Comunidad de diseño web y desarrollo en internet online

Seguridad informática: Keyloggers, Spyware y HTTPS

Hace unos días, XKlibur publicó un artículo sobre la seguridad web en el que explicaba las precauciones básicas que debemos tomar al conectarnos a Internet. Yo intentaré dar algunos consejos de seguridad más, haciendo un breve esbozo de lo que nos mantiene seguros (e inseguros) en Internet. Es posible que algunas de las cosas que explique puedan parecerte exageradas, y ciertamente, quizá no tengas de qué preocuparte, pero hay casos en los que la necesidad de pensar de manera paranoica es obvia.

Para empezar, hay que decir que si alguien tiene el suficiente tiempo, dinero e interés suficientes para intentar robar tus datos es muy probable que lo acabe consiguiendo, sobre todo si puede estar físicamente cerca de ti.

En este primer artículo, analicemos lo que sucede cuando introducimos información en un formulario cualquiera:

Seguridad en el PC


Por supuesto, para rellenar información en un formulario, necesitamos escribir esos datos en nuestro ordenador. Eso implica que cualquiera que tenga acceso a él para instalar algún tipo de programa para monitorear las pulsaciones del teclado (keylogger), físico (algo difícil en un equipo portátil, pero no tanto en un ordenador de oficina), o por software puede saber todo lo que hagamos. La defensa contra esto, desde el lado de la web, o del usuario, puede ser un teclado virtual, con la distribución de teclas aleatoria para escribir las contraseñas. No es práctico si tenemos que escribir grandes cantidades de texto, lo que además permite adivinar la disposición de las teclas, comparando la frecuencia de las pulsaciones con la de las letras en los diversos idiomas.

Por otra parte, no necesariamente hay que acceder físicamente al ordenador. Basta con ser capaz de instalar algún tipo de virus, aprovechando las vulnerabilidades del sistema operativo, o de algún programa del usuario (el navegador de Internet es especialmente sensible). Ésta es una de las maneras más populares de robar datos.

Sin embargo, aunque puede funcionar bien a gran escala, contra múltiples usuarios indeterminados (que se descargan un programa o hacen click en un enlace), es más complicado de llevar a la práctica contra un objetivo específico, sobre todo si tiene ciertos conocimientos informáticos. Habría que forzarle a hacer click en un enlace específico, o hacer que se descargue cierto programa malicioso concreto (spyware), que usamos para robarle la información, y para hacer eso, el atacante podría exponerse a revelar cierta información sobre sí mismo, que podría llevarle a ser descubierto. Por otro lado, el virus necesariamente tendría que aprovechar alguna de las vulnerabilidades del sistema del usuario, algo que se puede atajar con frecuentes actualizaciones, y sobre todo, con no visitar sitios ni descargar archivos potencialmente peligrosos. También el uso sistemas operativos menos populares (y más seguros) que Windows reduce las posibilidades de infección.

Seguridad en Internet


Cada cierto tiempo aparecen noticias alertando de algún grave fallo en un protocolo básico, que nos recuerdan que no podemos confiar totalmente en la red. Sin embargo, las posibilidades de explotación de este tipo de fallos requieren la complicidad del ISP, o aprovechar alguna vulnerabilidad en sus sistemas, lo cual podría resultar ruidoso, y es complicado. Sin embargo, la policía (mediante una autorización judicial) puede solicitar al ISP monitorear todo el tráfico. En principio no podrían acceder al tráfico encriptado (HTTPS).

Seguridad en el servidor


Otra manera de robar información es robarla directamente del servidor en el que se almacena, aprovechando algún fallo. Aquí realmente hay poco que pueda hacer un usuario. Alguien realmente paranoico trataría de encontrar él mismo vulnerabilidades en el servidor (supuestamente para reportarlas al webmaster para que se solucionen, antes de que las encuentre otro). Para hacer eso, existen programas e incluso distribuciones especializadas (Nessus y Backtrack, respectivamente, son las más representativas). De todas formas, entre ver un reporte con fallos en Nessus, y ser capaz de robar una base de datos hay un gran trabajo (para nada trivial) que requiere que alguien tenga mucha capacidad y muchas ganas de robar nuestra información.





Estos caminos requieren medios relativamente grandes, o una acumulación de fallos por parte del objetivo del ataque, o la habilidad de un hacker. Sin embargo hay un paso intermedio que resulta difícil de vigilar, y no requiere grandes despliegues. De hecho alguien con un ultraportátil y una llave Live-USB de Backtrack (en la que sobra espacio para poner música) y esté sentado en el banco de la esquina puede conocer mucho de lo que hacemos en Internet. Y no es necesario que sea alguien especialmente versado en seguridad informática. Basta con memorizar algunos comandos de Linux. En el próximo artículo veremos esto con detalle.

¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.

Publica tu comentario

El autor de este artículo ha cerrado los comentarios. Si tienes preguntas o comentarios, puedes hacerlos en el foro

Entra al foro y participa en la discusión

o puedes...

¿Estás registrado en Cristalab y quieres
publicar tu URL y avatar?

¿No estás registrado aún pero quieres hacerlo antes de publicar tu comentario?

Registrate