Saltar o menú de navegación e ir ao contido

EROSKI CONSUMER, o diario do consumidor

Buscador

logotipo de fundación

Canles de EROSKI CONSUMER


Estás na seguinte localización: Portada > Novas tecnoloxías > Internet e telecomunicacións

Este artigo foi traducido por un sistema de tradución automática. Máis información, aquí.

Raúl Siles, analista de seguridade informática e socio fundador de Taddong

Cando navegamos por Internet sempre corremos certo perigo

Hai uns meses reuníronse en Barcelona os principais expertos do mundo en seguridade de redes informáticas, nun evento coñecido como Black Hat, acerca da ciberdelincuencia e o software maligno. Entre os relatores só había un español, o analista Raúl Siles, socio fundador de Taddong, una compañía española que ofrece servizos avanzados de seguridade informática en todo o mundo. É posible seguir as súas investigacións a través da súa conta en Twitter, no blog da empresa e na súa páxina persoal. Nesta entrevista, responde a algunhas das principais preocupacións dos usuarios en materia de seguridade en Internet.

Cal é o punto máis fráxil nun computador: os portos de conexión, a conexión á Rede, o sistema operativo?

Todos os compoñentes dun computador, tanto hardware como software, desenvolvéronos persoas e son potencialmente vulnerables a problemas de seguridade. Na actualidade, dúas dos principais obxectivos dos ataques informáticos, debido á súa complexidade e as súas numerosas vulnerabilidades de seguridade, son as aplicacións web e as aplicacións cliente máis utilizadas, como os lectores de ficheiros PDF, reprodutores flash, Xava, os navegadores web, reprodutores multimedia, etc.

Doutra banda, non podemos esquecer que uno dos puntos máis vulnerables aínda é o usuario. Un bo exemplo é o recente incidente de seguridade no que un atacante conseguiu un nome de usuario e contrasinal válidos paira xerar certificados dixitais asociados a unha autoridade certificadora de confianza afiliada á empresa Comodo. Como resultado, xeráronse nove certificados fraudulentos paira sitios web de Google, Microsoft, Yahoo ou Skype, que permitirían ao atacante interceptar e manipular as comunicacións seguras, en teoría, de calquera usuario cara a estes sitios web.

Paira protexer una rede wifi é suficiente cunha clave WEP, como as incluídas nas ofertas comerciais?

“Os mecanismos de protección das redes wifi baseados en WEP crean una falsa sensación de seguridade”Os mecanismos de protección das redes wifi baseados en WEP crean una falsa sensación de seguridade. O feito de ter que configurar e utilizar una contrasinal de acceso a unha rede wifi pode facer pensar ao usuario que a mesma é segura, sen ser consciente de que se coñecen vulnerabilidades asociadas a WEP desde o ano 2001 e que un atacante pode obter o contrasinal en menos dun minuto desde o ano 2007. Por desgraza, aínda hoxe en día moitos provedores de telecomunicacións e fabricantes configuran por defecto os puntos de acceso wifi con WEP, en lugar de usar a opción recomendada, WPA2, que debe usarse con claves bastante longas e que non sexan facilmente adivinables.

En xeral, é perigoso conectarse a Internet mediante unha rede wifi?

Se se configuran de maneira adecuada, as redes wifi supoñen un nivel de seguridade, nalgúns casos, mesmo superior ás redes cableadas. É importante diferenciar entre tres tipos de escenarios moi comúns a día de hoxe na utilización das redes wifi e os seus niveis de seguridade. Una rede wifi persoal ou corporativa, ben configurada cos mecanismos de seguridade dispoñibles na actualidade -como WPA2, Persoal ou Enterprise- pode considerarse segura. Una rede wifi pública compartida, configurada cos mesmos mecanismos de seguridade anteriores, pero na que todos os usuarios comparten o acceso, ten problemas de seguridade debido a que, pola súa natureza, estas redes wifi están dispoñibles paira o público en xeral. Calquera usuario podería capturar e manipular o tráfico doutros usuarios. Paira terminar, una rede wifi pública compartida, aberta ou insegura -sen cifrado, baseada en WEP ou en WPA2, pero cunha clave facilmente adivinable- é insegura, xa que calquera, mesmo sen ser usuario da rede, podería capturar e manipular o tráfico dos usuarios lexítimos.

Una das tendencias do mercado é que o usuario poida sincronizar de maneira automática todos os seus dispositivos a través das redes de datos e mediante servidores. Contribuiría isto a que una posible infección estendésese de maneira máis rápida, como pode ocorrer no parque informático dunha empresa?

“O uso de dispositivos móbiles en mecanismos de autentificación de transferencias bancarias abriu a porta a novos tipos de software malicioso” En principio non, xa que os mecanismos de sincronización actuais céntranse en permitir a un usuario compartir os seus datos privados entre os seus diferentes dispositivos, como o seu portátil e o seu teléfono móbil, e non na compartición de datos entre usuarios. Con todo, este tipo de sincronización persoal e a utilización de dispositivos móbiles en mecanismos de autentificación máis avanzados -como a validación de transferencias na banca electrónica mediante unha mensaxe SMS enviado ao teléfono do usuario- abriu a porta a novos tipos de software malicioso. O seu obxectivo é infectar tanto o computador como o teléfono da vítima paira dispor de control sobre todos os elementos involucrados en validar a transacción financeira e poder así manipulala.

Os servizos na chamada “nube” agrupan nunha rede de servidores concreta moita información dos seus clientes. Necesítase un plus de seguridade paira protexelos?

“En numerosas ocasións, os servidores que conforman una ‘nube’ están situados en países onde o nivel de seguridade é inferior ao da organización que fai uso deles”

Sen dúbida, a externalización de servizos e tecnoloxías da información cara á “nube” require por parte dos usuarios e empresas unha análise moi exhaustiva dos mecanismos de seguridade asociados ás infraestruturas, tecnoloxías e procesos empregados polas compañías que proporcionan esta “nube”. Esta análise non debe centrarse só nas tecnoloxías máis avanzadas, senón tamén nos principios básicos, como a seguridade física. En numerosas ocasións, os servidores e redes que conforman a “nube” están situados en países estranxeiros onde o nivel de seguridade no acceso aos mesmos é inferior ao da organización que fai uso deles.

Doutra banda, a agrupación de datos privados ou sensibles nun mesmo enclave ten o risco de que un único incidente de seguridade podería comprometer os datos de múltiples entidades ou organizacións. Este tipo de incidentes vivímolos en numerosas ocasións no pasado con empresas de” hosting“, onde se albergan os servidores e aplicacións web de múltiples organizacións, e, por desgraza, volverémolos a ver.

O nivel de cifrado simétrico da tenda de Apple ou dos servizos sensibles de Google é de RC4-128 bit. Outros servizos teñen niveis superiores, en concreto AES-256 bit. É suficiente con 128 bit ou é mellor adoptar estándares superiores?

As afirmacións respecto da seguridade proporcionada polos algoritmos de cifrado e a lonxitude das claves dependen moito do momento temporal, da capacidade de cálculo e das posibles novas investigacións nesa área. A día de hoxe, as claves de cifrado simétrico de 128 bits aínda poden considerarse seguras, un feito ratificado pola súa ampla utilización no comercio electrónico en Internet. Con todo, sempre é recomendable a adopción de estándares máis avanzados, como AES fronte a RC4, e de lonxitudes de claves maiores, sempre tras valorar o posible impacto no rendemento da infraestrutura e as aplicacións que fan uso delas. No caso dos algoritmos de cifrado, o tamaño das claves si importa.

“A día de hoxe, as claves de cifrado simétrico de 128 bits aínda poden considerarse seguras”

O problema non é tanto o algoritmo de cifrado empregado, senón a correcta utilización do mesmo. RC4 emprégase tanto en HTTPS, paira o acceso cifrado á web, como en WEP, paira o acceso, en teoría seguro, ás redes wifi. No primeiro caso, o acceso mediante HTTPS e RC4 considérase o bastante seguro e emprégase a diario na banca e o comercio electrónico en Internet. No segundo caso, o acceso mediante WEP e RC4 ás redes wifi é moi inseguro, debido a que o uso que se fai do algoritmo por parte de WEP é vulnerable, tal como especificaba en orixe o propio deseño de RC4.

Son seguras as páxinas web dos bancos e caixas desde onde xestionamos operacións e transferencias?

Por desgraza, a seguridade non é un todo ou nada. É importante ter en conta a complexidade do software, e en concreto das aplicacións web, que utilizamos a diario paira calquera tarefa da vida cotiá, como xestionar operacións e transferencias bancarias en Internet, comprar viaxes, entradas de espectáculos e outros produtos. A complexidade e a seguridade non son moi bos amigos, segundo a miña experiencia e as auditorías de seguridade realizadas durante os últimos dez anos, polo que aínda queda moito que avanzar paira dispor de aplicacións web cun nivel de seguridade e protección elevado, aínda que é certo que as aplicacións web das entidades financeiras son das máis seguras, debido a que a seguridade é un concepto intrínseco a elas e a que dispoñen de mecanismos complementarios paira a identificación e validación de transaccións sospeitosas ou fraudulentas.

É seguro pagar con cartón de crédito na páxina web dun comercio certificado e do cal o navegador asegura que cifra a conversación?

“Hai numerosas vulnerabilidades de seguridade que afectan as aplicacións web de comercio electrónico e que non se solucionan mediante o cifrado das comunicacións”

A industria informática, en concreto no que respecta á seguridade, tende a simplificar moito as mensaxes enviadas aos usuarios paira reducir a complexidade tecnolóxica que hai detrás. Por este motivo, é moi común ver a mensaxe “este sitio web é seguro” en moitas páxinas web, o que indica só que se emprega un certificado dixital paira cifrar as comunicacións entre o usuario e a aplicación web. Ademais, moitos sitios web fan uso de cifrado só durante parte da conversación, e non na súa totalidade, o que permite a realización de ataques paira secuestrar a sesión do usuario na aplicación web e suplantarle. Calquera pode obter un dominio e espazo web en Internet por dez euros ao ano e adquirir un certificado dixital, mesmo, de forma gratuíta.

Este mecanismo de cifrado, aínda que necesario e imprescindible, só protexe fronte a un número reducido de ataques, como a interceptación por parte dun atacante das comunicacións críticas do usuario, nas que se realiza o pago co cartón de crédito. Hai numerosas vulnerabilidades de seguridade que afectan as aplicacións web de comercio electrónico e que non se solucionan mediante o cifrado das comunicacións, polo que a mensaxe transmitida ao usuario é incompleto e pode ser enganoso. Por tanto, a utilización dun certificado dixital non debería ser o único elemento que un usuario debe valorar ao comprar con confianza nun sitio web de comercio elecrónico, senón que debería avaliar tamén a reputación dese sitio web e a experiencia previa doutros usuarios.

Veremos software maligno nos nosos móbiles agora que aceptan arquitecturas complexas?

A resposta non é si verémolo, xa que na actualidade hai numerosos exemplos de software malicioso paira múltiples plataformas móbiles como iPhone, Symbian, Windows Mobile/Phone, Android, etc., senón cando o seu número superará ao do software malicioso paira os computadores. Creo que non é algo inminente. Os dispositivos móbiles actuais son ordenadores completos en miniatura coas mesmas capacidades, ou mesmo máis, que os computadores portátiles ou de sobremesa. A súa capacidade de procesamiento, memoria, opcións de conectividad -Bluetooth, wifi, 2G ou 3G- e outras funcionalidades como GPS e cámara, xunto coa súa vinculación ao usuario as 24 horas e o seu uso en tarefas cotiás e sensibles, fan deles un obxectivo moi atractivo paira o crime organizado.

“Os mecanismos de seguridade dispoñibles hoxe nos dispositivos móbiles son similares aos que tiñamos hai dez anos nos computadores”

Aínda por riba, os mecanismos de seguridade dispoñibles hoxe nos dispositivos móbiles son similares aos que tiñamos hai dez anos nos computadores. En moitos dispositivos móbiles non é sinxelo paira o usuario determinar se se conecta a unha rede wifi baseada en WEP ou WPA2, xa que o único que pode ver é que a rede ten asociado a icona dun cadeado, polo que debe ser segura. Ou non? Do mesmo xeito, moitos destes dispositivos móbiles non permiten determinar se o acceso a un sitio web fai uso de cifrado mediante HTTPS, co que non é sinxelo verificar os detalles do certificado dixital empregado.

A penetración da distribución de Linux Android no mercado dos smartphones é espectacular. Pode ser a porta de entrada do software maligno neste sistema operativo?

En efecto. A existencia dun número maior de ataques ou software malicioso paira un sistema operativo en particular non depende tanto da plataforma, senón da súa adopción por parte dos usuarios e, por tanto, do retorno do investimento que obterá o atacante. Todos eles están baseados en software potencialmente vulnerable e, de feito, todos presentaron vulnerabilidades no pasado e farano no futuro.

No caso concreto de Android, plataforma cuxa seguridade analizamos na actualidade, difundiuse en marzo de 2011 a través de Android Market -a tenda de aplicacións móbiles de Android/Google- un conxunto dunhas 50 aplicacións que contiñan un software malicioso denominado DroidDream. Como resultado, Google eliminou estas aplicacións da tenda e viuse obrigado a utilizar o seu sistema de eliminación remota de aplicacións dos dispositivos móbiles dos usuarios -uns 200.000 segundo cifras non oficiais- que instalaran algunha destas aplicacións e estaban, por tanto, infectados.

Debe considerar un usuario que a súa seguridade está en continuo perigo cando navega por Internet ou isto é una esaxeración?

En xeral, os usuarios si deberían considerar que a súa seguridade está en dúbida ao navegar por Internet, xa que a maioría de usuarios utiliza Internet paira acceder a múltiples sitios web, tanto de confianza como non. Una das ameazas principais en Internet a día de hoxe é que calquera sitio web pode atacar ao usuario, incluso os de confianza, xa que os atacantes logran comprometer estes sitios web e utilizalos paira estender o ataque aos seus clientes. Esta afirmación está ratificada polo elevado número de computadores infectados no mundo, tantos persoais como corporativos, e a existencia de redes de computadores comprometidos controladas por atacantes.

“Os usuarios si deberían considerar que a súa seguridade está en dúbida ao navegar por Internet”

En concreto, o navegador web e as aplicacións cliente, ou plugins, asociados a este son un dos obxectivos principais dos atacantes e do crime organizado na actualidade. Debido ás numerosas vulnerabilidades nestes, e a versións antigas nos equipos dos usuarios, constitúen a porta de entrada paira tomar control do computador do usuario, das súas comunicacións e de todas as súas actividades en Internet.

Que precaucións mínimas aconsellaría a un usuario para que a súa experiencia fose segura?

Os usuarios deberían seguir polo menos as seguintes recomendacións e boas prácticas co obxectivo de aumentar a súa seguridade na navegación web en Internet:

  • Manter o computador ao día e instalar as últimas actualizacións de seguridade dispoñibles paira o sistema operativo.

  • Manter o navegador web actualizado á última versión dispoñible. É preferible utilizar as últimas versións dos navegadores web, xa que dispoñen de melloras de seguridade significativas, como Firefox 4, Internet Explorer 9, Chrome 10, Opera 11 ou Safari 5.

  • Manter actualizadas á última versión dispoñible todas as extensións ou plugins do navegador web asociadas a aplicacións cliente moi utilizadas, como Adobe Reader, Adobe Flash, Xava, ou os reprodutores multimedia Windows Media Player, QuickTime ou RealPlayer.

  • Acceder aos sitios web mediante HTTPS fronte a HTTP, sempre que sexa posible, é dicir, en sitios web que soporten ambos. Utilidades como “HTTPS Everywhere”, só paira Firefox, permiten automatizar o uso de HTTPS.

  • Nunca se debe aceptar un certificado dixital inválido en conexións web cifradas HTTPS.

  • Non reutilizar a mesma contrasinal paira diferentes sitios e servizos web.

  • Utilizar dous computadores, dúas máquinas virtuais, ou polo menos dúas navegadores web paira acceder a sitios web de distinta criticidad, como a navegación web ocasional ou consulta de información e noticias, e a navegación web relevante de banca en liña ou compras en Internet.


Pódeche interesar:

Infografía | Fotografías | Investigacións