Seguridad en Redes Sociales

Seguridad en Redes Sociales

El día jueves 19 de febrero del presente se dictó por parte de la Universidad Autónoma de México, el  Primer Seminario de Seguridad Informática UNAM – Microsfot, el mismo que pudo ser seguido en la UTPL por medio del sistema de Videoconferencia de Internet2.

Del desarrollo de este evento, se pueden destacar algunas recomendaciones que los usuarios de la redes sociales debemos seguir para evitar que la información que manejamos sea un medio para que se comentan delitos informáticos.

Antes de tratar estas recomendaciones, es necesario recordar que una red es una forma de interacción social, definida como un intercambio dinámico entre personas, grupos e instituciones en contextos de complejidad, concepto que ha sido utilizado para el desarrollo de herramientas que permiten la interacción de diversas personas  que se identifican en las mismas necesidades y problemáticas. Ejemplo de estas redes sociales son: Hi5, Facebook[1],delicious, LinkedIN, Flickr , Twitter y muchas más, muy difundidas entre los usuarios de Internet y cuyo uso avanza a pasos agigantados especialmente dentro de la Web 2.0.

El uso de las redes sociales ha tomado fuerza en diversos entornos, de manera especial en los educativos. Nuestra Universidad por ejemplo,  realiza un uso extendido de las redes sociales como herramienta principal de la gestión del conocimiento, lo que ha permitido entre otras cosas, aumentar nuestra capacidad intelectual.

El gráfico representa una  muestra del porcentaje de usuarios que hace uso de estas estructuras de información:

   

Pero ¿por qué hay que tener cuidado al ser parte de  una red social?

Las ventajas de ser parte de estas redes son múltiples, sin embargo; aún cuando no seamos expertos en temas técnicos es muy importante tener en cuenta dos componentes: seguridad y privacidad, que juegan un papel importante cuando de redes sociales se habla, pues muchos usuarios confían en las redes sociales una gran cantidad de información personal que puede ser utilizada con fines ilícitos.

Del estudio publicado por OFCOM (Social Networking, A quatitative y qualitative research report into attitudes, behaviours, and use) en Abril del 2008, se puede destacar que en las redes sociales para adultos, un 48% configuró su perfil para que sea visto solamente por sus amigos, mientras que el 44% dijo que su perfil podría ser visto por cualquier persona.

-Entre el 41 y el 44% dejan las opciones de privacidad en “default” (por defecto)

- El 17% de los usuarios en general habla con gente que no conoce en la realidad. Más entre los 16 y 24 años. El 35% habla con “amigos de amigos”.

- El 25% de usuarios registrados en redes sociales decían haber dejado datos personales en sus perfiles (teléfono, dirección postal, email, etc.…). Los adultos más jóvenes eran los que mostraban mayor tendencia a hacerlo.

De la conferencia, se pueden  destacar los siguientes riesgos de seguridad:

-          Predadores Sexuales, riesgo principalmente dirigido a los niños.

-          Abusadores / Acosadores, quienes basan su actuación en información confidencial que pudieran ingresar los usuarios.

-          Uso de la información publicada para realizar ataques de ingeniería social, mucha  de esta información puede ser obtenida de diferentes redes sociales de las que un usuario es miembro, con lo cual el atacante logra tener un perfil completo de una persona.

-          Ataques contextualizados, como el phishing[2]  o el correo no deseado (SPAM), una vez que ha identificado los gustos o preferencias de los usuarios.

-          Vulnerabilidad de Aplicaciones, debido a las aplicaciones de terceros que algunas redes conllevan a instalar: XSS, Widgets, etc.

Frente a estos riesgos potenciales, es necesario tener en cuenta algunas consideraciones:

-          Usar contraseñas seguras, al menos 8 caracteres alfanuméricos y considerar tener al menos 2 o 3 contraseñas para los diferentes sistemas a los que accedemos.

-          Manejar un perfil restringido, limitando el acceso a la información a los diferentes usuarios.

-          No publicar información sensible del usuario.

-          No compartir la lista de contactos.

-          Evitar dar información que permite perfilarlos.

-          Reducir la visibilidad de las acciones, es decir evitar notificar cualquier cambio o acción que usted realiza.

-          No instalar aplicaciones de  terceros desconocidas.

Es necesario que todos tomemos consciencia de estos riesgos, pues hoy en día nuestra información está disponible a través de diversas fuentes, hay que tomar las medidas adecuadas  y aprender a vivir con esta realidad.

Más información del evento puede encontrar aqui

mpespinoza@utpl.edu.ec

Grupo de Telecomunicaciones

---

[1] Se estima que en el 2009 tendrá 200 millones de  usuarios.

[2] Técnica pretende dirigir a los usuarios a sitios falso para obtener datos confidenciales

 

Acerca de las Redes Trampa

 Si bien es cierto hoy en día existe una gran cantidad de dispositivos, mecanismos y herramientas útiles para asegurar nuestras redes y los datos que por ella circulan, no es menos cierto que las técnicas utilizadas por la comunidad “Black Hat” se incrementan notablemente, poniendo en notable desventaja a firewall, ids, antivirus, etc.

 

Una tecnología que es muy utilizada actualmente con fines investigativos y comerciales son las Honeynet o Redes Trampa, promovidas desde 1999 a través del proyecto The Honeynet Project.

Una Honeynet tiene como objetivo atraer a la Comunidad ”blackhat” simulando ser sistemas reales débiles o vulnerables a los ataques, ésta tecnología permite recoger información acerca de los atacantes,  técnicas y herramientas utilizadas así como advertir a los administradores sobre los intentos de ataques a redes de sus dominios con fines proactivos. Tiene como filosofía la de “Conocer a tu enemigo” lo que ayudará a los administradores y a los entendidos en seguridad a adoptar mecanismos adecuados de protección frente a los procesos que realizan los atacantes.

“Mi comandante me solía decir que para protegerte a ti mismo contra el enemigo, primero debías conocer quien era tu enemigo.

Esta doctrina militar se aplica fácilmente al mundo de la seguridad en red. Simplemente como los militares, tienes una información que intentas proteger. Para ayudar a la protección de estos datos, necesitas saber quiénes son tus enemigos y cómo te van a atacar.

Si tu o tu organización tiene cualquier terminal conectado a Internet, este enemigo irá a por ti.”

(The Honeynet Project. Conoce a tu enemigo. Las herramientas y metodologías del Script Kiddie”. Julio, 2000.)

 

 

Existen diversos capítulos del proyecto Honeynet a nivel internacional, en el Ecuador el proyecto ha comenzado a marchar y sus avances los podemos conocer en el sitio Honeynet  Ecuador.

 

Eventos Internacionales de Seguridad

Realizando algunos contáctos pra definir la linea de investigación de Seguridades, me he encontrado con varios eventos y talleres internacionales que son de gran interés en seguridad.

Uno de ellos es ESORICS, que es un simposio para tratar temas investigativos en seguridad en cómputo. El CSFW es otro evento que se realiza  para compartir los resultados de investigación en esta linea, se inició como un workshop de la IEEE y actualmente  es un congreso anual. Los nuevos avances sobre detección de intrusiones pueden ser discutidos en el RAID que se viene realizando desde 1998 y en este año tiene su sede en Cambridge, Massachusetts, USA.  Otra conferencia muy reconocida a nivel mudial es la CSI que es un evento anual que gira en torno a temas de seguridad y finalmente, RECSI, que es un capítulo dedicado a Criptología y Seguridad de la Información

Además, hay Talleres como el WISPT que se realiza por segundo año consecutivo en España. WOSIS es otro workshop que va por su sexta edición. La Universidad de Australia también presenta el NSS que es un workshop internacional sobre Redes y Sistemas de Seguridad.  LACNIC tha incorporado como parte de su asamblea anual un Foro de Seguridad en Red.

El tema de criptología tiene mucho peso en otros países, debido a su importancia se están desarrollando algunos eventos como AMAC en España. Si desean conocer acerca de más eventos en este tema sugiero revisar el sitio de IACR.

Si alguien sabe de más eventos a nivel mundial, sería muy interesante agregarlo a la lista. Saber de estos eventos nos permiten entre otras cosas ver por donde va el tema de seguridad a nivel mundial y así validar lo que estamos haciendo.

Sobre Certificados Digitales

Luego de algunas evaluaciones de seguridad se ha aceptado la necesidad de contar con servicios de Internet Seguros, en los cuales entre otras cosas, se transmita información cifrada entre el origen y destino de la comunicación. Uno de los mecanismos utilizados hoy en día es la Implementación del Protocolo “Secure Socket Layer (SSL)” a través de certificados digitales.

El certificado digital es un documento electrónico que garantiza la identidad del titular permitiendo una gestión adecuada de las claves de cifrado y principalmente la confianza en los portadores de estas claves.

Como Autoridad Certificadora se conoce a las empresas u organismos encargados de emitir certificados luego de verificar la identidad de quiénes lo solicitan. Existen algunas empresas certificadoras como VeriSign, Thawte, Entrust, entre otras a nivel mundial. En el caso de Ecuador aún existen algunas solicitudes en trámite ante el CONATEL para obtener el permiso y funcionar como autoridad certificadora.

Al momento de adquirir un certificado es necesario tener clara la aplicación del mismo y el tipo de información que se va a proteger, pues dependiendo de esto se puede seleccionar una variedad de soluciones que ofrecen los proveedores. Entre los parámetros a considerar para ésta selección están: empresa (este es un punto determinante en el costo de la solución), número mínimo y máximo de bits utilizados para la encriptación, método de autenticación que se utiliza (generalmente suele ser basado en dominio pero pueden considerarse factores adicionales), garantía (que es un valor monetario alto que ofrece pagar la empresa si la seguridad que ofrece su certificado fuera vulnerada), el soporte que ofrece la empresa en la región y finalmente el costo (suelen existir paquetes cuando se requieren varios certificados).

En la fase de compra hay que tener en cuenta algunos pasos importantes. Aquí una guía que provee Thawte para la adquisición. Ésta variará ligeramnte entre una y otra solución o empresa.

Voz y video sobre IP

El aumento de ancho de banda debido a la constante baja de precios de
hardware y mejoras en software, ha permitido que Internet tenga cada vez
más contenido enriquecido, fotos, videos, audio y otras aplicaciones.

Sin embargo, para el envío y recepción de vídeo y su transmisión a
través de web se consideran algunas caracteristicas: compresión (mpeg),
pixeles, codificadores (codecs), digitalización.

¿Qué criterios utiliza el sitio de Youtube y la aplicación de Skype para
el enví­o y recepción de contenido enriquecido ?

Caching de Páginas Web

Uno de los principales objetivos de los administradores de red  es ofrecer a los usuarios un acceso rápido a los contenidos. En éste sentido se han desarrollado muchas soluciones a nivel de hardware y software que permiten realizar caching de los sitios web.

Analice las ventajas y desventajas de estas soluciones, cómo funcionan e  investigue al menos 2 soluciones en software y dos en hardware.

 

DNS Protocol

Basic of Domain Name System (DNS), love rafallo

Un presentación interesante del funcionamiento básico de DNS

Deber Web 2.0

Hola. Mi nombre es María Paula,, tengo 28 años, casada y con dos preciosos hijos.  

Actualmente trabajo en el Grupo de Telecomunicaciones , en la línea de investigación de Seguridad de la Información. Durante el presente ciclo dictaré las materias de Redes y Sistemas Distribuidos y Esquema de Seguridad de Datos.

Sobre el deber de Web 2.0, mis datos son:

Gmail: mpespinoza0

Del.icio.us: mpespinoza

Flickr: mpespinoza0

Youtube: mpespinoza0

Slideshare: mpespinoza

Saludos a tod@s,

  Ma. Paula

Hello world!

Tanto blog y tanto blog. Que he decidido crear uno para contarles sobre mis pequeñitos y las cosas que aprendo con ellos. Para el trabajo ya tengo el blog de telecomunicaciones!!!

 Que lo disfruten!!!