Terminología de Amenazas Informáticas.

--Originally published at IsmaLga on Informatics Security.

Como ya lo he comentado en varias ocasiones en este blog, el escuchar de amenazas en internet en estos tiempos ya es algo común en las noticias así como el leer sobre filtración de información y hackeos masivos. Considero que a la hora de mostrarse estas noticias, se manejan muchos conceptos que la mayoría de la población no entiende. Es por esto, que he decidido hacer una guía de conceptos para que cualquier persona pueda estar más familiarizada con los términos utilizados en la seguridad informática.

Malware: Corresponde a la abreviación de malicious software. Engloba a todo tipo de programa que tiene como objetivo dañar un sistema informática o causar mal funcionamiento.

Phishing: Es la suplantación de la identidad digital de una persona. Las credenciales de acceso a los servicios del usuario son conseguidos de manera fraudulenta.

Ingeniería Social: Obtención de información de usuarios a través de manipulación de los usuarios.

Spam: Correo electrónico basura. Son enviados usualmente de forma masiva y buscan perjudicar de alguna manera al receptor. Usualmente son utilizados para actos de phishing.

Fraude Cibernético: Estafas que utilizan la red para realizar transacciones ilícitas.

Gusanos: Malware que tiene la capacidad de duplicarse a sí mismo y se propaga de computadora en computadora.

Spyware: Programa espía que recopila la información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento del usuario.

Troyanos: Programa malicioso que se presenta como legítimo pero al ejecutarlo brinda acceso remoto al equipo afectado.

Adware: Programa que muestra publicidad no deseada con el fin de generar lucro del anunciante.

Hackeo: Acceder de forma intencional a sistemas o información de forma no autorizada con el objetivo de utilizar esa información.

#TC2027 #MasteryTopic13

Para navegar seguro en la Web.

--Originally published at IsmaLga on Informatics Security.

Navegar en la Web se ha vuelto algo común para todos nosotros. En 2017 tenemos un mundo al alcance de nuestros dedos gracias a nuestros smartphones. La penetración del uso de smartphones en la sociedad ha crecido bastante lo cual ha generado que grupos malintencionados busquen aprovecharse de la desinformación que existe sobre el uso de internet y los teléfonos para cometer actos de crimen cibernético. En este post haré una listra de consejos para las personas que comienzan a explorar internet por primera vez, estos consejos buscarán garantizar una experiencia segura para ti como usuario y la protección a tus datos.

Actualiza el software de tu dispositivo y utiliza un navegador web seguro.

Los navegadores web más populares ofrecen un filtro ante ataques de malware y phishing. Los tres navegadores más populares Google Chrome, Mozilla y Microsoft Edge ofrecen estos sistemas de protección, donde la URL de un sitio es checada antes de ser cargada por el navegador. De igual manera, es importante que actualices el software de tu sistema operativo ya que actualizaciones de seguridad se suelen incluir en las actualizaciones, esto te permitirá estar protegido por una vía adicional. Puedes conseguir los navegadores mencionados en los siguientes enlaces:

Protege tu información a través de ajustes sencillos.

Desactivar funciones como el autocompletar del navegador pueden prevenir el acceso no autorizado a datos importantes como tu información personal, contraseñas, tarjetas, etc. Por otro lado, desactivando cookies puedes mejorar tu privacidad al navegar en la web. También, bloquear ventanas emergentes te protegerá del ver anuncios con fines malintencionados. A continuación puedes encontrar guías para esto:

Confirma que navegas en un sitio seguro gracias a HTTPS.

Una forma de validar la seguridad

Continue reading →

Modelos de Seguridad

--Originally published at IsmaLga on Informatics Security.

Para el diseño y análisis de sistemas de software que sean seguros se deben de utilizar modelos de seguridad. Estos modelos incorporan la política de seguridad que deberá ser reforzada en el sistema y representa los deseos de los que crean políticas de seguridad de que ciertas reglas se sigan por los sistemas informáticos.

Por ejemplo, si la política de seguridad del software dice que el usuario debe de estar autorizado para acceder a ciertos objetos, el modelo de seguridad deberá de proveer las relaciones matemática y fórmulas explicando como el usuario puede acceder a los objetos a través de métodos definidos y específicos. Después de esto, se hace un mapeo de los componentes y mecanismos que necesitan ser codificados y desarrollados para cuidar el acceso a los objetos.

En este post, me dedicaré a hablar de dos modelos que buscan proveer confidencialidad. Estos modelos son Bell-LaPadula y Biba.

Modelo Bell-LaPadula

Este modelo fue desarrollado a partir de la preocupación de las fuerzas armadas de EEUU por la seguridad de sus sistemas y la filtración de información confidencial. Fue el primer modelo matemático de una política de seguridad multinivel usado para definir el concepto de una máquina de estados segura así como modos y reglas de accesoo. El objetivo principal de este model es prevenir que información secreta sea accedida sin autorización.
Los niveles que implementan este modelos son llamadas sistemas con seguridad multinivel ya que permite que usuarios con distinto nivel de acceso a la información usen el sistema y la información a la que se accede sea procesada de acuerdo a las clasificaciones de los usuarios.
El acceso a los datos es permitido a partir del nivel de clasificación que tienen los datos que serán accedidos, los derechos de acceso forman un lattice que Continue reading "Modelos de Seguridad" →

Responsabilidades Legales en Seguridad Informática.

--Originally published at IsmaLga on Informatics Security.

En posts anteriores he hablado de la ética en la seguridad informática e incluso hice un post sobre el ethical hacking. La ética nos habla sobre lo que es aceptado por la sociedad en base a convenciones morales. La ética nos muestra un camino sobre el como comportarnos de acuerdo a nuestra sociedad. En este post hablaré sobre las responsabilidades legales en seguridad informática, más allá de los códigos de ética y las normas de comportamiento. Las responsabilidades legales surgen a partir del deber de buscar reparar un daño causado o un incumplimiento de algo previamente acordado e involucran a las autoridades gubernamentales como procuradoras de justicia y medios de vigilancia para el cumplimiento de las responsabilidades legales.

Ante el crecimiento que ha tenido internet en las últimas decadas y la gran cantidad de información que es generada, surgió la necesidad de legislar sobre el comportamiento que debemos de seguir en el manejo de sistemas de información. Para hablar en un marco más amplio y en lo que es internacionalmente aceptado, me referiré a los Delitos Informáticos que son reconocidos por la Organización de las Naciones Unidas (ONU).

La ONU en el documento United Nations Manual on the Prevention and Control of Computer-related Crime reconoce como como delitos informáticas las siguientes conductas:

Fraude cometido por manipulación de computadoras.
Falsificación Informática
Daños o modificaciones a programas e información de computadora.
Acceso no autorizado a sistemas y servicios informáticos.
Reproducción no autorizada de programas de computadora legamente protegidos.

Legislar en materia de cibercrimen ha traído grandes retos para los gobiernos como la recolección de datos de sistemas informáticos, la reforma a las leyes, obligaciones de cooperación entre distintas agencias, problemas con datos personales y la validez de la evidencia generada por una computadora. Estos retos son problemas con los Continue reading "Responsabilidades Legales en Seguridad Informática." →

Caer en el mito de la ingeniería o darte cuenta de tus pasiones a la mitad de tu universidad.

--Originally published at IsmaLga on Informatics Security.

En el último par de meses me he dado cuenta de algo, en la búsqueda de querer cambiar el mundo primero tienes que dejar que este te cambie a ti.

Al comenzar mi último año de preparatoria tenía claro el hecho que en la universidad quería estudiar Relaciones Internacionales, algo que no perseguí ya que en Tepic tal opción de carrera no existe, por lo cual decidí que estudiaría una ingeniería. Al llegar la oportunidad de estudiar en Guadalajara, decidí continuar con mi decisión de estudiar ingeniería.

Honestamente puedo decir que caí en el mito de la ingeniería. Ese mito que dice que porque eres ‘bueno’ en matemáticas eres material para estudiante de ingeniería, un mito al cual, si sumamos mi pasión enorme por la tecnología, me llevo a decidir comenzar la universidad como estudiante de ingeniería electrónica. Y bueno, todo parecía perfecto. Comencé mis estudios en la universidad de mis sueños. La mejor universidad privada de México. Becado al 100%. En ese momento creía que ya tenía mi vida resuelta. Que el estudiar en el TEC me iba a resolver la vida y con eso sería feliz. Que equivocado estaba. No tenía ni la más mínima idea de todo lo que estaba por venir.

La vida nos va llevando por distintos caminos. Me encuentro estudiado una carrera de ingeniería diferente a la que comencé, tras no ser el primer intento lo que esperaba. A pesar de esto, las últimas semanas me he cuestionado demasiado el motivo por el cuál no decidí perseguir una carrera en el área de ciencias sociales y humanidades. Y no porque la sociedad crea que este tipo de carreras son más fáciles, si no por un creciente interés que he tenido en los últimos meses en temas de emprendimiento, gobierno y transformación pública. Temas de Continue reading "Caer en el mito de la ingeniería o darte cuenta de tus pasiones a la mitad de tu universidad." →

Foro de Ciberseguridad en el Sistema Financiero Mexicano.

--Originally published at IsmaLga on Informatics Security.

El pasado 23 de Octubre se llevó a cabo el Foro de Ciberseguridad realizado por la Comisión Nacional Bancaria y de Valores. En este foro se delinearon los compromisos y líneas de trabajo para que las instituciones financieras y el gobierno fortalezan la ciberseguridad del sistema financiero mexicano. Me llamo mucho la atención el hecho de que las instituciones financieras se comprometieran a firmar un acuerdo de principios sobre los cuales se trabajará.

Ver a la ciberseguridad incorporándose al debate público y empresarial en México lo considero como un gran avance ya que pone sobre la mesa a discusión temas de los que no todas las entidades pueden estar conscientes. Estaré siguiendo de cerca en las próximas semanas los anuncios que haga la Comisión Nacional Bancaria y de Valores sobre el tema.

Sobre los principios adjunto una foto sobre ellos y una transcripción.

Principios:

1. Adoptar y mantener actualizadas políticas, métodos y controles para identificar, evaluar, prevenir y mitigar los riesgos de ciberseguridad, que se autoricen por los órganos de gobierno de mayor decisión y permeen a todos los niveles de la organización.

2. Establecer mecanismos seguros para el intercambio de información entre los integrantes del sistema financiero y las autoridades, sobre ataques ocurridos en tiempo real y su modo de operación, estrategias de respuesta, nuevas amenazas, así como del resultado de investigaciones y estudios, que permitan a las entidades anticipar acciones para mitigar los riesgos de ciberataques; lo anterior, protegiendo la confidencialidad de la información.

3. Impulsar iniciativas para actualizar los marcos regulatorios y legales que den soporte y hagan converger las acciones y esfuerzos de las partes, considerando las mejores prácticas y acuerdos internacionales.

4. Colaborar en proyectos para fortalecer los controles de seguridad de los distintos componentes de las Continue reading "Foro de Ciberseguridad en el Sistema Financiero Mexicano." →

Certificaciones en Seguridad Informática, parte I.

--Originally published at IsmaLga on Informatics Security.

La seguridad informática es un tema que desde siempre ha sido de gran interés para la comunidad que está dentro de la industria tecnológica. La masificación de la distribuición de la información a través de internet ha puesto los ojos del gobierno, empresas, ONGs y la población en la manera en que estos datos son obtenidos, procesados y distribuidos. Esto ha traido la creciente necesidad de tener profesionistas capacitados en el área de seguridad informática. Puede que hayas llegado a este post buscando cómo aprender más sobre esta área o buscando información sobre las certificaciones. En esto post hablaré sobre dos de ellas: CompTIA Security + y Certified In Risk and Information Systems Control. en un post posterior hablaré sobre dos más: Certified Penetration Testing Engineer y Certified Ethical Hacker.

CompTIA Security +.

CompTIA Security+ es una certificación otorgada por CompTIA, una organización que trabaja para desarrollar los intereses de profesionistas y empresas de Tecnologías de Información. Sus programas se centran en educación, certificación, abogasía a TI y filantrofía. Esta certificación confiable que valida conocimientos y habilidades fundamentales y neutrales de proveedor en el área de Tecnologías de la Información.

Esta certificación actua como un benchmark para las mejores prácticas en seguridad informática, la certificación cubre los principios esenciales de seguridad de redes y administración de riesgos lo que la hace ser muy valiosa en los portafolios de un profesional de la seguridad informática.

Esta certificación cumple con los requisitos del estandar ISO 17024 y es aprobada por el Departamento de Defensa de los EEUU. La certificación tiene reconocimiento global gracias a los profesionistas certificados con ella en más de 147 países de todo el mundo.

Esta certificación se obtiene a través de un examen que consta de 90 preguntas y evalúa el conocimiento y Continue reading "Certificaciones en Seguridad Informática, parte I." →

Ethical Hacking.

--Originally published at IsmaLga on Informatics Security.

Recientemente he leído en varios sitios sobre el término Ethical Hacking y he visto que en Guadalajara el concepto comienza a ser popular entre las comunidades de personas que asisten a eventos relacionados con tecnología y emprendimiento. Tras darme cuenta de esto y al continuar avanzando con el contenido en mi curso de seguridad informática, me decidí a escribir un post breve sobre que es el Ethical Hacking.

El EC-Council define al Certified Ethical Hacker como...

A Certified Ethical Hacker is a skilled professional who understands and knows how to look for weaknesses and vulnerabilities in target systems and uses the same knowledge and tools as a malicious hacker, but in a lawful and legitimate manner to assess the security posture of a target system(s).

De la definición llama la atención el hecho de que el Ethical Hacker utiliza los mismos conocimientos que un hacker malicioso pero de manera responsable y legítima para comprobar la securidad de distintos sistemas. El EC-Council pone la frase "To beat a hacker, you need to think like a hacker" para referise a sus programas de entrenamiento de Ethical Hacking.

El hacking ético buscar ser legal y es realizado con permiso de quien es atacado con la intención de que vulnerabilidades sean descubiertas para que los sistemas puedan asegurarse de una mejor manera. El hacking ético tiene una gran relación con el acrónimo ACI que describí brevemente en un post previo, siendo estos elementos Availability, Confidenciality e Integrity. La motivación tras el hacking ético es buscar vulnerar sistemas para poder mejorarlos y garantizar siempre los elementos del acrónimo ACI.

El EC-Council ofrece un programa de entrenetamiento para una certificación de Ethical Hacking, El curso busca desarrollar un mindset de hacker para que quienes tomen el certificado desarrollen la mentalidad necesaria que los Continue reading "Ethical Hacking." →

Cuida tu firma personal.

--Originally published at IsmaLga on Informatics Security.

Comienzo a escribir este breve post con la preocupación de los problemas que me pueda traer haber firmado mi credencial de elector con una firma que no me gusta y que no uso mucho. La próxima semana tengo cita para renovación de mi pasaporte y en verdad me molesta e incomoda el hecho de que me veré obligado a firmar ese documento con la misma firma que utilicé en mi credencial de elector. Creo que quizá lo peor de todo es que al tener ya otro documento oficial con esa firma, ya me veré obligado a continuarla replicando para cualquier trámite de importancia.

Al momento de llegar a la mayoría de edad elaboré una firma, la cuál utilizo frecuentemente para firmar muchos documentos. El problema vino que al momento en que hice el trámite para mi credencial de electror ante el entonces Instittuto Federal Electoral en realidad no fui capaz de realizar la misma firma en los dispositivos que tienen para registrarlas, lo cual me llevó a tener una firma no tan de mi agrado en mi documento. Pensé que esto no causaría problemas ya que realmente veo difícil que una firma siempre nos salga idéntica a como la que tenemos en nuestras identificaciones. Equivocado estaba.

Por utilizar firmas similares pero que no lucen identicas he tenido problemas a la hora de buscar cambiar boletos de autobus, trámitar de tarjetas bancarias, firmar documentos para la admisión de mi universidad así como para realizar comprobaciones de gastos para empresas. Y sumado a esto, la 'frustración' por el verme obligado a utilizar una firma con la que no me identifico.

Si eres alguien menor de edad leyendo esto, piensa tu firma con tiempo y no te lo tomes a la ligera, solicitar tu credencial de electro no es un trámite más, es Continue reading "Cuida tu firma personal." →

Keybase, criptografía de clave pública para todos.

--Originally published at IsmaLga on Informatics Security.