educ.ar
Canal Encuentro
Ministerio de Educación, Ciencia y Tecnología
Bicentenario argentino

Colección educ.ar: Uso seguro y responsable de las TIC | CD 27

Amenazas en la Web

Los “programas maliciosos” (virus, troyanos, spyware, etcétera); el spam y los engaños fraudulentos; los hackers y los crackers. Cual Jano bifronte, la Web comporta riesgos y ventajas. Aquí te contamos sobre algunas amenazas para tus datos y equipos.  

Los “programas maliciosos”

pirateria.jpg 

Un código o programa “malicioso” (malware) consiste en un programa de computadora escrito para producir inconvenientes, destrucción y/o quebrantar la seguridad de un equipo o sistema informático.

Los hay de diferentes tipos:

  • Los virus: generalmente requieren alguna interacción por parte del usuario (por ejemplo, abrir un archivo adjunto que recibimos por correo electrónico). Hoy también existen virus que afectan los teléfonos celulares, como Cabir (que se desplaza a través del bluetooth y que permite sustraer mensajes, contactos y escuchar nuestras conversaciones, entre otros).
  • Los “caballos de Troya” o “troyanos”: son programas que tienen una funcionalidad conocida (por ejemplo, un juego) pero además tienen una función oculta (como ser capturar las claves que escribe el usuario y mandarlas en un mensaje de correo electrónico a otra persona).
  • Los “gusanos”: se reproducen sin necesidad de interacción de los usuarios, por ejemplo atacando servicios de red vulnerables.
  • Keyloggers: es una aplicación destinada a registrar todas las teclas que un usuario tipea en su computadora. Algunos registran además otro tipo de información útil, como ser imágenes de pantalla.
  • Spyware: son aplicaciones que recogen y envían información sobre las páginas web más visitadas por un usuario, su tiempo de conexión, los datos relativos al equipo donde se encuentran instalados (sistema operativo, tipo de procesador, memoria, etcétera) e, incluso, hay algunos diseñados para informar si el software que utiliza el equipo es original o no.

Algunas consecuencias que pueden generar los “programas maliciosos”:

  • Borrar archivos del disco rígido para que la computadora se vuelva inoperable.
  • Infectar una computadora y usarla para atacar a otras.
  • Obtener información sobre el usuario, los sitios web que visita y sus hábitos en la computadora.
  • Capturar las conversaciones activando el micrófono o viendo al usuario, con la activación de la webcam.
  • Ejecutar comandos en la computadora como si lo hubiera hecho el usuario.
  • Robar archivos del equipo, por ejemplo aquellos con información personal, números de serie (licencia) de programas instalados, etcétera.

El spam  

Es muy frecuente recibir en nuestra casilla de correo mensajes de gente desconocida, brindándonos información que no solicitamos. Estos mensajes no solicitados (más conocidos como spam) suelen incluir publicidad, y muchas veces contienen información falsa o engañosa. Algunas de las técnicas que utilizan los spammers (aquellos que envían mensajes no solicitados para rédito propio o para terceros), a fines de obtener direcciones válidas de correo electrónico, incluyen:

  • Búsqueda de direcciones en páginas web y foros.
  • Captura de direcciones en cadenas de correo.
  • Comprar bases de datos de direcciones de correo.
  • Acceso no autorizado en servidores de correo.

Por tanto, es conveniente tener en cuenta algunas reglas de comportamiento con respecto a estos envíos de mensajes no solicitados:

  • No dejemos nuestra dirección de correo electrónico en cualquier formulario o foro de internet.
  • No responder a los correos no solicitados.
  • No enviar respuesta a la dirección que figura para evitar envíos posteriores.
  • Configurar filtros o reglas de mensaje en el programa de correo para filtrar mensajes de determinadas direcciones.
  • No configurar “respuesta automática” para los pedidos de acuse de recibo.
  • No responder a los pedidos de acuse de recibo de orígenes dudosos.

Las “cadenas” de e-mails

Una de las técnicas más conocidas para fomentar los reenvíos de mensajes, obtener direcciones de correo y armar bases de datos con ellas, es la conocida “cadena de correos electrónicos”. En estas cadenas se apela a la solidaridad del receptor solicitando el reenvío con fines benéficos; o se advierte sobre ciertas cuestiones, pidiendo que se retransmita el alerta.

Las “colecciones” de direcciones de correo electrónico incluidas en los mensajes suelen ser utilizadas para integrar bases de datos, que luego son empleadas para enviar spam. También pueden ser capturadas por virus informáticos, como fuente de direcciones válidas a las cuales reenviarse.

Debemos pensar acerca de cambiar nuestro hábito de reenviar “compulsivamente” los mensajes recibidos. Este comportamiento suele extenderse porque es común pensar que reenviar un mensaje no tiene costo alguno (en comparación con una llamada telefónica o un envío postal). Sin embargo debemos pensar que estamos comprometiendo datos de terceros, tiempo propio y de otros destinatarios.

El e-mail bombing, el spamming y el e-mail spoofing

El e-mail bombing consiste en enviar muchas veces un mensaje idéntico a una misma dirección, saturando la casilla de correo del destinatario. El spamming es una variante del e-mail bombing, y supone enviar un e-mail a centenares o millares de usuarios. El spamming puede resultar aún más perjudicial si los destinatarios contestan el e-mail, haciendo que todos reciban la respuesta.

El e-mail bombing/spamming se puede combinar con el e-mail spoofing –que altera la identidad de la cuenta que envía el e-mail-, logrando que sea más difícil determinar quién está enviando realmente el mensaje.

Engaños en la Web: Hoax

Los “engaños” o Hoax son mensajes fraudulentos con información falsa o inexacta, que nos inducen a reenviar el mensaje, a fin de difundir su contenido o a realizar acciones que muy probablemente nos ocasionarán problemas (Ejemplo: “borre el archivo x”; lo hacemos y nuestra máquina deja de funcionar).

Hackers y crackers

Siguiendo el glosario del Manual de Seguridad en Redes de ArCERT (confeccionado para el primer curso de Seguridad en Redes, dictado en noviembre de 1999), un hacker es una persona que tiene un conocimiento profundo sobre el funcionamiento de las redes informáticas, y que por tanto puede advertir sus errores y fallas de seguridad. En general, estos suelen intentar vulnerar los sistemas informáticos con fines de protagonismo. Con el paso del tiempo, la categoría ganó amplitud y complejidad: en la actualidad coexisten diversos tipos de hackers (con diferentes capacidades, objetivos y visiones). Incluso, muchos de ellos son activistas sociales que fomentan la apropiación pública del conocimiento y la creación/difusión mancomunada de nuevos sistemas, herramientas y dispositivos técnicos y tecnológicos.

Los crackers también detentan sólidos conocimientos en sistemas informáticos y tratan de acceder sin autorización; aunque a diferencia de los hackers, este tipo de “intrusos” suelen tener malas intenciones (daño, beneficio personal o para terceros). Si bien existe una variedad de crackers que no busca el perjuicio ajeno y que promueve el desarrollo de nuevas funcionalidades a nivel de software y/o hardware mediante el craking, en general suele asociárselos con prácticas non sanctas.  

Fuentes:

  • ArCERT (Coordinación de Emergencias en Redes Teleinformáticas). Manual de Seguridad en Redes. Buenos Aires, Oficina Nacional de Tecnologías de la Información, Subsecretaria de la Gestión Pública de la Jefatura de Gabinete de Ministros, 1999. Páginas 50, 51, 88 y 90.
  • ArCERT (Coordinación de Emergencias en Redes Teleinformáticas) e Instituto Nacional de la Administración Pública. Manual del Instructor en Seguridad de la Información,  Buenos Aires, Oficina Nacional de Tecnologías de la Información, Subsecretaria de la Gestión Pública de la Jefatura de Gabinete de Ministros, 2007. Páginas 52, 60, 61 y 79.
  • ArCERT (Coordinación de Emergencias en Redes Teleinformáticas) - Oficina Nacional de Tecnologías de Información (ONTI). “Principales amenazas” en Política de Seguridad para el sector público. Http://www.arcert.gov.ar/politica/  (13/11/09).