"Los ciberdelincuentes apuntan contra las contraseñas de los usuarios. También instalan troyanos y explotan las configuraciones predeterminadas de las computadoras que no se personalizan y las conexiones inálámbricas. Cómo se puede proteger ante estas intrusiones.
Hacking, cracking y delitos informáticos son temas latentes en la actualidad y seguirán siéndolo en un futuro previsible. Sin embargo, hay pasos que se pueden dar para reducir el nivel de amenazas en las organizaciones.
El primer paso consiste en entender cuáles son los riesgos, las amenazas y las vulnerabilidades que existen actualmente en el entorno. El segundo paso es aprender tanto como sea posible sobre los problemas para poder articular una respuesta sólida. El tercer paso radica en desplegar inteligentemente las contramedidas y salvaguardas para construir una protección en torno a los activos más críticos.
Este documento examina los diez métodos que comúnmente son utilizados por los atacantes para violar los esquemas de seguridad. En esta primera parte se revisarán cinco de estas técnicas de ataque. Esta semana se publicarán las otras cinco.
Robo de contraseñasLos expertos en seguridad han discutido los problemas con las contraseñas de seguridad por años. Pero parece que son pocos los que han escuchado y tomado acciones para resolver esos problemas. Si en su entorno tecnológico los controles de autenticación usan sólo contraseñas, esto es un riesgo mayor ante ataques de hacking e intrusiones comparado con los que utilizan algún esquema de autenticación de factor múltiple.
El problema radica en la siempre creciente capacidad que poseen las computadoras para procesar grandes cantidades de información en un corto plazo. Una contraseña no es más que una cadena de caracteres, por lo general, caracteres del teclado que una persona puede recordar y escribir en una terminal de la computadora cada vez que lo requiera.
Desafortunadamente, las contraseñas que también son complejas de recordar por una persona, pueden ser fácilmente descubiertas por una herramienta de cracking en un período terriblemente corto de tiempo. Ataques por diccionario, ataques por fuerza bruta y ataques híbridos son los distintos métodos utilizados para adivinar o romper contraseñas.
La única protección real contra dichas amenazas es crear una contraseña muy larga o utilizar un esquema de autenticación por múltiples factores. Por desgracia, requerir siempre contraseñas más largas causa un retroceso de seguridad debido al factor humano. Simplemente, la gente no se encuentra preparada para recordar numerosas y largas cadenas de caracteres caóticos.
Pero incluso, con contraseñas razonablemente largas que las personas puedan recordar (entre 12 y 16 caracteres), todavía hay otros problemas a los cuales se enfrentan los sistemas de autenticación sólo por contraseñas. Estos incluyen:
* Personas que utilizan la misma contraseña en varias cuentas, especialmente cuando algunas de esas cuentas están en sitios públicos de Internet con poca o ninguna seguridad.
*Personas que escriben y almacenan sus contraseñas en lugares muy evidentes. Escribir las contraseñas es a menudo fomentado por la necesidad de cambiarlas con frecuencia.
*La continua utilización de protocolos inseguros que transfieren las contraseñas en texto plano como los utilizados al navegar por la web, en correos electrónicos, chat, transferencia de archivos, etc.
*La amenaza de los capturadores de teclado (keyloggers) de software y hardware.
*El problema de obtener contraseñas mirando por detrás del hombro y por video vigilancia.
Robo de contraseñas, cracking de contraseñas, incluso, adivinar contraseñas, siguen siendo graves amenazas en entornos TI. La mejor protección contra estas amenazas es desplegar sistemas de autenticación múltiple y capacitar al personal en cuanto a los hábitos de crear contraseñas seguras.
Troyanos
Los troyanos son amenazas continuas para todas las formas de comunicación tecnológica. Básicamente, un troyano es programa malicioso que subrepticiamente activa una carga dañina e ingresa dentro de una computadora.
Pero la amenaza real de los troyanos no es su carga dañina acerca de lo cual se conoce, sino sobre la que no se conoce. Un troyano puede ser creado o diseñado por cualquier persona con conocimientos básicos de computación, y cualquier carga dañina puede ser combinada con cualquier programa benigno para crear un troyano.
Existen formas de crearlos con herramientas precisamente diseñadas para ello. Por lo tanto, el verdadero problema de estas amenazas es lo desconocido. La carga maliciosa de un troyano puede ser cualquier cosa, incluyendo programas que destruyen el disco rígido, corrompen archivos, registran las pulsaciones que se escriben a través del teclado, monitorear el tráfico de la red, a través de la web, falsificar correos electrónicos, permitir el acceso y control remoto del equipo, transferir archivos e información a terceros, lanzar ataques contra otros objetivos, implantar servidores proxys, servicios para compartir archivos y muchas cosas más. Estas cargas dañinas pueden ser obtenidas de Internet o pueden ser un código escrito por el hacker.
En consecuencia, la carga dañina puede ser embebida en cualquier programa benigno para crear un troyano.
Los anfitriones usuales incluyen: juegos, protectores de pantalla, tarjetas virtuales, herramientas de administración, formatos de archivos, e incluso documentos.
Todo lo que necesita el ataque de un troyano para ser exitoso, es que un usuario lo ejecute en su computadora. Una vez que lo logra, automáticamente se activa su carga maliciosa, generalmente, sin síntomas de actividades no deseadas.
Un troyano podría ser enviado a la víctima a través del correo electrónico como archivo adjunto, podría ser descargado desde un sitio web, o colocado en un dispositivo extraíble como una tarjeta de memoria, un CD, un DVD, un PenDrive USB, un disquete, etcétera.
En cualquiera de los casos, las protecciones son herramientas automatizadas de detección de códigos maliciosos como las modernas protecciones antivirus, otras formas de protección específicas de escaneo de malware y la educación de los usuarios.
Explotación de configuraciones predeterminadas
Nada hace que atacar un objetivo dentro de una red sea tan fácil como cuando esos objetivos se encuentran con los valores por defecto establecidos por el vendedor o fabricante del mismo. Muchas herramientas de ataque y códigos exploit asumen que los objetivos se encuentran con las configuraciones por defecto. Por lo tanto, uno de las más eficaces precauciones de seguridad, y muchas veces pasada por alto, es simplemente cambiar las configuraciones por defecto.
Para ver el verdadero alcance de este problema, todo lo que necesita hacer es buscar en Internet sitios web a través de las palabras claves “contraseñas por defecto” (“default passwords”). Hay muchos sitios que catalogan todos los nombres de usuarios por defecto, las contraseñas, los códigos de acceso, las configuraciones y convenciones de nombres de todos los programas y dispositivos de TI que se venden. Es su responsabilidad conocer acerca de las opciones por defecto de los productos que instale usted y hacer todo lo que se encuentre a su alcance para modificar los valores predeterminados por alternativas no obvias.
Pero no se trata solamente de que se preocupe por las cuentas y contraseñas por defecto, también hay instalaciones con opciones predeterminadas como nombres de rutas, nombres de carpetas, componentes, servicios, configuraciones y otros ajustes.
Todas y cada una de las opciones personalizables deben ser consideradas para personalizar. Trate de evitar la instalación de sistemas operativos en las unidades y carpetas por defecto establecidas por el fabricante. Tampoco instale aplicaciones en la ubicación “estándar”, ni acepte los nombres de carpeta establecidos por el asistente de instalación o scripts.
Cuanto más personalice sus instalaciones y configuraciones, su sistema será más incompatible con las herramientas de ataques automatizadas y los scripts de explotación.
Ataques "Hombre en el Medio" (Man-in-the-Middle)
Cada persona que están leyendo este documento ha sido objeto de numerosos ataques Man-in-the-Middle. Un ataque MITM se produce cuando un atacante es capaz de engañar al usuario en el establecimiento de un enlace comunicacional con un servidor o servicio a través de una entidad ilegal. La entidad ilegal es el sistema controlado por el delincuente informático.
Éste ha sido creado para interceptar la comunicación entre el usuario y el servidor sin dejar que el usuario se percate de que un ataque se ha llevado a cabo. Un ataque MITM funciona engañando de alguna manera al usuario, a su equipo, o a alguna parte de la red para redireccionar tráfico legítimo hacia el sistema de engaño ilegítimo.
Un ataque MITM puede ser tan sencillo como un ataque de phishing por email cuando un correo electrónico aparentemente legítimo es enviado a un usuario con un enlace URL que apunte hacia el sistema de engaño ilegítimo en lugar de ser direccionado al sitio verdadero. El sistema falso tiene un aspecto similar a la interfaz del sitio real que engaña al usuario para que acceda al mismo proveyendo sus credenciales de acceso.
Las credenciales de acceso son duplicadas y luego reenviadas al verdadero servidor. Esta acción abre un vínculo con el servidor real, permitiéndole al usuario interactuar con sus recursos sin el conocimiento de que sus comunicaciones han sido desviadas a través de un sistema malicioso de escucha espía y posiblemente alterando el tráfico.
Los ataques MITM pueden ser realizados utilizando métodos más complicados como la duplicación de direcciones MAC (Media Access Control – Control de Accesoal Medio), envenenamiento ARP (Address Resolution Protocol – Protocolo de Resolución de Direcciones), envenenamiento de la tabla del router, falsas tablas de enrutamiento, envenenamiento de consultas DNS (Domain Name Server – Servidor de Nombres de Dominio), Secuestro de DNS (DNS Hijacking), Servidores DNSilegítimos, alteración de archivos HOSTS (pharming local), envenenamiento de la caché local DNS y redireccionamiento proxy. Y sin mencionar la ofuscación de URL, la codificación o manipulación que a menudo se utilizan para ocultar el enlace malicioso.
Para protegerse contra los ataques MITM, es necesario evitar hacer clic en los enlaces encontrados en los mensajes de correo electrónico. Además, siempre verifique que los enlaces de los sitios Web pertenezcan a dominios de confianza o que mantienen un cifrado SSL. También, puede utilizar un sistema IDS (Sistema de detección de intrusión) para monitorear el tráfico de la red, así como los DNS y alteraciones del sistema local.
Ataques wireless
Las redes inalámbricas tienen el atractivo de estar libres de cables – la capacidad de ser móviles dentro de la oficina manteniendo la conectividad de la red. Las redes wireless son baratas para desplegar y fácil de instalar. Por desgracia, el verdadero costo de las redes inalámbricas no se percibe hasta que se considera la seguridad. A menudo es el caso de que el tiempo, esfuerzo y gastos necesarios para garantizar las redes inalámbricas es mucho más que el despliegue de una red cableada tradicional.
Interferencia, Ataques de Denegación de Servicio (DoS), y muchos ataques más se simplifican para los atacantes cuando se encuentran presentes redes inalámbricas. Sin siquiera mencionar la cuestión de que una red inalámbrica segura (802.11a o 802.11g) por lo general, soportará debajo de los 14 Mbps de rendimiento y luego sólo bajo las distancias y condiciones de transmisión casi ideales. Compare esto con que el estándar mínimo de 100 Mbps para una red cableada, y la economía ya no tiene sentido.
Sin embargo, incluso si su organización oficialmente no autoriza y despliega una red inalámbrica, aún así podría tener vulnerabilidades de red inalámbrica. Muchas organizaciones han descubierto que los trabajadores la han utilizado para desplegar en secreto su propia red inalámbrica.
Ellos pueden hacer esto trayendo su propio punto de acceso inalámbrico (WAP), conectando el cable de red de su escritorio en el WAP y luego volviendo a conectar su equipo a uno de los puertos del router o switch de la WAP.
Esto conserva la conexión de su escritorio a la red y añade conectividad inalámbrica. Con mucha frecuencia, cuando una WAP no aprobada es desplegada, se hace con poca o ninguna seguridad habilitada. De este modo, una WAP de u$s50 puede fácilmente abrir una gigantesca brecha de seguridad en una multimillonaria red cableada asegurada.
Para combatir puntos de acceso inalámbricos no autorizados, se debe realizar una inspección regular del sitio. Esto puede ser realizado con una computadora portátil inalámbrica utilizando un detector de redes inalámbricas como NetStumbler o con un dispositivo portátil dedicado.
Esta semana se publicará la segunda parte del informe
El autor de este informe, James Michael Stewart, trabaja con computadoras y tecnologías desde hace más de 20 años. Instructor en Global Knowledge es autor de varios libros sobre seguridad, certificaciones y asuntos de administración. Artículo revisado por Cristian Borghello y Raúl Batista, de Segu-Info"
