegítimos para robo de información, ya sea de forma física o mediante técnicas de hacking.

Captura de pantalla 2021-10-21 a las 16.13.26.png

Para cifrar soportes de información, consideraremos varias opciones empezando por el cifrado integral de los discos duros.

BitLocker

Microsoft integró la herramienta BitLocker en Windows Vista y sistemas posteriores. Está disponible en versiones Professional y Enterprise del sistema operativo. Esta herramienta utiliza el algoritmo AES de 128 bits para cifrar unidades de disco completas, ya sea la propia unidad del sistema, o unidades externas como memorias flash. Si aplicamos cifrado a nuestro disco con BitLocker, aunque extraigan el disco de nuestra computadora no podrán acceder a la información ya que requerirán de uno de los tres métodos siguientes para descifrarlo.

Captura de pantalla 2021-10-21 a las 16.16.18.png
  • (1) TPM, un módulo de plataforma de confianza que es un sistema que almacena la contraseña de cifrado de forma automática en el propio PC.
  • (2) Autenticación del usuario mediante introducción de una contraseña. Y por último,
  • (3) Token USB, que son memorias USB accesibles para la Bios de la computadora y que permitirán el descifrado del disco.

<aside> ✅ Estamos en Windows 10, en concreto en el Panel de control. Si accedemos a la sección Sistema y seguridad, podemos encontrar Cifrado de unidad BitLocker.

</aside>

Nos aparece nuestro disco principal y podemos activar BitLocker. El proceso de cifrado nos permite activar el hardware de seguridad TPM si nuestra computadora dispone de ello, o utilizar un Token USB externo. También tenemos la posibilidad de cifrar unidades de USB externas, como, por ejemplo, esta. para lo que solo tenemos que hacer clic en Activar Bitlocker. Una vez iniciado el proceso, el sistema nos da la opción de cifrarlo mediante contraseña —para lo que nos pide que lo introduzcamos por duplicado— y también nos da la opción de utilizar tarjetas inteligentes si tenemos un lector para ello. Ambas opciones son compatibles y nos permitirían cifrar el contenido de la unidad USB externa.

FileVault

En computadoras Mac OS, la opción por defecto para cifrar el disco del sistema es FileVault. Podemos acceder a esta herramienta en la sección Seguridad y privacidad de Preferencias del sistema. Para poder configurar FileVault, deberemos desbloquear las opciones de administración. Si activamos FileVault, el sistema asociará nuestra cuenta de usuario con la clave de cifrado del disco y solo podrá arrancar el sistema si nos registramos en el mismo. Al igual que BitLocker, FileVault también utiliza cifrado AES. Mac OS también nos permite cifrar unidades externas haciendo clic derecho sobre la unidad en el Finder y seleccionando Encriptar Para ello, el disco deberá estar formateado como Mac OS Plus con mayúsculas, minúsculas y registro y esquema de mapa de particiones GUID. Solo nos pedirá una contraseña, repetir la contraseña y una indicación de la misma por si nos olvidamos. Y podremos encriptar el disco.

TrueCrypt

En el caso de sistemas Linux, se nos ofrecerá la opción de cifrar el contenido del espacio de usuario al instalar el sistema operativo en la computadora. Hasta hace unos años, una de la herramientas más utilizadas de cifrado era TrueCrypt, pero su desarrollo fue cancelado. Esta herramienta permitía cifrar discos enteros y también generar imágenes de disco cifrado. Esta imágenes son el equivalente a un baúl seguro dentro de un disco. Para el sistema operativo son como un archivo cualquiera más, pero mediante TrueCrypt podían montarse y aparecían en el explorador de archivos como una unidad de almacenamiento más donde guardar información confidencial, aunque el resto del disco duro estuviese sin cifrar.

En Windows, también podemos cifrar archivos o directorios independientes mediante EFS o Sistema de cifrado de archivos, aunque el disco esté accesible, solo desde la cuenta de usuario que cifró el directorio o archivo podrá abrirse. Por ejemplo, estamos en la carpeta Documentos, si creamos una carpeta nueva, la llamamos «Confidencial» y dentro de ella creamos un archivo de notas seguro. Por ejemplo, un documento de texto, «notas importantes*. Dentro del archivo, podemos escribir lo que necesitemos. Guardamos el contenido, y si volvemos a la carpeta superior, es una carpeta totalmente normal. En la carpeta «Confidencial», podemos abrir el submenú Propiedades, y, en Opciones avanzadas, podemos elegir Cifrar contenido para proteger datos. Aceptamos. Aplicamos. Y se lo aplicamos, o solo a esta carpeta, o a todo el contenido de la carpeta, lo lógico es aplicarlo a todo el contenido, de forma que los archivos contenidos dentro también estarán cifrados. Vemos cómo aparece ese pequeño candado. En la carpeta superior, también tenemos el candado en el icono, mientras que el archivo normal fuera de esa carpeta no está cifrado. En Windows podemos cifrar los archivos mediante el protocolo EFS o Sistema de cifrado de archivos. No solicita clave y solo necesita que el usuario que cifró la información esté conectado.

Sin embargo, en Mac OS, no disponemos de esa opción que tiene Windows para cifrar archivos o directorios específicos. Pero una solución muy estandarizada y para la que podemos encontrar aplicaciones en cualquier plataforma es PGP, siglas de Pretty Good Privacy, que permite cifrar archivos a voluntad. Para ello, podemos optar por la opción de OpenPGP como opción gratuita y eficiente que además incluye herramientas para clientes de correo electrónico.

Cifrado de correo electrónico

Cifrado de correo electrónico.mp4

El método de comunicaciones electrónicas más utilizado profesionalmente es el correo electrónico. Un protocolo que, con sus variaciones y avances, ha estado presente desde 1977, basándose en la especificación RFC-733. Desde entonces se han desarrollado e implementado mejoras, la más notable fue IMAP, que permitía no solo descargar mensajes recibidos, sino mantenerlos sincronizados entre el servidor de correo y las aplicaciones cliente. Pero la seguridad del correo electrónico ha sido siempre muy pobre, y lo sigue siendo.

Captura de pantalla 2021-10-21 a las 16.23.31.png

En la actualidad, es normal que la conexión entre nuestro cliente de correo electrónico y el servidor, esté cifrada mediante SSL, pero desconocemos qué hay más allá. No sabemos si alguien ha podido acceder a nuestro servidor de correo, al del destinatario de nuestros e-mails, o a cualquier etapa intermedia. Para evitar fugas de información, es aconsejable cifrar los e-mails antes de ser enviados, es decir, antes de salir de nuestro entorno de control.

Captura de pantalla 2021-10-21 a las 16.24.15.png

Para ello, se recurre generalmente al sistema PGP, siglas de Pretty Good Privacy. Que funciona mediante cifrado híbrido, es decir, primero comprime el correo electrónico, después genera una clave aleatoria de un único uso, cifra la compresión del correo con dicha clave mediante un algoritmo simétrico, y por último, cifra la clave simétrica con la clave pública del destinatario. De esta forma, al recibir el correo, podrá descifrar la clave simétrica con la clave privada, y con esta, el correo; lo mismo que para los archivos adjuntos. Además, PGP contempla el protocolo de firma de e-mails, permitiendo que el remitente de un correo lo firme con su clave privada. De forma que el receptor, poseedor de la llave pública del remitente, podrá validar la identidad de este. Por lo tanto, PGP nos proporciona confidencialidad e integridad, mediante el cifrado y mediante la firma, autentica la identidad del remitente. Una de las herramientas más ampliamente utilizadas para implementar esta tecnología, es OpenPGP, en cuya página web, podemos encontrar recursos para las principales plataformas, Windows, MacOS, Android, iOS y GNU/Linux. Y complementos para algunos de los clientes de correo electrónico más habituales de dichas plataformas, como pueden ser Outlook, Thunderbird, o Mail de OSX. Si la implementación de estas herramientas de forma local resulta compleja, existen proveedores de servicio de correo electrónico mediante interfaz web, es decir, sin cliente, que aportan seguridad PGP. Los recomendados por OpenPGP son Hushmail, Mailfence y Protonmail, pero no destacan por permitir al usuario disponer de sus pares de claves pública y privada.

Volviendo al PGP tradicional, a autogestionado en el que tenemos o nos tienen que generar una clave pública y una privada, tenemos que tener en cuenta que las claves públicas pueden estar disponibles en directorios online, para que cualquiera los localice. Un método que se utilizó para dar veracidad a la identidad tras una llave pública, es permitir que otras personas la firmen. Cuánta más gente reconocida firme la llave pública de otra persona, más probabilidades habrá de que dicha identidad sea fiable. A pesar de todo, debemos tener en cuenta que PGP solo protege el contenido de nuestras comunicaciones, pero no los datos asociadas a las mismas. Es decir, que si alguien accede a nuestra información, aunque no pueda ver el contenido de los e-mails, podrá saber a quién escribimos, quién nos escribe, en qué fechas, desde qué direcciones IP, y mucha más información. Como siempre, la seguridad perfecta no existe, pero PGP es Pretty Good.

Redes VPN

Redes VPN.mp4

La navegación por internet dice mucho de cómo es una persona: de sus intereses, su trabajo, a niveles de detalle que pueden llegar a asustar. Esa información puede ser monitorizada por quien controle el tráfico de la red desde la que accedemos a internet. Y aunque la comunicación sea cifrada, siempre es posible saber dónde nos estamos conectando. Para solucionar este y otros problemas y necesidades, surgieron las redes privadas virtuales. Podemos definir una VPN como un canal de comunicaciones cifrado por el cual se conducen el resto de comunicaciones. Estos túneles se establecen entre equipos de red como routers, firewalls o directamente servidores VPN autónomos y sus pares, o entre estos equipos y terminales de usuario.

Captura de pantalla 2021-10-21 a las 16.28.21.png

Por ejemplo, si nuestra empresa tiene múltiples sedes, se puede disponer de una única red informática lógica conectando las sedes mediante VPN. Esto permite que la computadora de una oficina pueda conectarse a los recursos del servidor de archivos que hay en otra sede, como si estuviese ahí mismo. La función de la VPN es generar ese túnel cifrado que comunica a través de internet, ambas sedes. En este ejemplo, el túnel se establece, por ejemplo, entre el router de una sede y un servidor VPN en la sede matriz.

Captura de pantalla 2021-10-21 a las 16.30.12.png

Pero las redes privadas virtuales no solo permiten unir redes de forma segura a través de entornos inseguros como internet, sino que permiten que los usuarios en movilidad accedan a recursos corporativos que solo están disponibles en la red de la propia empresa. Imaginemos que tenemos un sistema de almacenamiento de archivos en red, un NAS, en la oficina donde guardamos el material comercial: listas de precios, catálogos y demás recursos que utilizan nuestros comerciales para su día a día. Una forma de acceder a ese NAS sería abrir un puerto en el firewall de la red que redirija las comunicaciones entrantes hasta el NAS. Luego el NAS puede solicitar usuario y contraseña, pero ya hemos dado acceso a conexiones externas hasta el interior de nuestra red. Si el NAS tuviese alguna vulnerabilidad, un atacante podría acceder a él. A este nivel técnico, dado que un VPN permite «enrutar» tráfico en el lado del servidor, un administrador de redes podría usar este sistema de túneles para comunicar redes VPN4 con las más modernas IPv6, que no son compatibles directamente entre sí. Si, por el contrario, implementamos un servidor VPN en la red coorporativa, podemos instalar un cliente VPN en la computadora o el teléfono móvil del usuario. Cuando el terminal del comercial habilite la conexión VPN, a todos los efectos, esa computadora o teléfono estarán en la red con los dispositivos de la oficina y podrá acceder al NAS como si estuviese en el despacho. Por último, podemos implementar servidores VPN cuyo objetivo no sea acceder a la red corporativa de nuestra organización, sino proporcionar un acceso seguro a internet. Los usuarios podrán conectarse a redes inseguras, establecer el túnel VPN y, a partir de ese momento, dirigir todo su tráfico a través de este túnel para salir a internet desde la conexión disponible para el servidor VPN. Es decir, que si nos conectásemos a una web estando en la red inalámbrica de un aeropuerto, a través de nuestra VPN, la dirección IP que vería el servidor web, sería la IP publica del acceso a internet del servidor VPN, no la de nuestra computadora que sí está físicamente en el aeropuerto.

Los principales sistemas operativos de computadoras y teléfonos inteligentes integran en sus paneles de control, normalmente en la sección de configuración de red, las herramientas para configurar un cliente VPN en base a los parámetros que nos indique el administrador de red que ha implementado el servidor VPN, y que generará nuestras credenciales.

Estamos en Windows 10, en el Panel de control. Para establecer una conexión VPN, podemos ir a Redes e Internet Centro de redes y recursos compartidos y Configurar una nueva conexión de red. Seleccionamos la opción de Conectarse a un área de trabajo, pulsamos en Siguiente, y nos da la opción de usar una conexión a internet VPN. A partir de este punto, deberemos introducir los datos que nos proporcione el administrador de sistemas de nuestra compañía.

En sistemas Mac OS, abriremos el panel de Preferencias del sistema y accederemos la sección de Red si queremos crear una conexión VPN. Para agregar la conexión, seleccionaremos ‘+’ en la parte inferior, seleccionaremos la opción VPN y seleccionaremos el protocolo que nos haya indicado el administrador de sistemas que gestiona la conexión VPN. A partir de ahí, podremos darle a crear la conexión e introducir los parámetros que nos indique el administrador.

Los protocolos más populares para crear redes privadas virtuales son: IPSec, que utiliza el protocolo Internet Key Exchange para autenticar usuarios; y AES o 3DES para cifrar las comunicaciones. Es uno de los protocolos más usados para conexiones de redes y para acceso de terminales a redes en los ejemplos anteriormente explicados. PPTP utiliza un cifrado más débil que IPSec; es rápido y sencillo, pero susceptible a ataques man-in-the-middle o de hombre en medio. También se pueden generar canales cifrados de comunicaciones para otros propósitos y, en este caso, destacan el protocolo SSH, que permite generar conexiones seguras, típicamente en el puerto TCP 22 e identificar usuarios mediante nombre y contraseña. Se suele usar para gestión remota de servidores mediante línea de comandos, aunque permite mucha más funcionalidad. SSL/TLS se usa principalmente para comunicaciones HTTP en el puerto TCP 443 y por tanto es muy típico en navegadores web. Sirve para generar un túnel cifrado entre el navegador y el servidor web, aunque por su sencillez y extendida implementación también se usa para comunicaciones máquina a máquina.

Captura de pantalla 2021-10-21 a las 16.50.04.png

<aside> ✅ Siempre que sea posible, es aconsejable comunicarse mediante canales cifrados para evitar entornos hostiles.

</aside>

Leave a Reply

Your email address will not be published.