Hace unos días, XKlibur publicó un artículo sobre la seguridad web en el que explicaba las precauciones básicas que debemos tomar al conectarnos a Internet. Yo intentaré dar algunos consejos de seguridad más, haciendo un breve esbozo de lo que nos mantiene seguros (e inseguros) en Internet. Es posible que algunas de las cosas que explique puedan parecerte exageradas, y ciertamente, quizá no tengas de qué preocuparte, pero hay casos en los que la necesidad de pensar de manera paranoica es obvia.
Para empezar, hay que decir que si alguien tiene el suficiente tiempo, dinero e interés suficientes para intentar robar tus datos es muy probable que lo acabe consiguiendo, sobre todo si puede estar físicamente cerca de ti.
En este primer artículo, analicemos lo que sucede cuando introducimos información en un formulario cualquiera:
Seguridad en el PC
Por supuesto, para rellenar información en un formulario, necesitamos escribir esos datos en nuestro ordenador. Eso implica que cualquiera que tenga acceso a él para instalar algún tipo de programa para monitorear las pulsaciones del teclado (keylogger), físico (algo difícil en un equipo portátil, pero no tanto en un ordenador de oficina), o por software puede saber todo lo que hagamos. La defensa contra esto, desde el lado de la web, o del usuario, puede ser un teclado virtual, con la distribución de teclas aleatoria para escribir las contraseñas. No es práctico si tenemos que escribir grandes cantidades de texto, lo que además permite adivinar la disposición de las teclas, comparando la frecuencia de las pulsaciones con la de las letras en los diversos idiomas.
Por otra parte, no necesariamente hay que acceder físicamente al ordenador. Basta con ser capaz de instalar algún tipo de virus, aprovechando las vulnerabilidades del sistema operativo, o de algún programa del usuario (el navegador de Internet es especialmente sensible). Ésta es una de las maneras más populares de robar datos.
Sin embargo, aunque puede funcionar bien a gran escala, contra múltiples usuarios indeterminados (que se descargan un programa o hacen click en un enlace), es más complicado de llevar a la práctica contra un objetivo específico, sobre todo si tiene ciertos conocimientos informáticos. Habría que forzarle a hacer click en un enlace específico, o hacer que se descargue cierto programa malicioso concreto (spyware), que usamos para robarle la información, y para hacer eso, el atacante podría exponerse a revelar cierta información sobre sí mismo, que podría llevarle a ser descubierto. Por otro lado, el virus necesariamente tendría que aprovechar alguna de las vulnerabilidades del sistema del usuario, algo que se puede atajar con frecuentes actualizaciones, y sobre todo, con no visitar sitios ni descargar archivos potencialmente peligrosos. También el uso sistemas operativos menos populares (y más seguros) que Windows reduce las posibilidades de infección.
Seguridad en Internet
Cada cierto tiempo aparecen noticias alertando de algún grave fallo en un protocolo básico, que nos recuerdan que no podemos confiar totalmente en la red. Sin embargo, las posibilidades de explotación de este tipo de fallos requieren la complicidad del ISP, o aprovechar alguna vulnerabilidad en sus sistemas, lo cual podría resultar ruidoso, y es complicado. Sin embargo, la policía (mediante una autorización judicial) puede solicitar al ISP monitorear todo el tráfico. En principio no podrían acceder al tráfico encriptado (HTTPS).
Seguridad en el servidor
Otra manera de robar información es robarla directamente del servidor en el que se almacena, aprovechando algún fallo. Aquí realmente hay poco que pueda hacer un usuario. Alguien realmente paranoico trataría de encontrar él mismo vulnerabilidades en el servidor (supuestamente para reportarlas al webmaster para que se solucionen, antes de que las encuentre otro). Para hacer eso, existen programas e incluso distribuciones especializadas (Nessus y Backtrack, respectivamente, son las más representativas). De todas formas, entre ver un reporte con fallos en Nessus, y ser capaz de robar una base de datos hay un gran trabajo (para nada trivial) que requiere que alguien tenga mucha capacidad y muchas ganas de robar nuestra información.
Estos caminos requieren medios relativamente grandes, o una acumulación de fallos por parte del objetivo del ataque, o la habilidad de un hacker. Sin embargo hay un paso intermedio que resulta difícil de vigilar, y no requiere grandes despliegues. De hecho alguien con un ultraportátil y una llave Live-USB de Backtrack (en la que sobra espacio para poner música) y esté sentado en el banco de la esquina puede conocer mucho de lo que hacemos en Internet. Y no es necesario que sea alguien especialmente versado en seguridad informática. Basta con memorizar algunos comandos de Linux. En el próximo artículo veremos esto con detalle.
¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.
Por [Ray] el 15 de Julio de 2009
Por Nito el 15 de Julio de 2009
Y también me gustan mucho los títulos de los Artículos Relacionados
Por daz_angie el 15 de Julio de 2009
Siempre es bueno recordar lo fácil que es tener vulnerables nuestras PC, por más tonto que creamos que sea.
Por Xyrer el 15 de Julio de 2009
Por XKlibur el 15 de Julio de 2009
Es bueno estar al tanto de lo que podemos hacer para mantener la seguridad de nuestras PC. Ningún consejo está demás.
Por Xf6X el 26 de Enero de 2010
Por CRISTINA el 30 de Mayo de 2011
SWEDEN
Por el 29 de Septiembre de 2011
Por sanper el 01 de Junio de 2015