Categoría: Conceptos básicos

Conceptos básicos sobre informática y ciberseguridad necesarios para entender la dinámica del blog y el contenido de las diferentes secciones.

El famoso candadito de internet

Raúl Moncada Leave a comment

Con el aumento de los ciberataques y las estafas a través de internet, agentes gubernamentales, entidades privadas y muchos otros, han realizado campañas para evitar el fraude y prevenir el robo de datos, cosa que me parece maravillosa. Sin embargo, creo que hay ciertas cosas que debemos aclarar debido a una situación que viví hace poco.

Hace unas semanas mientras esperaba el llamado de mi médico, veía en las pantallas del centro de atención una de estas campañas, donde daban algunos consejos para evitar el fraude en línea. Y hubo uno de esos consejos en particular que me llamó la atención, palabras más o palabras menos decía algo como “verifica que el sitio sea seguro, que en la barra de dirección se vea un candado, significa que la página es segura”. Lo que quería decir el anuncio, es que básicamente al sitio luzca así:

Sin embargo, que las páginas webs que tienen el ‘candadito’ son seguras y es posible navegar allí, es una confusión que se ha masificado, -desde mi punto de vista- por un mal uso del lenguaje. Una página web que usa un certificado de seguridad (el nombre técnico de ‘el candadito’) no es por definición una página segura, sino que la transacción que sucede entre el navegador y el servidor web vaya cifrado y no pueda ser interceptado.

Explicación no tan técnica (tal vez un poco)

Escenario 1

Supongamos que ustedes quieren ingresar a www.mibanco.com para el cual tienen un usuario y contraseña

Ahora vamos a imaginar que un atacante, uno de los malos, blackhat (para los más técnicos) o como lo quieran llamar, a través de una técnica llamada Man in the middle (MiTM) u Hombre en el medio, intercepta el tráfico entre ustedes y www.mibanco.com


Acá es donde el certificado de seguridad marca la diferencia, cuando la página de internet posee uno, es decir, que su dirección comienza con https, al momento que el atacante intercepte el tráfico verá algo así, un listado de caracteres ilegibles

Si la página carece del mismo, será posible ver las credenciales de forma legible (texto plano, para los puristas)

Escenario 2

Ya vimos de qué manera funciona el certificado de seguridad y de su importancia, ahora quiero que planteemos otro escenario, imaginemos que ese mismo atacante, el malo o el blackhat, crea un sitio falso, que se parezca a mibanco.com, con el fin de engañar a los usuarios. Aunque el sitio falso tiene un certificado de seguridad, el actor malicioso sigue teniendo el control del servidor y de todas las acciones que el usuario realice en el.

Por ejemplo:

El usuario, ingresa al sitio mi-banco.com que imita a mibanco.com

Como vemos el sitio tiene un certificado de seguridad y luce exactamente al original, (excepto por el – que separa el dominio)

Y al momento de ingresar las credenciales, estas viajarán cifradas, sin embargo, esto no es inconveniente para el atacante, ya que, como lo mencioné antes, él tiene el control total del servidor malicioso.

Y con esto termina la explicación que quería dar, me parecía importante poder profundizar un poco en este tema, por la confusión que genera el tema. Como vimos, un certificado de seguridad es importante para cuidar la seguridad digital, pero no significa que ciberdelincuentes puedan utlizar esos mismos medios para generar confianza en sitios web falsos y aprovecharse para robar datos, dinero, cualquier otra información relevante o todas al mismo tiempo.

Hasta la próxima.

Nota: Las páginas web de ejemplo fueron asistidas por IA.

Hackeando sin computadores

Raúl Moncada Leave a comment

Introducción

Esta entrada pudo ser un vídeo, de esos que podría subir al canal de Youtube que dije que iba a crear cuando llegaron los dos años del blog, pero, como podrán suponer no he avanzado mucho con ese proyecto y al igual que el amor, la inspiración para escribir llega cuando uno menos se lo espera, así que acá estamos, frente al computador, en una tarde soleada en mi ciudad, mientras disfruto de unos días de vacaciones. Y muchos coincidirán que estando en vacaciones no debería estar acá, sino aprovechando esos días de sol o dedicado a cualquier otra actividad que no implique hablar de trabajo, pero al igual que el amor, la pasión puede más que cualquier otra cosa.

Sin embargo, la idea de escribir esto, surge justamente de estar una noche tumbado en una cama, viendo la ladrona de identidades, la clásica película de humor gringo, que para sorpresa mía, me hizo reír.

Spolier Sinopsis

Por ser una película de 2013, creo que ya no cuenta como spolier, sin embargo intentaré no entrar en muchos detalles. La vida de Sandy Patterson se ve perjudicada por alguien que suplanta su identidad, le causa un gran daño financiero y judicial. Tal vez algunos pensarán que esto lo puede lograr una mente maestra capaz de infiltrarse en todos los sistemas informáticos del mundo, un genio de la informática con una inteligencia superior a la media o una especie de ser que duerme pocas horas al día y está rodeado de pantallas de computador y artifundios electrónicos.

Pues bien, nada más alejado de la realidad, la artífice de la situación que le da título a esta desopilante aventura es Diana, una mujer bastante torpe en muchos aspectos, pero que, a través de ingeniería social se logra hacer con la identidad de Sandy Patterson y desencadena una desternillante aventura.

Lo que nos compete: La ingeniería social

Según el sitio https://www.social-engineer.org/ (para mí, uno de los mayores investigadores sobre la ingeniería social en el mundo) la ingeniería social es “cualquier acto que actúe sobre una persona para que tome una decisión que pueda o no beneficiar a este”[1] es decir, a través de la ingeniería social, se puede influir en el comportamiento de una o varias personas, para que actúen de determinada forma. Volviendo al ejemplo de la película, Diana logró hacerse con la identidad de Sandy a través de una llamada telefónica, fingiendo que era una agente crediticia, ofreciéndole un seguro ya que se habían intentado realizar un fraude (ironías de la vida), solicitó unos datos, los cuales Sandy entregó con confianza y con ello clonó una tarjeta de crédito y su identidad. No necesitó mucho más (excepto por los aparatos con los que imprimió la tarjeta). Casos como estos podemos ver a diario, un ejemplo de ello son esas llamadas fraudulentas fingiendo que un familiar está en algún tipo de problemas, que la clave de nuestro banco fue bloqueada, hacer clic en algún enlace, descargar un programa o que incluso uno se ha ganado un premio de algún tipo. Cualquiera de estas acciones, sin importar su consecuencia (robo de identidad, estafa, robo de dinero, acceso no permitido a un computador o red) es considerado ingeniería social y es altamente utilizado por los delincuentes para llevar a cabo su cometido.

La escena en cuestión

¿Estamos a la deriva en esto?

Por tratarse de un ataque que está meramente dirigido hacia una persona, no hay software, antivirus o dispositivo que pueda solucionar esto, sin embargo la mejor defensa para estos casos es desconfiar, la ingeniería social se basa en crear un entorno confiable a la víctima, solicitar su cooperación en algo o directamente intimidar de alguna forma, por eso es importante detenerse durante unos segundos para pensar con cabeza fría la situación y analizar muy bien el entorno.

En el link de abajo pueden invitarme a un café, a ver si así logro avanzar con el canal de Youtube, un abrazo.

Referencias

[1] What is Social Engineering? (2014, enero 21). Security Through Education. https://www.social-engineer.org/about/

Inyección SQL

Raúl Moncada Leave a comment

Una inyección SQL o en inglés SQL Injection es una de las vulnerabiliades web más explotadas según el top 10 de OWASP la cual consiste en manipular una sentencia SQL legítima aprovechando alguna vulnerabilidad o incorrecta validación de consultas para ejecutar otro tipo de comandos sobre la base de datos, por ejemplo, modificar su contenido, borrarla completamente o acceder a datos sensibles como usuarios, contraseñas y números de tarjetas de crédito, incluso ejecutar comandos sobre el sistema operativo, lo que la convierte en una técnica con un nivel de criticidad bastante alto.

Aunque se podría llegar a pensar que se necesitan altos conocimientos de lenguaje SQL, en la actualidad herramientas como sqlmap permiten realizar ataques automatizados con conocimientos mínimos.

Con esta pequeña información nos veremos en próximas entradas, donde estudiaremos en un laboratorio práctico y controlado, cómo se realizan este tipo de ataques y cómo se pueden mitigar.

¿Qué es YAML?

Raúl Moncada Leave a comment

YAML es un lenguaje de marcado de documentos relativamente joven, creado en 2011 y que permite organizar y leer los datos contenidos de manera fácil, ya que uno de sus objetivos es tener un estándar amigable y de compresión rápida. Se caracteriza por tener una estructura en árbol e identada con espacios.

A continuación veremos un ejemplo bastante simple de cómo se ve una estructura en YAML:

Sin título 
#Así lucen los comenatarios en YAML.

#Esto es una llave, se compone del nombre 
#de la llave y separado con un espacio, su valor.
llave: valor
otrallave: valor

#Esto es un mapa. 
hola_soy_un_mapa:
 #Dentro de los mapas podemos anidar elementos, identados 
 #con un espacio
  llave_identada: valor
  #También se pueden construir mapas dentro de un mapa
  mapa_numero_2:
  #Y podemos agregar secuencias a las llaves
   llave_secuenciada:
    - valor_1
    - valor_2
    - valor_3

Probablemente se preguntarán ¿Para qué sirve esto? Bueno en palabras de Mickey Mouse:

Hasta pronto.