Enrique Merino, Bryan Suquilanda
Miembros del Club de redes y seguridad de la CIEYT
El contexto actual marcado por la creciente necesidad de un desarrollo sostenible hacia una sociedad digitalizada se establece en nuevos escenarios donde se involucran flujos de información de diversas características, lo que nos lleva a razonar sobre el comportamiento de la seguridad informática como uno de sus componentes interrelacionados. En este contexto, es necesario asumir la infinita prevalencia de las vulnerabilidades, mientras hay quienes se esfuerzan por entender y controlar a un sistema informático también hay personas dedicadas a vulnerar estos sistemas. Ciertamente la ciberseguridad (seguridad informática) no se desarrolla en una sola área específica, es decir, en su entorno intervienen y se integran conceptos, leyes, métodos, procedimientos y herramientas, que construyen mecanismos y estrategias con mayores niveles de confiabilidad denominadas políticas de seguridad.
A pesar de que el proceso de integración de la seguridad informática en el pensamiento y actuar de la sociedad avanza de a poco, las dificultades asociadas a la proyección de esta información en la comunidad estudiantil se hacen también más complejos de atender. Según Security Scorecard, un tercio de los ataques cibernéticos que se realizaron en el 2018 tuvieron como objetivo las instituciones de educación superior. Esto es confirmado por el jefe de Security Officer de la Universidad de Pennsylvania, Donald Welch, quien menciona que al tema de seguridad cibernética en instituciones de educación superior, se le dedica sólo un pequeño porcentaje de tiempo a desarrollar una estrategia que prevenga las amenazas y mitigue futuras violaciones. Es necesario entender que las universidades son instituciones con casi todo tipo de datos importantes, críticos y confidenciales.
Casi todos los tipos de ciberataques conllevan algún tipo de ingeniería social; se denomina ingeniería social al conjunto de técnicas que se usa para engañar a los usuarios valiéndose de su “ignorancia” y en efecto obtener sus datos personales, infectar sus dispositivos electrónicos con malware, botnets, etc. Estos tipos de ataques normalmente se distribuyen en correos o mensajes a través de redes sociales conteniendo algún archivo adjunto malicioso, generalmente provienen de aparentes contactos confiables ofreciendo contenido multimedia que simula ser inofensivo.
Con el objetivo de evidenciar la importante necesidad de hacer hincapié en el tema de ciberseguridad en la sociedad, miembros del club de telecomunicaciones se dieron la tarea de evaluar el nivel de conocimiento de la comunidad universitaria sobre las precauciones que se debe tener en cuenta en el uso de redes públicas. Para llevar a cabo el experimento, se hizo uso de una técnica de ingeniería social muy común empleada por los ciberdelincuentes llamada “Phishing”, la cual, en el mundo de la ciberdelincuencia es también conocida como “el arte del engaño”, de hecho se basa en inducir a la víctima a dar su información personal haciéndose pasar por fuentes confiables. En el siguiente video se muestra un extracto del procedimiento realizado.
Este video es solo una muestra de lo que se puede hacer con un computador, los programas adecuados y cierto conocimiento en sistemas informáticos. En el mundo de la ciberseguridad existen muchas herramientas que nos permiten evaluar una red, estas herramientas bien pueden ser empleadas de manera ética o con fines maliciosos dado que nos permiten obtener cualquier tipo de información de la víctima. De manera sencilla es posible hacer uso de un software libre como Trape, el cual nos otorga la facilidad de clonar cualquier página web y generar un enlace para luego ser enviado por mensajería a las víctimas, no hay necesidad de que los usuarios ingresen información alguna, tan sólo con pinchar en el link malicioso y Trape se encarga de obtener: la dirección IP pública y privada, el sistema operativo, el navegador utilizado, el procesador del dispositivo, la posición geográfica y las contraseñas de las cuentas de redes sociales que el usuario víctima está haciendo uso en ese momento. Mediante esta técnica aplicada a la comunidad estudiantil se pudo evidenciar como resultado un 45% de ataques concluidos de manera exitosa.
Es verdad que con una muestra más grande se podría obtener mejores datos estadísticos; sin embargo el porcentaje expuesto anteriormente es considerable si se toma en cuenta que se puede conseguir ampliar la cantidad de información obtenida sin consentimiento, como números de teléfonos y direcciones de correo electrónico de los amigos de la víctima. Habiendo obtenido cierta información haciendo uso de la herramienta Trape es posible aún obtener más detalles con la ayuda de una herramienta adicional como lo es FBI (Facebook Information), con ella se logró obtener 36 números de teléfonos y 12 correos electrónicos a partir de una sola víctima obtenida con Trape, y la cual tenía solamente 124 amigos.
Los resultados expuestos son solo una muestra parcial, sin embargo evidencia que son muy pocas las personas que toman en cuenta la importancia del cuidado de sus datos personales en internet, y en general, sobre la necesidad de una cultura de ciberseguridad. Aclaramos que los detalles descritos en los anteriores párrafos se han dado a conocer de forma que la sociedad tome precauciones al navegar en la red más no incitamos a hacer uso de las herramientas con fines maliciosos. En el siguiente video te mostraremos unos tips que debes poner en práctica:
Para lograr una sólida cultura en ciberseguridad es necesario trabajar no únicamente en el ámbito técnico, sino en todo el ambiente en el que se desarrolla las redes de telecomunicaciones, involucrando a todos sus usuarios. Con este último mensaje, les dejamos unos consejos útiles que podemos poner en práctica:
● Tomar precaución al conectarse a redes públicas.
● No se debe hacer clic en enlaces sospechosos.
● Ser cuidadosos con la información que se comparte: Una vez que es publicada, se pierde el control y es accesible desde cualquier parte del mundo.
● Controla quienes tienen acceso a tus redes sociales: Configura las opciones de privacidad adecuadamente.
● Siempre se debe proteger las contraseñas de inicio de sesión, sea que se esté en un campus universitario o en el hogar.
Miembros del Club de redes y seguridad de la CIEYT
El contexto actual marcado por la creciente necesidad de un desarrollo sostenible hacia una sociedad digitalizada se establece en nuevos escenarios donde se involucran flujos de información de diversas características, lo que nos lleva a razonar sobre el comportamiento de la seguridad informática como uno de sus componentes interrelacionados. En este contexto, es necesario asumir la infinita prevalencia de las vulnerabilidades, mientras hay quienes se esfuerzan por entender y controlar a un sistema informático también hay personas dedicadas a vulnerar estos sistemas. Ciertamente la ciberseguridad (seguridad informática) no se desarrolla en una sola área específica, es decir, en su entorno intervienen y se integran conceptos, leyes, métodos, procedimientos y herramientas, que construyen mecanismos y estrategias con mayores niveles de confiabilidad denominadas políticas de seguridad.
A pesar de que el proceso de integración de la seguridad informática en el pensamiento y actuar de la sociedad avanza de a poco, las dificultades asociadas a la proyección de esta información en la comunidad estudiantil se hacen también más complejos de atender. Según Security Scorecard, un tercio de los ataques cibernéticos que se realizaron en el 2018 tuvieron como objetivo las instituciones de educación superior. Esto es confirmado por el jefe de Security Officer de la Universidad de Pennsylvania, Donald Welch, quien menciona que al tema de seguridad cibernética en instituciones de educación superior, se le dedica sólo un pequeño porcentaje de tiempo a desarrollar una estrategia que prevenga las amenazas y mitigue futuras violaciones. Es necesario entender que las universidades son instituciones con casi todo tipo de datos importantes, críticos y confidenciales.
Casi todos los tipos de ciberataques conllevan algún tipo de ingeniería social; se denomina ingeniería social al conjunto de técnicas que se usa para engañar a los usuarios valiéndose de su “ignorancia” y en efecto obtener sus datos personales, infectar sus dispositivos electrónicos con malware, botnets, etc. Estos tipos de ataques normalmente se distribuyen en correos o mensajes a través de redes sociales conteniendo algún archivo adjunto malicioso, generalmente provienen de aparentes contactos confiables ofreciendo contenido multimedia que simula ser inofensivo.
Con el objetivo de evidenciar la importante necesidad de hacer hincapié en el tema de ciberseguridad en la sociedad, miembros del club de telecomunicaciones se dieron la tarea de evaluar el nivel de conocimiento de la comunidad universitaria sobre las precauciones que se debe tener en cuenta en el uso de redes públicas. Para llevar a cabo el experimento, se hizo uso de una técnica de ingeniería social muy común empleada por los ciberdelincuentes llamada “Phishing”, la cual, en el mundo de la ciberdelincuencia es también conocida como “el arte del engaño”, de hecho se basa en inducir a la víctima a dar su información personal haciéndose pasar por fuentes confiables. En el siguiente video se muestra un extracto del procedimiento realizado.
Este video es solo una muestra de lo que se puede hacer con un computador, los programas adecuados y cierto conocimiento en sistemas informáticos. En el mundo de la ciberseguridad existen muchas herramientas que nos permiten evaluar una red, estas herramientas bien pueden ser empleadas de manera ética o con fines maliciosos dado que nos permiten obtener cualquier tipo de información de la víctima. De manera sencilla es posible hacer uso de un software libre como Trape, el cual nos otorga la facilidad de clonar cualquier página web y generar un enlace para luego ser enviado por mensajería a las víctimas, no hay necesidad de que los usuarios ingresen información alguna, tan sólo con pinchar en el link malicioso y Trape se encarga de obtener: la dirección IP pública y privada, el sistema operativo, el navegador utilizado, el procesador del dispositivo, la posición geográfica y las contraseñas de las cuentas de redes sociales que el usuario víctima está haciendo uso en ese momento. Mediante esta técnica aplicada a la comunidad estudiantil se pudo evidenciar como resultado un 45% de ataques concluidos de manera exitosa.
Es verdad que con una muestra más grande se podría obtener mejores datos estadísticos; sin embargo el porcentaje expuesto anteriormente es considerable si se toma en cuenta que se puede conseguir ampliar la cantidad de información obtenida sin consentimiento, como números de teléfonos y direcciones de correo electrónico de los amigos de la víctima. Habiendo obtenido cierta información haciendo uso de la herramienta Trape es posible aún obtener más detalles con la ayuda de una herramienta adicional como lo es FBI (Facebook Information), con ella se logró obtener 36 números de teléfonos y 12 correos electrónicos a partir de una sola víctima obtenida con Trape, y la cual tenía solamente 124 amigos.
Los resultados expuestos son solo una muestra parcial, sin embargo evidencia que son muy pocas las personas que toman en cuenta la importancia del cuidado de sus datos personales en internet, y en general, sobre la necesidad de una cultura de ciberseguridad. Aclaramos que los detalles descritos en los anteriores párrafos se han dado a conocer de forma que la sociedad tome precauciones al navegar en la red más no incitamos a hacer uso de las herramientas con fines maliciosos. En el siguiente video te mostraremos unos tips que debes poner en práctica:
Para lograr una sólida cultura en ciberseguridad es necesario trabajar no únicamente en el ámbito técnico, sino en todo el ambiente en el que se desarrolla las redes de telecomunicaciones, involucrando a todos sus usuarios. Con este último mensaje, les dejamos unos consejos útiles que podemos poner en práctica:
● Tomar precaución al conectarse a redes públicas.
● No se debe hacer clic en enlaces sospechosos.
● Ser cuidadosos con la información que se comparte: Una vez que es publicada, se pierde el control y es accesible desde cualquier parte del mundo.
● Controla quienes tienen acceso a tus redes sociales: Configura las opciones de privacidad adecuadamente.
● Siempre se debe proteger las contraseñas de inicio de sesión, sea que se esté en un campus universitario o en el hogar.
