Confidencial: Jshwnuyf yzx fwhmnatx

--Originally published at Héctor H.F. Blog

¡Hola a todos! Bienvenidos a la segunda publicación de la semana. Si quieren saber lo que dice el título (no me puse a pulsar teclas al azar), continúen leyendo. Ayer les hablé un poco sobre los frameworks para la gestión de riesgos tecnológicos en una empresa. Quizá a muchos no les agradó del todo el tópico (en lo personal, a mí, no mucho), pero ahora les traigo un tema más interesante: la criptografía. En este post trataré lo que es la criptografía y algunos ejemplos. En otro post (a más tardar la otra semana lo publicaré), pondré algunos códigos en Java que sirven para encriptar mensajes.

¿Qué es la criptografía? Antes de responder esta pregunta, imagina que todos tus archivos personales o conversaciones en tu servicio de mensajería instantánea preferido estuvieran al alcance de cualquiera que sepa cómo entrar a tu PC. Con la criptografía, ayudamos a que esto no ocurra o que al menos sea más difícil para el hacker. La criptografía es “un término genérico que describe todas las técnicas que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica” (http://es.ccm.net/contents/129-criptografia).

Este concepto no vino con la invención de las computadoras. Los seres humanos, desde tiempos remotos, siempre han tenido la necesidad de ocultar información a personas no deseadas. Esto puede ser por motivos militares, diplomáticos, comerciales, entre otros.

Resultado de imagen para criptografia

El más claro ejemplo histórico de la criptografía, creo yo, se pudo observar en la Segunda Guerra Mundial con la máquina Enigma. Esta máquina encriptaba y desencriptaba mensajes, lo que le permitía a los nazis armar planes sin ser descubiertos. Fue muy exitosa hasta que finalmente, gracias a Alan Turing, se descubrió su sistema de cifrado. Si no se hubiera descubierto lo anterior, esta guerra hubiera durado al menos dos años más.

Resultado de imagen para maquina enigma

En la actualidad,

criptografia.jpg
Picture of Caesar Cipher
Continue reading "Confidencial: Jshwnuyf yzx fwhmnatx"

Frameworks para la gestión de riesgos

--Originally published at Héctor H.F. Blog

¡Hola de nuevo a todos! Ya hace un mes de mi último post, una disculpa. En este seré breve, hablaré un poco sobre la gestión de riesgos (risk management) en las tecnologías de información y algunos frameworks relacionados a ello. Empecemos.

Antes que nada, así como yo antes de esta publicación, muchos de ustedes no tendrán idea de lo que es la gestión de riesgos. Así que vamos definiendo eso primero. La gestión de riesgos sirve para “identificar, analizar y cuantificar las probabilidades de pérdidas y efectos secundarios que se desprenden de los desastres, así como de las acciones preventivas, correctivas y reductivas correspondientes que deben emprenderse”. Más información sobre esto puede ser encontrada en este enlace http://www.eird.org/cd/toolkit08/material/proteccion-infraestructura/gestion_de_riesgo_de_amenaza/8_gestion_de_riesgo.pdf. Creo que no es necesario decir cómo esto se puede aplicar a la tecnología de una empresa.

Resultado de imagen para it risk management

Como se ha dicho en varias publicaciones, la tecnología en la actualidad es indispensable para casi cualquier empresa. Una buena empresa debe contar con las mejores herramientas tecnológicas y estarlas actualizando constantemente, esto con el fin de tener mejor productividad. Claro que estas innovaciones tecnológicas siempre tendrán posibilidades de fallar o de no ser tan buenas como se pensaba en un principio. Son estos riesgos a los que nos referimos en el párrafo anterior.

Hay varios posibles riesgos tecnológicos, estos son los más comunes: filtración de información confidencial a personas no autorizadas (riesgo de seguridad y acceso); información no verídica, confiable, exacta o segura del todo (riesgo de integridad), no obtener información adecuada en tiempo preciso para su aplicación correcta (riesgo pertinente), perder el servicio por fallo tecnológico (riesgo de disponibilidad), entre otros.

Hay muchas soluciones para lo anterior. Unas de ellas son los frameworks. Estos frameworks proveen un proceso estructurado y disciplinado que integran la seguridad de la información y

Resultado de imagen para it risk management
Continue reading "Frameworks para la gestión de riesgos"

Gracias por hackearme

--Originally published at Héctor H.F. Blog

¡Hola a todos! La tercera y última publicación de la semana está aquí. En esta ocasión escribiré un poco sobre el hackeo, pero del lado de los buenos, del que todos deberían de practicar: el hacking ético. Este término no es muy conocido por la gente común, siempre asocian a los hackers con los que se muestran en las películas. Quiero que sepan que sí hay hackers decentes. A continuación veremos en qué consiste esta práctica tan común últimamente.

Resultado de imagen para white hat hacker

Hay dos tipos de hackers: los de sombrero blanco y los de sombrero negro. Los hackers de sombrero negro son la pesadilla de todas las empresas: son los que entran ilegalmente a donde se supone no tienen permitido, esto con fines ecónomicos o políticos. Mientras que los de sombrero blanco son las personas que hackean con consentimiento de la empresa, o sea, los hackers éticos, de los que estaremos hablando en este post.

¿Por qué una empresa dejaría que la hackeen? Este es el proceso simplificado: una determinada empresa contrata a un hacker o grupo de hackers para que los hackeen, esto con el fin de descubrir qué vulnerabilidades existen en sus sistemas, así se le entrega un reporte con las fallas a la empresa y la empresa trata de corregirlas, antes de que llegue un hacker “real”, uno de sombrero negro. A este tipo de pruebas se les nombran pen-tests o pruebas de penetración.

Una definición más formal del hacking ético (gracias a este sitio por ella http://www.enter.co/guias/tecnoguias-para-empresas/que-es-el-hacking-etico-y-por-que-es-necesario/) es la siguiente: Es la utilización de los conocimientos de seguridad en informática para realizar pruebas en sistemas, redes o dispositivos electrónicos, buscando vulnerabilidades que explotar, con el fin de reportarlas para tomar medidas sin poner en riesgo el sistema.

Ahora, la empresa debe realmente confiar en los hackers que está contratando, ya que

okay ok silicon valley agree thomas middleditch
Resultado de imagen para kali linux
Continue reading "Gracias por hackearme"

Certificaciones de seguridad

--Originally published at Héctor H.F.'s Blog

¡Hola de nuevo! Apenas salió mi post de los 10 mandamientos de la ética informática y ya estoy escribiendo una nueva publicación. Esta tratará sobre las certificaciones de seguridad que existen, quizá es un tema un poco más teórico, pero trataré de hacerlo lo más simple posible.

Sinceramente, antes de esta entrada, no tenía ni idea sobre estas certificaciones, así que indagando por la web, encontré este muy buen artículo http://www.cio.com/article/2951115/certifications/8-most-in-demand-it-security-certifications.html#slide1 que contiene las ocho certificaciones de seguridad más demandadas en 2015 (no investigué si ya hay alguna de 2016).

Pero antes, ¿qué es y para qué sirve una certificación de seguridad? Esta página lo explica muy bien https://www.certsuperior.com/CertificadosSeguridad.aspx. Un certificado de seguridad es una medida de confianza para las personas que visitan y hacen transacciones en una determinada página web. Se cifra la información entre el cliente y el servidor, es encriptada para que terceros no tengan acceso a ella. ¿Cómo podemos saber qué página está certificada? Gracias al protocolo https. Para los que no están familiarizados, la mayoría de los sitios usan el protocolo http, mientras que páginas como las bancarias, redes sociales, entre otras que piden información como contraseñas, cuentan con el protocolo https. Este se puede observar en la barra de direcciones junto a un pequeño candado (parte superior de su pantalla).

Resultado de imagen para https

Con este protocolo, la gente puede estar segura de que su información no será desencriptada y de que la página es de fiar. Los certificados nos permiten saber quién es el dueño del mismo, el dominio al que pertenece, la procedencia, la validez de este certificado, la empresa que certificó, entre otras cosas. Así que, si algún adulto con fobia a las compras en línea está leyendo esto, si la página web tiene el candadito, puede estar completamente seguro de

Resultado de imagen para bank webpage
bye goodbye farewell bye bye
Continue reading "Certificaciones de seguridad"

Los 10 mandamientos de la ética informática

--Originally published at Héctor H.F.'s Blog

¡Hola, estimados lectores! Bienvenidos a una nueva publicación de mi blog de seguridad informática. Ahora estaré hablando un poco sobre las cuestiones éticas y legales que hay que tomar en cuenta antes de entrar en el mundo del hackeo y todas esas cosas que cualquier amante de la tecnología sueña (que en las películas hacen parecer muy sencillo y divertido).

Resultado de imagen para ethics computer security

Quizá por la hora (comencé a la 1:00 am, dormí un poco y finalicé en la mañana) y el cansancio luego de haber dormido solo una hora y media por estudiar para un examen, otra vez estaba falto de creatividad. Entré a ver los posts de mis compañeros sobre este tema y encontré en este muy buen post (léanlo si tienen la oportunidad) https://cindylorraineblog.wordpress.com/2016/08/31/with-great-power-comes-great-responsibility-mastery-3/ los 10 puntos básicos de la ética en la seguridad infórmatica (ya después también los encontré en otros sitios). Tal vez algunos son muy obvios, de igual forma daré algunos ejemplos sobre ellos:

  1. No usar las computadoras para dañar a otros.
  2. No interferir con el trabajo ajeno.
  3. No husmear en las computadoras de otros.
  4. No usar las computadoras para robar.
  5. No usar las computadoras para realizar fraudes.
  6. No usar software que no se ha pagado.
  7. No hacer uso de los recursos informáticos de otras personas sin su autorización.
  8. No apropiarte del contenido intelectual de otras personas.
  9. Pensar en las consecuencias sociales del programa que se está escribiendo o del sistema que se está diseñando.
  10. Usar siempre la computadora considerando y respetando a otros seres humanos.

Sobre el punto uno, creo que es muy claro a qué se refiere con “no dañar a otros”. Por ningún motivo se debe acceder a las computadoras de los demás para obtener o borrar archivos, dañar su disco duro o apropiarse de sus distintas cuentas en línea. Si haces esto y alguien se

Resultado de imagen para lord audi mexico
Resultado de imagen para meme chismoso
Resultado de imagen para robo computadora
Resultado de imagen para visitante un millon
Resultado de imagen para meme chivas tv
Resultado de imagen para peña nieto tesis
Resultado de imagen para accidente pokemon go
Continue reading "Los 10 mandamientos de la ética informática"

La CIA para la seguridad… informática

--Originally published at Héctor H.F.'s Blog

¡Hola, estimados lectores! Aquí está mi nuevo post (sé que todos lo esperaban con ansias). En el post anterior hablé un poco sobre por qué deberíamos todos saber un poco sobre seguridad informática, incluso aquellos que solo usan la computadora para estar en redes sociales y ver videos. Si no lo han hecho y no están convencidos del todo de seguir leyendo mis publicaciones, les recomiendo que lo lean antes https://hectorhfblog.wordpress.com/2016/08/30/35/. Ahora hablaré sobre tres cosas elementales que debe tener como obligación un sistema para que se pueda considerar seguro y se le pueda llamar “sistema”: confidencialidad, integridad y disponibilidad (CIA en inglés).

Resultado de imagen para Confidentiality, Integrity & Availability

Basándonos en lo redactado en este artículo http://ishandbook.bsewall.com/risk/Methodology/CIA.html podemos definir estos tres componentes como:

  • Confidencialidad: Es la capacidad de controlar o restringir el acceso a cierta información, así solo personas autorizadas pueden verla.
  • Integridad: La información de un sistema es precisa y fiable y no ha sido modificada por alguien no autorizado. La integridad incluye la autenticidad, que es la capacidad de checar que el contenido no haya sido modificado sin autorización, y la rendición de cuentas (no repudio), ya que cualquier cosa que pase dentro del sistema, se puede ver quién la realizó.
  • Disponibilidad: La información de un sistema siempre está disponible (tomando en cuenta lo que cada individuo está autorizado a ver). Asimismo, si falla, debe de recuperarse lo antes posible.

Creo que las anteriores son definiciones muy claras y breves, incluso mucha gente seguramente con solo conocer la palabra sabían a qué estaba haciendo referencia. Pero si hay alguien que necesita ir más a fondo para comprender, puede leer el link que puse dos párrafos atrás y luego volver a esta publicación.

Muchos estarán así leyendo mi post ahora:

nickelodeon bored spongebob class spongebob squarepants

Y los entiendo, no es mi intención explicar este tema como

Captura.JPG
Resultado de imagen para wikileaks
angry hate fuming hot head flip lid
Resultado de imagen para ballena twitter
screaming thriller frightened scared pandawhale
Continue reading "La CIA para la seguridad… informática"

Lo básico de la seguridad informática

--Originally published at Héctor H.F.'s Blog

Resultado de imagen para security computer

Aquí está por fin mi primera publicación en solitario (sin tomar en cuenta la de mi presentación).

celebration celebrate spongebob yay spongebob squarepants

Sé que había dicho que la mayoría de mis posts serían en inglés, pero teniendo la libertad de publicar en español, además de que muchos de mis compañeros lo están haciendo así, mejor me mantendré publicando en este idioma (también para mejor redacción). Aunque reitero, comentarios o preguntas las pueden hacer en ambos idiomas, o el idioma que prefieran (para eso tenemos muchos traductores a nuestro alcance en la red).

Empecemos. Para adentrarnos a los temas de esta clase, primero hay que empezar por saber cuál es la importancia de esta clase en nuestra vida cotidiana. Hay demasiadas razones por las que todo el mundo debería saber sobre seguridad informática, al menos lo básico.

En la actualidad, todo se maneja por Internet. Cualquier lugar al que vayas tiene al menos una computadora de por medio. Me atrevo a decir que todas las tiendas establecidas tienen una base de datos para administrar ventas y a su personal, y casi todas tienen una página web para que allí también puedas realizar tus compras si no hay tienda física cerca de tu localidad o si simplemente te da flojera salir de casa.

Resultado de imagen para amazon.com compras

Ahora, imagina que quieres comprar en línea un accesorio para tu PC o cualquier otra cosa, y por azares del destino, entras a una página que se parece mucho a la original, tú ni en cuenta, pones tu tarjeta y en ese momento un tercero ya tiene tu tarjeta para poder hacer con ella lo que le plazca. Eso sería muy triste, ¿no?

O sin irnos tan lejos, inicias sesión para acceder a esa tienda en línea o incluso a tu correo electrónico y alguien, de alguna forma, está obteniendo todas las teclas que tu

Resultado de imagen para password incorrect meme
Resultado de imagen para logout meme
Continue reading "Lo básico de la seguridad informática"

¿Estás seguro?

--Originally published at Héctor H.F.'s Blog

¿Qué es?

La seguridad en la red se puede definir como cualquier actividad diseñada para proteger una red. Estas actividades protegen la fiabilidad, integridad y seguridad de la red y los datos.

Una red sin seguridad es vulnerable a

Actividades de reconocimiento de sistemas 

Se busca información sobre las redes y los sistemas de alguna organización, realizando un escaneo de los puertos que están abiertos, versiones del sistema operativo y aplicaciones.

espiar1

Detección de vulnerabilidad en los sistemas

Detectan y documentan las vulnerabilidades de un sistema informático para poder crear herramientas que permitan explorarlas fácilmente.

shutterstock_120270769-680x365

Modificación del contenido y secuencia de los mensajes

Se mandan mensajes o documentos que ya se habían mandado pero modificado maliciosamente.

introduccion_seguridad_html_m5e559c5b

 

Análisis del trafico

Se observa el trafico de datos transmitido por la red.

Suplantación de identidad

Un atacante logra cambiar el encabezado de los paquetes para poder hacerse pasar por algún sistema conocido

ing_social_00

Protegete

Uso de contraseñas adecuadas

– No debe tener menos de siete dígitos.
– Debemos mezclar mayúsculas y minúsculas, letras y números.
– No debe contener el nombre de usuario.
– Debe cambiarse periódicamente.

the-use-of-passwords-in-a-technological-evolution

Encriptación de datos

Se trata del cifrado de datos con el que se garantiza que:

– Nadie lea la información por el camino.
– El remitente sea realmente quien dice ser.
– El contenido del mensaje enviado, no sea modificado en su tránsito.

robo-de-informacic3b3n

Software de seguridad adecuados

– El antivirus: Detecta, impide que se ejecute y elimina el software maligno de nuestro equipo.
– El cortafuegos: Permite o prohíbe la comunicación entre las aplicaciones de nuestro equipo e Internet, para evitar que alguien haga funcionar una aplicaciones en nuestro ordenador sin permiso.
– Software Antispam: Son filtros que detectan el correo basura.
– Software Antispyware: orientados a la detección, bloqueo y eliminación de software espía.

shutterstock_130765949

Firewall

Un firewall es un software, que

firewall
imagen-destacada1
Top 7 Network Attack Types in 2016
Continue reading "¿Estás seguro?"