Seguridad en Redes Sociales

Seguridad en Redes Sociales

El día jueves 19 de febrero del presente se dictó por parte de la Universidad Autónoma de México, el  Primer Seminario de Seguridad Informática UNAM – Microsfot, el mismo que pudo ser seguido en la UTPL por medio del sistema de Videoconferencia de Internet2.

Del desarrollo de este evento, se pueden destacar algunas recomendaciones que los usuarios de la redes sociales debemos seguir para evitar que la información que manejamos sea un medio para que se comentan delitos informáticos.

Antes de tratar estas recomendaciones, es necesario recordar que una red es una forma de interacción social, definida como un intercambio dinámico entre personas, grupos e instituciones en contextos de complejidad, concepto que ha sido utilizado para el desarrollo de herramientas que permiten la interacción de diversas personas  que se identifican en las mismas necesidades y problemáticas. Ejemplo de estas redes sociales son: Hi5, Facebook[1],delicious, LinkedIN, Flickr , Twitter y muchas más, muy difundidas entre los usuarios de Internet y cuyo uso avanza a pasos agigantados especialmente dentro de la Web 2.0.

El uso de las redes sociales ha tomado fuerza en diversos entornos, de manera especial en los educativos. Nuestra Universidad por ejemplo,  realiza un uso extendido de las redes sociales como herramienta principal de la gestión del conocimiento, lo que ha permitido entre otras cosas, aumentar nuestra capacidad intelectual.

El gráfico representa una  muestra del porcentaje de usuarios que hace uso de estas estructuras de información:

   

Pero ¿por qué hay que tener cuidado al ser parte de  una red social?

Las ventajas de ser parte de estas redes son múltiples, sin embargo; aún cuando no seamos expertos en temas técnicos es muy importante tener en cuenta dos componentes: seguridad y privacidad, que juegan un papel importante cuando de redes sociales se habla, pues muchos usuarios confían en las redes sociales una gran cantidad de información personal que puede ser utilizada con fines ilícitos.

Del estudio publicado por OFCOM (Social Networking, A quatitative y qualitative research report into attitudes, behaviours, and use) en Abril del 2008, se puede destacar que en las redes sociales para adultos, un 48% configuró su perfil para que sea visto solamente por sus amigos, mientras que el 44% dijo que su perfil podría ser visto por cualquier persona.

-Entre el 41 y el 44% dejan las opciones de privacidad en “default” (por defecto)

- El 17% de los usuarios en general habla con gente que no conoce en la realidad. Más entre los 16 y 24 años. El 35% habla con “amigos de amigos”.

- El 25% de usuarios registrados en redes sociales decían haber dejado datos personales en sus perfiles (teléfono, dirección postal, email, etc.…). Los adultos más jóvenes eran los que mostraban mayor tendencia a hacerlo.

De la conferencia, se pueden  destacar los siguientes riesgos de seguridad:

-          Predadores Sexuales, riesgo principalmente dirigido a los niños.

-          Abusadores / Acosadores, quienes basan su actuación en información confidencial que pudieran ingresar los usuarios.

-          Uso de la información publicada para realizar ataques de ingeniería social, mucha  de esta información puede ser obtenida de diferentes redes sociales de las que un usuario es miembro, con lo cual el atacante logra tener un perfil completo de una persona.

-          Ataques contextualizados, como el phishing[2]  o el correo no deseado (SPAM), una vez que ha identificado los gustos o preferencias de los usuarios.

-          Vulnerabilidad de Aplicaciones, debido a las aplicaciones de terceros que algunas redes conllevan a instalar: XSS, Widgets, etc.

Frente a estos riesgos potenciales, es necesario tener en cuenta algunas consideraciones:

-          Usar contraseñas seguras, al menos 8 caracteres alfanuméricos y considerar tener al menos 2 o 3 contraseñas para los diferentes sistemas a los que accedemos.

-          Manejar un perfil restringido, limitando el acceso a la información a los diferentes usuarios.

-          No publicar información sensible del usuario.

-          No compartir la lista de contactos.

-          Evitar dar información que permite perfilarlos.

-          Reducir la visibilidad de las acciones, es decir evitar notificar cualquier cambio o acción que usted realiza.

-          No instalar aplicaciones de  terceros desconocidas.

Es necesario que todos tomemos consciencia de estos riesgos, pues hoy en día nuestra información está disponible a través de diversas fuentes, hay que tomar las medidas adecuadas  y aprender a vivir con esta realidad.

Más información del evento puede encontrar aqui

mpespinoza@utpl.edu.ec

Grupo de Telecomunicaciones

---

[1] Se estima que en el 2009 tendrá 200 millones de  usuarios.

[2] Técnica pretende dirigir a los usuarios a sitios falso para obtener datos confidenciales

 

Acerca de las Redes Trampa

 Si bien es cierto hoy en día existe una gran cantidad de dispositivos, mecanismos y herramientas útiles para asegurar nuestras redes y los datos que por ella circulan, no es menos cierto que las técnicas utilizadas por la comunidad “Black Hat” se incrementan notablemente, poniendo en notable desventaja a firewall, ids, antivirus, etc.

 

Una tecnología que es muy utilizada actualmente con fines investigativos y comerciales son las Honeynet o Redes Trampa, promovidas desde 1999 a través del proyecto The Honeynet Project.

Una Honeynet tiene como objetivo atraer a la Comunidad ”blackhat” simulando ser sistemas reales débiles o vulnerables a los ataques, ésta tecnología permite recoger información acerca de los atacantes,  técnicas y herramientas utilizadas así como advertir a los administradores sobre los intentos de ataques a redes de sus dominios con fines proactivos. Tiene como filosofía la de “Conocer a tu enemigo” lo que ayudará a los administradores y a los entendidos en seguridad a adoptar mecanismos adecuados de protección frente a los procesos que realizan los atacantes.

“Mi comandante me solía decir que para protegerte a ti mismo contra el enemigo, primero debías conocer quien era tu enemigo.

Esta doctrina militar se aplica fácilmente al mundo de la seguridad en red. Simplemente como los militares, tienes una información que intentas proteger. Para ayudar a la protección de estos datos, necesitas saber quiénes son tus enemigos y cómo te van a atacar.

Si tu o tu organización tiene cualquier terminal conectado a Internet, este enemigo irá a por ti.”

(The Honeynet Project. Conoce a tu enemigo. Las herramientas y metodologías del Script Kiddie”. Julio, 2000.)

 

 

Existen diversos capítulos del proyecto Honeynet a nivel internacional, en el Ecuador el proyecto ha comenzado a marchar y sus avances los podemos conocer en el sitio Honeynet  Ecuador.

 

Eventos Internacionales de Seguridad

Realizando algunos contáctos pra definir la linea de investigación de Seguridades, me he encontrado con varios eventos y talleres internacionales que son de gran interés en seguridad.

Uno de ellos es ESORICS, que es un simposio para tratar temas investigativos en seguridad en cómputo. El CSFW es otro evento que se realiza  para compartir los resultados de investigación en esta linea, se inició como un workshop de la IEEE y actualmente  es un congreso anual. Los nuevos avances sobre detección de intrusiones pueden ser discutidos en el RAID que se viene realizando desde 1998 y en este año tiene su sede en Cambridge, Massachusetts, USA.  Otra conferencia muy reconocida a nivel mudial es la CSI que es un evento anual que gira en torno a temas de seguridad y finalmente, RECSI, que es un capítulo dedicado a Criptología y Seguridad de la Información

Además, hay Talleres como el WISPT que se realiza por segundo año consecutivo en España. WOSIS es otro workshop que va por su sexta edición. La Universidad de Australia también presenta el NSS que es un workshop internacional sobre Redes y Sistemas de Seguridad.  LACNIC tha incorporado como parte de su asamblea anual un Foro de Seguridad en Red.

El tema de criptología tiene mucho peso en otros países, debido a su importancia se están desarrollando algunos eventos como AMAC en España. Si desean conocer acerca de más eventos en este tema sugiero revisar el sitio de IACR.

Si alguien sabe de más eventos a nivel mundial, sería muy interesante agregarlo a la lista. Saber de estos eventos nos permiten entre otras cosas ver por donde va el tema de seguridad a nivel mundial y así validar lo que estamos haciendo.

Sobre Certificados Digitales

Luego de algunas evaluaciones de seguridad se ha aceptado la necesidad de contar con servicios de Internet Seguros, en los cuales entre otras cosas, se transmita información cifrada entre el origen y destino de la comunicación. Uno de los mecanismos utilizados hoy en día es la Implementación del Protocolo “Secure Socket Layer (SSL)” a través de certificados digitales.

El certificado digital es un documento electrónico que garantiza la identidad del titular permitiendo una gestión adecuada de las claves de cifrado y principalmente la confianza en los portadores de estas claves.

Como Autoridad Certificadora se conoce a las empresas u organismos encargados de emitir certificados luego de verificar la identidad de quiénes lo solicitan. Existen algunas empresas certificadoras como VeriSign, Thawte, Entrust, entre otras a nivel mundial. En el caso de Ecuador aún existen algunas solicitudes en trámite ante el CONATEL para obtener el permiso y funcionar como autoridad certificadora.

Al momento de adquirir un certificado es necesario tener clara la aplicación del mismo y el tipo de información que se va a proteger, pues dependiendo de esto se puede seleccionar una variedad de soluciones que ofrecen los proveedores. Entre los parámetros a considerar para ésta selección están: empresa (este es un punto determinante en el costo de la solución), número mínimo y máximo de bits utilizados para la encriptación, método de autenticación que se utiliza (generalmente suele ser basado en dominio pero pueden considerarse factores adicionales), garantía (que es un valor monetario alto que ofrece pagar la empresa si la seguridad que ofrece su certificado fuera vulnerada), el soporte que ofrece la empresa en la región y finalmente el costo (suelen existir paquetes cuando se requieren varios certificados).

En la fase de compra hay que tener en cuenta algunos pasos importantes. Aquí una guía que provee Thawte para la adquisición. Ésta variará ligeramnte entre una y otra solución o empresa.

Voz y video sobre IP

El aumento de ancho de banda debido a la constante baja de precios de
hardware y mejoras en software, ha permitido que Internet tenga cada vez
más contenido enriquecido, fotos, videos, audio y otras aplicaciones.

Sin embargo, para el envío y recepción de vídeo y su transmisión a
través de web se consideran algunas caracteristicas: compresión (mpeg),
pixeles, codificadores (codecs), digitalización.

¿Qué criterios utiliza el sitio de Youtube y la aplicación de Skype para
el enví­o y recepción de contenido enriquecido ?

Caching de Páginas Web

Uno de los principales objetivos de los administradores de red  es ofrecer a los usuarios un acceso rápido a los contenidos. En éste sentido se han desarrollado muchas soluciones a nivel de hardware y software que permiten realizar caching de los sitios web.

Analice las ventajas y desventajas de estas soluciones, cómo funcionan e  investigue al menos 2 soluciones en software y dos en hardware.

 

En LACNIC XI

Luego de un viaje bastante agotador llegamos a la bonita ciudad de Salavador de Bahía el Lunes 26 de Mayo, aproximadamente a las 22:30 Brasil, 08:30 Ecuador.

Participamos en el evento el día martes. Mi primera impresión los asistentes son muchos y personas de un muy buen nivel técnico!!! Diversidad de empresas: educativas, financieras, ISP´s, Universidades: no tantas como pensaba y no hay  muchos ecuatorianos pero estamos en el sexto lugar de asistencia al evento.

Martes: Reunión NAPLA, NAP´s de latinoamérica

Miércoles: Evento de Seguridad, en el cual tuvimos la oportunidad de presentar el resultado de dos proyectos que se han realizado en el tema de seguridad: Implementación de una Herramienta SIM en la UTPL y Seguridad en la Red Inalámbrica de la Red de un Campus Universitario.

Además de las presentaciones el Evento ha servido para mirar por donde va la investigación en la línea de seguridad en latinoamérica y muchos de ellos están en  torno al estudio de tráfico de generado por SPAM y ataques de seguridad, esto permitirá  reorientar  los proyectos que estamos desarrollando.

Ya subiré algunas imágenes del evento aunque en el sitio web de LACNIC, pueden encontrar muchas.

 

 

Sobre Google Apps

Uno de los  servicios de Internet más difundidos en la actualidad es el de Correo electrónico, servicio que una gran cantidad de empresas tiene implementado en sus organizaciones.

Sin embargo, surgen nuevas soluciones que permiten a las empresas tercerizar el mismo. Una de las soluciones es la propuesta de Google a través de Google Apps.

Es necesario entonces realizar un estudio del mismo: en que consiste, cómo funciona y las principales características de operación y seguridad y, sobretodo las ventajas y desventajas que representa para las organizaciones delegar la gestión  de este servicio a terceros.

Vamos a discutir y evaluar los puntos de vista de cada uno

LACNIC XI

Del 26 al 30 de Mayo en Salvador de Bahía, Brasil tendrá lugar la Décimo Primera Asamblea de LACNIC (Registro de Direcciones de Internet para Latinoamérica y el Caribe) organismo encargado de gestionar los recursos de Internet  en Latinoamérica y el Caribe. La UTPL es miembro de esta organización razón por la cual seremos partícipes de la Asamblea General preparada para este año.

Paralelamente se llevarán a cabo algunos eventos sobre temas afines, entre ellos el Tercer Evento de Seguridad en Redes, en el cual la Universidad mostrará el resultado de los proyectos que en ésta linea se están realizando.

Más información sobre el evento en: http://www.lacnic.net/sp/eventos/lacnicxi/

Seguridad de la Información

Con la colaboración , entusiasmo de los estudiantes  y el apoyo de la Universidad estamos impulsando los proyectos de Seguridad de la Información. Estos se realizan a través de proyectos de tesis y con los estudiantes de Gestión Productiva que se involucran en estos proyectos reales. Hasta la actualidad hemos trabajado en las siguientes líneas:

- Seguridad en Redes Inalámbricas

- Protocolos de Seguridad

- Sistemas de Gestión y Monitoreo de Seguridad

- Seguridad Perimetral

- Sistemas de autenticación y autorización.

Más información sobre los mismos revisen los sitios:

http://www.utpl.edu.ec/blog/gtelecomunicaciones/

www.utpl.edu.ec/seguridad