CAPA6 LA REVISTA DEL INFORMÁTICO DE HOY
PROTEGERSE DE CRÍMENES CIBERNÉTICOS? PELIGROS DEL IOT
DELITOS INFORMÁTICOS
21
de Octubre
2016
. Ataque DDoS a
Dyn . El principio de una ciberguerra
ROBERTO LEMAITRE
MR ROBOT Mr. Robot la serie que se adapta a la realidad de un hacker en la vida real
Una entrevista con el abogado e ingeniero de la
LO QUE CALLAMOS
Universidad de Costa Rica
ó
La cr
nica del diario vivir de un
á
profesional en inform
E D I C I
Ó
N
0
| N O V I E M B R E
2016
|
tica
Nuestros Editores El título de nuestra revista corresponde a una modificación de la broma "Error de capa 8". Debido en el modelo TCP/IP se tienen cinco capas, se realiza una actualización del chiste. Así se indica que el error se encuentra en la capa 6 . Esta corresponde al error humano un factor primordial en la protección de los ciberataques. En este momento de nuestra sociedad esta sufriendo cambios exponenciales debido a los avances de la tecnología. Estos cambios están afectando nuestro diario vivir. Pero que tanto conocemos sobre nuestros derechos como profesionales de informática, cuales leyes nos protegen , las medidas de ciberseguridad que debemos tomar con el fin de vernos involucrados en delitos. Estas y más incógnitas pretende responder esta revista, sin dejar de lado los temas de entretenimiento, avances tecnológicos y aspectos alrededor del mundo. Esperamos que la revista sea de su agrado :D LAURA FERNÁNDEZ RAQUEL CHAVARRÍA FERNANDO MATA YARA CORRALES "BLOPA" SAUMA EDITORES
CAPA6
PÁGINA 2
Contenidos Nacionales 03
03. Universidad de Costa Rica reporta masivo ataque cibernético en su contra 04. Delitos Informáticos: Entrevista Con Roberto Lemaître 08. Impacto de las redes sociales en los costarricenses 09. Ingeniería Social: Entrevista con Jorge Castro
Internacionales 11
11. Black Hat 12. El peor ciberataque de la historia ( Ciberataque a petrolera Saudi Arauco) 13. ¿Cómo pueden protegerse de crímenes cibernéticos los usuarios? 15. La amenaza cibernética china
Tecnología 16
16. Peligros del IoT 17. Transistores 1nm 19. Computación cuántica: El peligro de la llave pública 20. Vehículos autónomos: el futuro a la vuelta de la esquina
Entrenimiento 21. Mr Robot 23. Review Hacknet
21 Opinión y Otros 24
24. Lo que callamos los informáticos 26. Seguridad en CMS 27. Privacidad vs seguridad
NACIONALES
Universidad de Costa Rica reporta masivo ataque cibernético en su contra
POR: YARA CORRALES
A lo largo del presente año la Universidad de Costa Rica ha presentado distintos ataques cibernéticos. Una investigación del Centro de Informática de la Universidad de Costa Rica determinó que lo ocurrido fue un “ataque de denegación de servicios” (DDoS), ha hecho que los profesionales del centro de informática de la Universidad hayan tenido que correr para solucionar estos ataques. El DDoS es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Se trató de una red de equipos programada para realizar consultas múltiples, que generaron hasta cuatro millones de peticiones por minuto, que saturaron y sacaron de servicio los servidores que dan soporte a la página del Semanario. Las solicitudes de acceso provinieron de computadoras ubicadas en Rusia, pero el origen no ha sido determinado. CAPA 6
-
NACIONALES
Recientemente la Universidad de Costa Rica sufrió las consecuencias de un hackeo cibernético dirigido desde China y Rusia . El ataque generado en 2015 , creaba 80 mil solicitudes de acceso por segundo que inutilizaron el correo electrónico institucional , los sistemas de gestión administrativa y la red de la institución . Los ataques ocurrieron en el presente año los meses de enero y abril . La Universidad de Costa Rica se encuentra bajo un masivo ataque cibernético , informó el rector de la universidad , Henning Jensen . La página web quedó bloqueada durante al menos ocho horas el pasado 22 de enero , día en que salía publicada la edición semanal , con los resultados de la última encuesta electoral del Centro de Investigaciones y Estudios Políticos ( CIEP ). Este provocó que desde la tarde del día viernes 15 de abril las páginas de la UCR , así como su red de Internet se encuentran colapsadas o funcionando de manera intermitente . Mediante su cuenta en Twitter , Jensen pidió comprensión por lo ocurrido . PÁGINA 3
Entrevista con:
Roberto Lemaître
El pasado 27 de octubre tuvimos una entrevista con el Licenciado e Ingeniero Roberto Lemaître, donde nos comento sobre aspectos de delitos informáticos en el ámbito nacional
Cual es el delito informático que a la fecha afecta a la sociedad costarricense? ¿
Actualmente la situación más problemática en el temas de delitos y que la gente más denuncia está relacionado con el tema de dinero, entonces lo que es estafa informática, es lo que está ocurriendo más. Principalmente porque el cibercrimen ha buscado dónde está la plata y de esta forma lograr tema patrimonial y tener ganancias a raíz de estas acciones, pero eso no es diferente de otros delitos que también ocurren, que tal vez la gente en desconocimiento que Costa Rica tienen un marco legal en temas de delitos y que incluyen figuras muy novedosas y que no saben que pueden denunciarse por ejemplo suplantación de identidad, que a raíz que la gente ha ido conociendo poco más del tema ha ido aumentando este tipo de denuncias, pero actualmente las que más se procesan están relacionados con estafas informáticas, principalmente por la afectación de dinero y los relacionados con delitos tradicionales donde se investiga mucho más este tipo de figura.
CAPA6- NACIONALES
En caso de suceder este tipo de situaciones. ¿Cómo se puede interponer una denuncia? En cualquiera de las figuras que ocurra, indiferente que sea el caso informático la gente debe acudir a la sección de denuncias al circuito judicial que le corresponda, a la dirección del OIJ para poner la denuncia respectiva de los ocurrido. Que problemáticas ha generado en algunos casos. Por ejemplo desconocimiento en la gente de recepción de denuncias en la sección de delitos informáticos y la falta que en el sistema de denuncias esté integrado estos delitos. Ese ha sido una de las dificultades cuando la gente llega y le dice "Vengo a denunciar suplantación de identidad" y alguien le dice: "eso no existe". No es que no existe, es que no está integrado al sistema, entonces le dicen "Si existe está acá" (En la ley), normalmente uno recomienda que uno vaya allá con el código penal fotocopiado donde esta el delito, para que enseñen que ahí está la figura, entonces de esta forma le procesan la denuncia. En muchos casos han tenido que hacerlo manual, porque no sabían que existía.
POR LAURA FERNÁNDEZ PÁGINA 4
CAPA6- NACIONALES Hace poco uno de los fiscales me comentó que ya han capacitado a la gente de recepción para que conozca un poco más de la materia de delitos informáticos y evitar esta problemática, porque muchos casos le decían que no sabían que eso existía o por qué eso es importante, por ejemplo en un caso que estuvimos asesorando, la persona de recepción le dijo "¿Por qué va a denunciar suplantación de identidad si no le quitaron dinero?", como que eso no era importante, y a la vez es más grave a largo plazo , que a corto plazo que a ustedes le hayan quitado su imagen. Y se esté utilizando para otras acciones. Entonces esa parte de capacitación es importante. Ahora el poder judicial ha intentado que se conozca mucho más, pero el sistema de denuncias todavía no incluye este tipo y deberían estar.
Qué deficiencia considera que tiene el país en cuanto a delitos informáticos? ¿
Es interesante que las estadísticas y estudios internacionales muestran que Costa Rica está bien en el marco legal. Y eso a muchos sorprende, pero Costa Rica tiene un marco legal de protección de delitos informáticos bastante amplio y bien desarrollado. El tema de la problemática es más en la praxis, y esto tiene que ver con la capacidad de investigación de este tipo de delitos. Cierto que tenemos una sección de delitos informáticos, pero con poco recursos, y personal. Solo tiene 23 personas asignadas a delitos informáticos para todo el país, no es que existen en cada provincia 23 funcionarios. 23 en San José para todo el país y con la problemática que cualquier delito que incluye tecnología ellos tienen que investigar, entonces tiene una saturación, tienen poca gente, no son delitos que se le han dado la prioridad a pesar que las estadísticas muestran un crecimiento acelerado de delitos informáticos, pero el presupuesto no lo refleja. La otra parte ha sido en la capacidad a nivel gubernamental de lograr articular un CERTSI nacional fuerte que también le asigne fondos que pueda coordinar las diferentes acciones tanto como un CERTSI nacionales de empresas e instituciones públicas como los CERTSI internacionales. En esta problemática todavía no se la ha dado la importancia a nivel nacional y a nivel
PÁGINA 5 presupuestario, en el tema de ciberseguridad es prioridad y un tercero en el tema legal en cooperación internacional que tiene que la convención en ciberseguridad y ciberdelincuencia internacional sea aprobada, a pesar de que ha sido firmada por Costa Rica no ha sido ratificada y ese ha sido uno de los problemas a la hora de investigar, porque estos delitos son globales, la investigación tiene que salir y los medios tradicionales judiciales, simplemente son insuficientes para atender delitos informáticos.
Pero es más es un problema a nivel legislativo? Es más un problema a nivel legislativo y a nivel de praxis gubernamental de lograr de hacer efectivo lograr hacer que la asamblea ratifique algo que ya tiene firmado desde 2001, 2002 cómo es posible que han pasado 14, 15 años y pesar de que este firmado no se ratifica, y eso refleja el desconocimiento o importancia que tiene los delitos informáticos. Hace poco comentaba con otro colega Randall Barnett que decía " Mire uno de los grandes problemas que aquí tenemos es que piensan aquí esos delitos ocurren en otros países, que ocurren en países desarrollado. que en Costa Rica eso no pasa, que porque va a pasar aquí, si aquí no somos importante". Y aquí pasa y pasa más de la cuenta solo, más de lo que uno imagina, solo que eso no sale en las noticias todos los días, es una noticia que no vende como otras.
Qué podríamos hacer nosotros como país y sociedad para poder evitar este tipo de delitos? ¿
Yo siempre he dicho que la gran apuesta en ciberseguridad y un gran porcentaje en la disminución de delitos informáticos es la cultura digital. Si la gente conoce como cuidarse, que no debe hacer, cómo comportarse en ciertos ámbitos digitales la mayoría de los delitos tradicionales podrían disminuir, por ejemplo el Phishing, suplantación de identidad, revisar donde ingresan datos, los links a los que ingresan no compartir cierta información , disminuiría mucho. Entonces yo apuesto a cultural digital eso incluye desde que la gente se interesa y se informe tanto como padres como el sistema educativo incluyera en algún momento materias en ciberseguridad y educación cibernética dentro de sus programas o por lo menos.
CAPA6- NACIONALES
ES MÁS UN PROBLEMA A NIVEL LEGISLATIVO Y A NIVEL DE PRAXIS GUBERNAMENTAL DE LOGRAR DE HACER EFECTIVO LOGRAR HACER QUE LA ASAMBLEA RATIFIQUE ALGO QUE YA TIENE FIRMADO DESDE 2001, 2002
PÁGINA 6
CAPA6- NACIONALES
PÁGINA 7
optativas para que tengan cuidado de los menores de escuela colegio sobre estos cuidados, para que de alguna manera ya están preparados anteriormente uno veía campañas, veía anuncios cuídese en la calle, no hable con extraños, mejor no acepte regalos de desconocidos, pero no se ve este tipo de campañas en temas de ciberseguridad, ni se este tipo de formación que tengan los padres para formación de los menores, más bien ellos son los que manejas la tecnología y muchas veces los padre no saben que está haciendo o cómo lo esta haciendo en el medio. Y el Estado debería invertir en programas relacionada en este tema y campaña educativas y de formación tanto a padres como niños.
con los medios de solicitud normales de cooperación internacional. Esto hace que el convenio de ciberdelincuencia de Budapest en Ciberdelincuencia sea tan importante para una rápida respuesta de investigación y pruebas los procesos de investigación en redes sociales pueden llevar hasta nueve meses de solicitudes procesales tradicionales para una jurisdicción internacional y lo que pasa al final es que la información ya no se tiene. Y nueve meses en asuntos tecnológicos son siglos o milenios
¿
Un tema importante es que los informáticos del país conozcan sobre delitos informáticos y conozcan la materia no solo desde el punto de vista tecnico sino desde el punto de vista legal para que además se le aclare las dudas que tiene , uno ha encontrado en el experiencia docente, profesional que el gremio informático tiene una gran falencia en conocer que existen leyes relacionadas, que hasta donde pueden actuar que si pasaba ciertas situaciones que si podían denunciarse o no y al conocerse ya saben que pueden y que no pueden hacer. Primero si algo está ocurriendo que pueden denunciar y adonde acudir y además desde el punto de vista técnico la parte de formación de cómo atender ciertas situaciones y la parte legal de cómo tratar la prueba y cuidar ciertos documentos probatorios y como no dañar un investigación que al final pueda hacerse efectiva alguna manera llevar un proceso penal a X persona o por lo menos denunciar una situación que este pasando. Recuerdo que en cada curso que he dado, a algún estudiante le hago la pregunta Cómo están las leyes de Costa en cuanto a este tema? y me responden "muy mal, no hay nada Costa Rica esta malisimo en cuanto a este tema" y siempre l e digo "recuerde lo que me dijo hoy y al final del curso me dice lo que piensa" y siempre me termina diciéndome "Yo pensé que no teníamos nada" y uno pensaría que le informático debería estar relacionado con sistemas muy cerca porque son los primeros que están en contacto con muchas situaciones de delitos informáticos.
Usted cree con mejor marco legal o una buena implementación beneficiaria el país en aspectos económicos como inversión en telecomunicaciones? Para mi sí, brindar un marco jurídico fuerte que en cierto porcentaje, pero también que el marco sea efectivo, que es la otra parte que se ocupa, haría que las empresas relacionadas con tecnología, digan bueno este país se protege en el tema delitos informáticos. Tengo manera de denunciar si algo pasa, tengo manera de actuar si estoy ahí, me ofrecen, un marco de seguridad si algo no está funcionando o algo me está ocurriendo puedo pedir, además puedo pedir y se actúa y que existen medidas prácticas que se puede investigar efectivamente, ya que seamos atractivos ya sea no solo por nuestra capacidad intelectual, capacidad profesional sino por el marco legal permite tener todo un bagaje de seguridad, donde usted dice bueno aquí me puedo instalar y tengo más certeza jurídica de cómo actuar.
En cuanto a redes sociales ¿Cómo considera la situación actual de muchas denuncias en torno a este tipo de delito? . Muchas de las denuncias en cuanto a redes sociales tiene la complicación que tienen servidores que no están aquí. Facebook no lo tenemos como empresa acá ninguna de las más famosas redes sociales , que sucede la investigación tiene que salir en algún momento del país y los medios convencionales de investigación y procesos judiciales hacen que sea prácticamente imposible la investigación efectiva
Nosotros como informáticos ¿Cómo podemos prevenir este tipo de delitos y en caso de que sucede cómo deberíamos responder ante esto?
C A P 13 A 6 PAGE
-
NACIONALES
PÁGINA 8
Impacto de las redes sociales en los costarricenses En la llamada Sociedad de la Información, tenemos por un lado a todos los protagonistas que integran la misma, estos se ven inmersos en un mundo tecnológico e interconectado antes jamás imaginado o planeado. Es como una batalla que se da 24/7 para saber quiénes son los mejores de cada día. Los trendings deben ser ellos, entre más seguidores la opinión de uno se vuelve más importante que la de otros. Pero qué sucede con esto, esa opinión que damos a las demás personas se vuelve un arma de doble filo y es ahí donde la utilización correcta de las herramientas informáticas es de vital importancia. Los costarricenses no escapan de
ello, hacemos viral las mínimas situaciones sólo porque ciertas personas comentan o dan su opinión al respecto. Hay temas en los que todos se creen especialistas, cosa que no es cierta, solo hacen que esas situaciones se vuelvan más grandes y se alarguen más de la cuenta. De qué manera, los seres humanos pueden utilizar estos medios de comunicación, al igual que el teléfono de línea, el celular, el correo electrónico o los foros, de manera equilibrada, razonable y con total libertad y resguardo de sus derechos, conociendo sus deberes , y respetando a sus pares? Las redes sociales es el nuevo medio de comunicación, que se ha tornado muy popular en este mundo globalizado, sin distinción de edad, sexo, ocupación, religión, raza o clase social.
Allí vienen las cuestiones referentes a la vida cotidiana y su impacto social: la historia de cada usuario de la red se ve expuesta. Obviamente con eso vienen las opiniones al resto del mundo y las situaciones que en este ocurran, muchos de los usuarios creen que todo lo que está en el internet es verdad. El gran error de la mayoría, no informarse correctamente, hará que den su opinión de todo sin conocer nada. La vida cotidiana pasa a ser parte del facebook, del Twitter o del MySpace: los logros, los fracasos, alegrías , las tristezas, las expectativas, los
Por Yara Corrales
miedos, todo. O sea, sin face, hay carencia de protagonismo en la sociedad, pareciera. La libertad de expresión en internet, es un punto controvertido: se contrapone a los derechos de intimidad, protección de datos personales, y propiedad intelectual. Creo que la solución es recurrir a normas jurídicas equilibradas y sociales, fundamentalmente: un derecho finaliza donde comienza el del prójimo. Se deben respetar los principios constitucionales establecidos. El hombre es un ser libre, pero esta libertad ha dado mucho de qué hablar, las personas creen que las redes sociales es como un diario en el que se puede escribir lo que deseen, pero no es así aunque se goza de libre albedrío no podemos simplemente dar nuestra opinión así porque así, tenemos derecho a dar nuestra opinión pero si previamente conocemos del tema, esto provoca que existan problemas de difamación o calumnias sobre otras personas o situaciones que acarrean gran cantidad de situaciones subidas de tono en las redes sociales. Estos espacios no están siendo bien utilizados y estamos creando ambientes en los que la opinión de las personas está siendo medida por algo más que la veracidad. No dejemos que otros nos informan erróneamente, que nos jueguen malas pasadas, que nos hagan ignorantes ante nuestros propios pensamientos.
19
Ingeniería social en Costa Rica -Entrevista al Ing. Jorge Castro. Experto en seguridad informática POR RAQUEL CHAVARRIA
La Ingeniería social es una manera de ataque en donde se adquiere información valiosa que el hacker anda buscando a través de las propias personas que se quiere atacar. Se utilizan ciertas manipulaciones o engaños, que a través de un teléfono, correos o incluso en persona se logra obtener la información que andan buscando. Si se logra el objetivo, el hacker puede lograr sus ataques de una manera más fácil y rápida, saltándose todas las medidas de seguridad técnicas, ya que obtiene un acceso a los sistemas con ayuda de información verídica, por ejemplo un usuario legítimo. Lo peligroso es que es un tema al cual los ingenieros no suelen tomarle la suficiente importancia. Muchos ingenieros se inclinan más hacia la parte técnica. Por ejemplo la últimas tendencias de tecnologías, algoritmos, y herramientas técnicas para mejorar la seguridad personal y de las empresas. Pero de qué valen todas estas técnicas de seguridad si no se tiene el suficiente cuidado con medidas de ingeniería social? Para saber un poco más sobre este tema, y como se encuentra Costa Rica, se entrevistó al ingeniero y experto en seguridad informática, Jorge Castro Zeledón. CAPA6- NACIONALES
¿Cree usted que tenemos una sociedad “muy confiada”? No necesariamente… Aunque hay casos en que la gente ha sido víctima ingenua de engaños muy simples como solicitarles su usuario, contraseña y segundo factor de autenticación de Banca en Línea para hacer una transferencia SINPE. También se dan casos en que la gente es astuta y sabe cómo comprobar que los están engañando validan las cédulas que l es dan contra el padrón del TSE, o cuestionan por qué les piden información de Banca en Línea para una transferencia. En mi opinión, el problema principal no es tanto el que la sociedad sea confiada sino que subestima el valor de la información. Por ejemplo: si se pasa una encuesta solicitando datos personales (nombre, # cédula, dirección, teléfono), junto con otros datos como salario, información sobre sus vehículos o viviendas, es muy probable que la gente llene esa encuesta en su totalidad, pues muchos creen que la información sensible es solamente usuarios y contraseñas (y algunos ni eso), y no valoran correctamente otra información que también es importante y puede ser utilizada para estafas.
PÁGINA 9
CAPA6- NACIONALES
¿Por qué es importante que los ingenieros le tengan la misma importancia a las medidas de seguridad de ingeniería social como a medidas de seguridad técnicas? Para un delincuente informático, es mucho más fácil, más seguro y más rentable manipular a una persona que ya tiene acceso a los sistemas para que tome alguna acción, que tratar de obtener dicho acceso. El tratar de “hackear” una página, o de adivinar la contraseña de alguna persona, es relativamente difícil. Sin embargo, es mucho más fácil convencer a alguien con un engaño para que ejecute la acción que el “hacker” necesita. Ya se han dado casos en que a través de engaños le solicitan a clientes de banco sus credenciales de Banca en Línea y segundo factor de autenticación, y voluntariamente entregan estos insumos, con lo cual las medidas técnicas son burladas sin mayor problema. Esto no quiere decir que se deban descuidar las medidas técnicas, pero sí que no debemos asumir que las mismas serán 100% efectivas.
¿Qué deben hacer las empresas nacionales para mejorar en el campo de la ingeniería social? Trabajar continuamente en concientizar a sus clientes y colaboradores en temas relacionados con ingeniería social. No se debe asumir que un comunicado es suficiente, se deben utilizar diverso canales de información constantemente para generar cultura y educar en esta materia. ¿Cómo ha ido evolucionando Costa Rica con respecto a los cuidados necesarios que se le debe tener al tema de ingeniería social, y como se encuentra actualmente? Los esfuerzos han sido aislados. En el caso del sector bancario, cada banco comunica sobre
PÁGINA 10
estos temas de manera aislada, no hay un esfuerzo conjunto. A nivel país, no hay una estrategia para concientizar a la población sobre el valor de la información y los diferentes timos para apropiarse de ella. En realidad, uno conoce del tema por las noticias que uno lee relacionadas con la profesión, pero no hay un esfuerzo constante por educar en esta materia. El país ha hecho esfuerzos enormes por reducir la brecha digital y conectar más gente a Internet, pero da la impresión de que este esfuerzo no va acompañado de una buena educación en cuanto a seguridad. Basta ver lo que algunas personas publican en sus perfiles de Facebook, los cuales, aparte de ser públicos, a veces son reveladores de información que debería ser del dominio privado de la persona. ¿Se ha visto Costa Rica muy afectada por ataques de este tipo comparada con otros países, o aún no? Es difícil hacer una comparación con otros países. Sin embargo, independientemente de las estadísticas, sí ha sido notable el aumento de engaños de diversa índole para estafar a personas en Costa Rica, tanto a través de correos phishing, como de llamadas telefónicas, de manera periódica. Esto tiene sentido, pues conforme tengamos más usuarios utilizando servicios de información, habrá mayores posibilidades de encontrar víctimas y generar ganancia para el malhechor. ¿Cuáles son los ejemplos de ingeniería social más vistos en el país? En este momento, las tendencias han sido correos de phishing redirigiendo al cliente a páginas bancarias falsas (en las cuales solicitan sus datos, incluido el “bingo card” completo”), y llamadas solicitando los datos de Banca en Línea para poder realizar una transferencia.
INTERNACIONALES
Black Hat POR RAQUEL CHAVARRÍA
Si algo sabemos es que la tecnología no espera a nadie. La tecnología avanza a toda la velocidad, y con esta vienen nuevos ataques que ponen en peligro la seguridad de las personas y las empresas. Por lo tanto, la importancia de eventos como Black Hat, este es una es un evento del cual todo informático debe estar enterado. En este evento se reúnen miles de expertos de seguridad informática, hackers y personas que les apasiona todo con respecto a la tecnología. Es una fuente de aprendizaje importante que brinda a los ingenieros y demás personas la oportunidad de aprender sobre las nuevas habilidades cibernéticas y amenazas del hacking Black Hat es un evento que se celebra desde el año 1997, entre finales de Julio y principios de Agosto cada año en la ciudad de Las Vegas en Estados Unidos. Adicionalmente de que se reúnen en Las Vegas también se celebra en diferentes continentes como Asia y Europa en fechas distintas, pero siempre anualmente. La junta directiva de estos eventos está conformada por más de 20 personas mundialmente reconocidas en el ámbito de la seguridad informática. CAPA 6
-
INTERNACIONALES
Para poder asistir al evento se debe hacer el proceso de registro respectivo para el evento en la pagina oficial (www.blackhat.com) y hacer el pago correspondiente. Las tarifas para poder asistir van entre $1895 a $2595 según con cuanta anticipación se haga la reservación. Además de esto habría que agregarle los costos de transporte y alojamiento. También se realizan concursos para poder asistir al evento. Debido al alto costo del evento, la importancia viene no tanto en asistir, sino en estar al tanto de los resultados que se muestran al finalizar cada evento. Por fortuna para los que no puedan asistir cada año, el sitio web oficial de Black Hat pone a disposición los artículos hechos por la prensa y además en su canal de youtube también hay vídeos sobre las conferencias dadas. Es importante estar al tanto, de estos eventos y sus resultados publicados para todo el público porque es necesario saber lo que está sucediendo, los nuevos ataques y nuevas tecnologías. Así como ingenieros o amantes de la tecnología implementar medidas de seguridad cada vez mejores, y tener un amplio conocimiento, evitando la ignorancia en temas de seguridad. PÁGINA 11
CAPA 6
-
INTERNACIONALES
PÁGINA 12
El peor ciberataque de la historia POR
RAQUEL
Las consecuencias que puede llegar a generar un ataque cibernético son indescriptibles. A través de
la
historia
han
existido grandes ataques
cibernéticos que han generado grandes pérdidas. Hoy hablaremos del que ha sido el ataque con más repercusiones,
conocido
como
el peor ataque
cibernético de la historia. Sin embargo, no ha sido de gran fama en comparación con las pérdidas de dinero que generó. Este fue el ataque generado a la petrolera Saudí Aramco. Tiempo
después
se
dió a conocer los
detalles de este ataque, se le atribuye su inicio a uno de los eslabones más difíciles de controlar en la seguridad, haciéndole honor al nombre de esta revista, el factor humano. Uno de los informáticos de la empresa recibió un correo y le dio click a un enlace que permitió el ingreso de los hackers a la empresa. generaron
A los
completamente
partir de ataques: destruidas
este punto, se computadoras sin
opción de
recuperarlas, otras empezaron a fallar y miles de archivos borrados.
CHAVARRÍA
Estos ataques estuvieron a punto de detener la producción del
10%
de petroleo en todo el
mundo, obligaron que la empresa no tuviera más opción que
desconectarse
totalmente
conexión
Internet. Para
esta empresa las
a
consecuencias fueron realizar
terribles,
de su
tuvieron que
todas su áreas a través de máquinas de
escribir, papel, no podían usar el teléfono, correos electrónicos, todo esto hasta 5 meses después, donde luego de una gran inversión lograron volver establecer una nueva
red y nuevas medidas y
equipos de seguridad. Los fueron
costos
y
gigantes,
probablemente
consecuencias cualquier
no
otra
generadas empresa
hubiera podido sobrevivir a
tales desastres. Nunca se
va a poder tener una
empresa 100% segura pero es importante que los ingenieros, así
como
demás empleados de la
empresa sean preparados y evaluados para evitar ataques por
medio
sucedió en este caso.
de
ingeniera social como
CAPA 6
-
INTERNACIONALES
PÁGINA 13
¿CÓMO PUEDEN PROTEGERSE DE CRÍMENES CIBERNÉTICOS LOS USUARIOS? Por Yara Corrales
El primer mecanismo para protegerse es la prevención y la información, por ello, los usuarios de Internet deben ser conscientes de los siguientes métodos utilizados por los delincuentes
E
n el mundo tecnológico en el que vivimos actualmente existen profesionales del fraude, miles de personas en todo el mundo que se ganan la vida evitando todos los protocolos de seguridad para acceder a su identidad personal, contraseñas y cuentas bancarias. Esto conlleva a que cada día hay nuevas víctimas de estos crímenes. Usted tiene la responsabilidad como usuario de Internet de tomar ciertas precauciones para protegerse de la delincuencia en línea. El FBI descubrió que más de un millón de computadores fueron afectados en todo el mundo por lo que se considera el mayor y más peligroso virus detectado. Se trató, según las autoridades, de un crimen cibernético de largo alcance que afectó a
individuos y negocios en todo el mundo. La amenaza, según el FBI, provenía del virus GameOver Zeus, conocido también como GOZeus o P2PZeus. Se trata de un malware agresivo que infecta computadores, hasta tal punto que éstos pueden ser controlados remotamente por criminales. Las autoridades instaron a los usuarios de internet a tomar medidas para protegerse de esta amenaza. En Reino Unido, la Agencia Nacional contra el Crimen advirtió que quienes están detrás del virus, podrían reactivarlo en unas dos semanas. ¿Pero qué pueden hacer exactamente los usuarios para protegerse de esta amenaza?i
El primer mecanismo para protegerse es la prevención y la información, por ello, los usuarios de Internet deben ser conscientes de los siguientes métodos utilizados por los delincuentes para convencerle para que revele su información confidencial. Relacionados con su equipo informático:
Actualice regularmente su sistema, Instale un Antivirus, Instale un Firewall o Instale software antispyware.
CAPA 6
-
INTERNACIONALES
PÁGINA 14
Actualice regularmente su sistema, Instale un Antivirus, Instale un Firewall
o Instale
software anti-spyware. Relacionados con
la navegación
en internet y la
utilización
del correo
electrónico:
contraseñas por
Utilice
seguras, Navegue
páginas web seguras y de
confianza, utilizar
Sea
cuidadoso
programas
al
de acceso
remoto, Ponga especial atención en el
tratamiento de su correo
electrónico, Evite el opción
uso de la
“recordar mi nombre de
usuario y contraseña” cuando se acceda a información financiera sensible, Usar
una contraseña
diferente para su banco y para su dirección de correo electrónico, No utilice contraseñas fáciles de
Si aun así, después de tomar todas las precauciones, ha sido víctima de un delito cibernético dejándose
deberá
asesorar que
Puede realizarlo directamente o
por un profesional. La mayoría de los expertos policiales
adivinar, o
contraseñas que se
coinciden
relacionan
estrechamente con
denunciados, lo que permite a los autores seguir llevando a cabo sus crímenes.
usted.
Su
fecha de nacimiento,
nombre o
mascota favorita; Si
utiliza una
red
inalámbrica es
importante que
nunca deje su
computadora desatendida.
en
denunciarlo.
la
gran
mayoría
de
los delitos cibernéticos no son
CAPA 6
-
INTERNACIONALES
Para nadie es un secreto, las guerras ya no solo se libran con armas, sino también en el ciberespacio donde China ha demostrado en numerosas ocasiones su poderío frente a otras potencias, siendo Estados Unidos su blanco principal. Los ataques van desde robo de información de las principales organizaciones gubernamentales hasta inhabilitación de servicios y espionaje corporativo. Si bien ya han pasado algunos años desde la Operación Aurora, la que fue en su momento uno de los ataques más agresivos a 30 de las mayores empresas estadounidenses entre ellas Google y Adobe. En su momento el ataque fue de los más sofisticados que se hubieran conocido e involucraba desde un error error en Internet Explorer que permitía inyectar malware en la computadora de los usuarios, hasta encriptado de información dentro de las redes internas de Google lo cual les
PÁGINA 15
permitió pasar de ser percibidos y acceder a correos electrónicos de activistas de derechos humanos del país. Sobra decir que esto hizo que Google y tras compañías estadounidenses salieran del país debido a la inestabilidad y constantes amenazas del gobierno chino. Si bien no se sabe a ciencia cierta quiénes fueron los de perpetradores del ataque todo parece indicar que fue el mismo gobierno el que financió la operación. Según datos de la NSA solo en el 2015 se reportaron cerca de 600 ataques exitosos tanto a compañías como entidades gubernamentales. Buena parte de los datos robados consistía en propiedad intelectual de compañías así como información personal y correos de trabajadores pertenecientes a estas entidades. A raíz de estos ataques los gobiernos de ambos países decidieron firmar un ciber acuerdo en la en cual se comprometían a realizar
Por :Fernando Mata
La amenaza cibernetica china esfuerzos conjuntos para luchar el cibercrimen en ambos países por medio de la colaboración y así lograr atender este tipo de ataques en la mayor brevedad posible, sin embargo varios expertos han indicado que posterior a la firma de acuerdo el comportamiento de los ataques no ha cambiado y los casos de espionaje corporativo que era uno de los puntos más importantes del acuerdo no han reducido su intensidad. Ya sea por falta de voluntad política o la falta implementación mecanismos de respuesta efectivos a los ataques la guerra invisible continúa, amenazando la estabilidad económica y los datos personales de millones de personas en el mundo. Posiblemente la tercera guerra mundial no se pelee con ejércitos ni con bombas, sino con hackers sentados en una computadora mirando una consola de mandos.
CAPA 6
-
TECNOLOGÍA
PÁGINA 16
POR FERNANDO MATA
El pasado 21 de octubre e l mundo cibernético vivió una de las amenazas latentes que muchos expertos en seguridad habían temido: Un ataque DDoS a través de dispositivos del internet de las cosas(IoT). La compañía Dyn, encargada de mantener los servidores de DNS de grandes compañías como Twitter, Paypal, Spotify y Github, fue víctima de una ataque de denegación de servicio a lo largo del fin de semana dejando inutilizable un amplio sector de la red. Los perpetradores esta vez resultaron ser un ejército de computadoras de propósito específico, que si bien no poseen gran poder computacional, son capaces de inundar a los servidores DNS con solicitudes dejándolos inhabilitados. En un artículo de la revista We live security de ESET se indica una de las estrategias que utilizada por los hackers en la perpetrar el ataque que lejos de resultar compleja brilla por su simplicidad y es que muchos los dispositivos del IoT después de comprados aún conservan las configuraciones de fábrica, incluyendo contraseñas y cuentas de acceso.
Aquí es cuando entra en juego uno de los peligros más grandes del IoT y es el factor humano. Si bien las compañías pueden tomar tomar todas las medidas para proteger sus dispositivos, no pueden hacer nada para controlar el comportamiento del usuario, que a la fecha es en teoría el encargado de la seguridad de los equipos que tiene en su poder. Además del factor humano es importante tomar en consideración que dentro de una industria incipiente la falta de estándares y normas de seguridad complica aún más el terreno a la hora de tomar medidas. Actualmente existen estándares IEE aplicables a IoT y nuevos esfuerzos en el campo empresarial para crear estándares de seguridad en diferentes áreas, como lo indica Alan Grau en un artículo para la IEE, estos son voluntarios y queda a decisión de las empresas si los aplican o no. La falta de legislación y regulaciones por parte de los estados en torno al tema no hace más que dejarlo en un territorio de nadie donde tanto los usuarios como las empresas salen perjudicados.
Por último un análisis de HP Labs realizado en el 2014 con el top 10 de los dispositivos más populares reportó que alrededor del 70% de los dispositivos del IoT tenían en promedio 25 vulnerabilidades, lo cual constituye un panorama nada alentador para la seguridad en la red.
FABRICADO: TRANSISTOR DE
1
NM
POR PABLO SAUMA
Este 6 de octubre los investigadores del Lawrence Berkeley National Laboratory en Estados Unidos han dado a conocer al mundo la fabricación del transistor más pequeño hasta el momento. De tan solo 1 nanómetro, el nuevo transistor hace uso de una capa de disulfuro de molibdeno (MoS2) y un nanotubo de carbono para su funcionamiento, y debido a su tamaño este transistor podría revolucionar la fabricación de procesadores en los años venideros.
CAPA6
-
TECNOLOGÍA
Desde hace años el tema de la miniaturización de los componentes electrónicos ha sido un tema de gran relevancia para las compañías dedicadas a la fabricación de procesadores, las cuales cada vez tienen más dificultad para hacer cumplir la Ley de Moore. Y es que conforme se acercan al gran “muro” de los 5 nm (punto donde se estima empiezan a ocurrir eventos cuánticos que ponen en riesgo el correcto funcionamiento de los componentes) cada vez se ha dificultado y apresurado más la carrera por encontrar una alternativa a los transistores de silicio utilizados actualmente.
PÁGINA 17
ESTE DESCUBRIMIENTO REVELA QUE A
Ú
N QUEDA MUCHA
INVESTIGACI
Ó
N POR REALIZAR
Por esto este hallazgo ha sido motivo de celebración en el mundo computacional, donde siempre se busca que con cada año se den mejoras significativas en los modelos de procesadores, tanto a nivel de velocidad (o ciclos de reloj) como en uso eficiente de energía (el cual está directamente relacionado con el tamaño de los transistores o compuertas eléctricas. Sin embargo, este descubrimiento revela que aún queda mucha investigación por realizar y la resalta la importancia de la selección de materiales a utilizar a la hora de diseñar esta clase de componentes. También genera un faro de esperanza para el continúo desarrollo de nuevas tecnologías y esquivar el final impuesto por las limitantes físicas de los circuitos de silicio.
LA LEY DE MOORE SE HA VISTO DESAFIADA POR LAS LIMITANTES FÍSICAS
CAPA6
-
TECNOLOGÍA
Ley de Moore: Aunque no es una ley en el sentido estricto de la palabra, la Ley de Moore (proveniente de Gordon E. Moore, cofundador de Intel) es una predicción que declara que el número de transistores en un procesador se duplica cada 2 años aproximadamente, lo cual a su vez conlleva una miniaturización en el tamaño de los componentes y una reducción en los costos de fabricación. A pesar de ser una predicción hecha en 1965, la Ley de Moore ha demostrado ser verdadera desde entonces: durante décadas las compañías productoras de microprocesadores han estado en una continua carrera evolutiva por diseñar procesadores cada vez más pequeños, más rápidos y de menor coste. Sin embargo, la Ley de Moore se ha visto desafiada por las limitantes físicas que antes parecían distantes y que podrían poner un alto al desarrollo de cada vez más pequeños procesadores.
PÁGINA 18
Esta superposición de estados según los especialistas significa que podría existir una solución para muchos de los problemas que actualmente se consideran de avanzada complejidad computacional. Un ejemplo de este es el problema de la eficiente factorización de números en sus componentes primos.
COMPUTACIÓN CUÁNTICA
Esta gran capacidad para la resolución de problemas es lo que preocupa a los expertos porque, de darse solución al problema de la factorización numérica, la seguridad basada en llave pública se vería en gran riesgo (ya que se basa en la complejidad de dicha factorización). Esto a su vez supone un riesgo para todo el sistema financiero y de comunicaciones en la red, ya que todas las transacciones y comunicaciones actualmente se encuentran cifradas utilizando dicho algoritmo.
POR PABLO SAUMA
EL PELIGRO DE LA LLAVE PÚBLICA Cada día las computadoras cuánticas están un paso más cerca de convertirse en realidad y esto a su vez conlleva todos los posibles peligros que estas poderosas máquinas podrían suponer. Desde su concepción en los años ochentas, las computadoras cuánticas se han mantenido al tope del imaginario del gremio informático y científico mundial, los cuales se han visto maravillados por el potencial de las capacidades computacionales de dichas máquinas. Haciendo uso de qbits (bits cuánticos ) las computadoras cuánticas permiten tener los clásicos estados de 1 y 0 de las computadoras convencionales, pero a su vez permiten una superposición de dichos valores, es decir, se puede encontrar en todos sus estados simultáneamente dentro de un mismo bloque de qbits. Sobre ellos se pueden aplicar compuertas cuánticas para realizar operaciones, y al concluir un algoritmo se puede colapsar el sistema para así obtener un resultado con alta posibilidad de ser el correcto.
CAPA6
-
TECNOLOGÍA
Y aunque aún no se ha logrado realizar exitosamente la construcción de una de estas máquinas a gran escala, se estima que existe una buena posibilidad de que dichas máquinas surjan durante la próxima década. Por todo esto, gran cantidad de instituciones y gobiernos se encuentran interesados en buscar la manera de reforzar la seguridad actual, buscando nuevas metodologías que permitan cambiar de estrategia de cifrado con rapidez en caso de que sea necesario , y en empezar la búsqueda de sistemas de cifrado que sean seguros ante ataques cuánticos. Sin duda esta lucha recién empieza y es importante empezar a diseñar medidas de seguridad ante un evento que, sin duda, está cada día más próximo.
"Surjan durante la próxima década "
PÁGINA 19
ñ
ñí
Desde hace a
os Elon Musk cofundador de
Es
Tesla Motors
ha
ha anunciado importantes mejoras
venido impresionando al
mundo con sus crecientes avances en la
í
í
tecnolog a automovil stica.
ñ
este ha
a
octubre de
o el famoso inventor y empresario
í
ó
anunciado que los veh culos aut
í
podr an llegar
ó
pr
En
ximo,
a
estar
ó
invenci
n
ñ
disponibles el
í
que
cambiar el paradigma
nomos
podr a
del
a
o
llegar
a
transporte en el
ó
la
inserci
í
n
al
Motors
mercado ha
de sus
asegurado su
ó
lugar en el mercado por medio de la creaci
í
veh culos
haciendo
altamente
uso
de
sofisticados:
electricidad
para
í
que
permit an
a
los
su
ú í
funcionamiento e implementando m sensores
n
ltiples
eso por lo que la compa
í
sus
futuros veh culos
modelos
á
s potente que
espera que el
software
ó
ñí
Vehículos autónomos: el futuro a la vuelta de la esquina
movimiento
ó
actualizaci
í
é
noma
est
autopistas
y
caminos
-
TECNOLOGÍA
lista
maravilla
í
vendr a
a
í
depender an
a
una
a los tico
despejados,
ya hubieran percibido bien los su alrededor. Definitivamente,
tenido
el
jugada
í
problemas que ello implica.
í
n as
í
tiene
í
la tecnolog a de
ó
ó
inserci
n tan sencilla de una mejora tan
importante
í
en sus veh culos.
la
a
n
a
enfrentar, principalmente en
á
mbito
legal
encuentra
á
rea
ya
de
importante
(con
la
é
n
el
que se
definitivamente en un
gris
tambi
ó
permiti
ú
nomos
muchos retos
brica fue en gran parte que
los
a prevenir muchos de los
viviendo
gica
gica
al menos de manera ideal, vendr an
hardware previamente
á é
estrat
ximo
del factor humano y,
la
no
ó
legislaci
solo
implicaciones de
í
pr
sistemas de transportes que ya no
los sensores
haber
ó ó
el
tecnol
revolucionar
considerar
veh culos
una
completamente
siempre que hubiera velocidad constante y
la
CAPA6
ó ó á
lanz
n de software que permiti
instalado desde la f
POR PABLO SAUMA
a, la cual en
veh culos entrar en modo piloto-autom en
permita
n
o. Esta
ú
fueron bien aprovechados
inteligente
se
que
ó
navegaci aut
y
veh culos aut
un
n con
el anterior,
A
posteriormente por la compa
los
á
S y X. Ellos vendr
veh culos
prevenir colisiones.
Estos sensores
a
nuevo hardware m
a
veh culos, Tesla
de
para
ñ
mundo. Desde
por
í
esta tecnolog a
podr amos
un
a
posibles
í
que
Es
empezar
las
en
n.
estar
ñ
par de a
os) sino
ó
tomar medidas de acci
n
para cuando llegue no produzca un impacto
tan
brusco
como
la
í
entrada de Uber al pa s.
PÁGINA
20
CAPA6
-
ENTRETENIMIENTO
PÁGINA 21
Un Hacker real en la televisión
Una mirada a la realidad POR: LAURA FERNÁNDEZ Desde que tenemos noción en la televisión y en el cine se muestran los hacker, como personas con problemas para socializar con el mundo, donde su única forma de expresarse con el mundo exterior es a través de los medios digitales. En algunos casos personas con sobrepeso, las cuales su dieta se basa en bebidas energéticas y comida chatarra.
A estos individuos se les presenta con la habilidad de sentarse frente a una computadora y escribir sin cesar hasta poder crear un código o vulnerar algún sistema, donde por lo general se mueven grandes cantidades de dinero sin que sean detectados o ingresar un malware a alguna agencia secreta del mundo.
Esa clase de errores son molestos debido a que si queremos que las personas tengan mayor cuidado con la tecnología,
CAPA6
-
ENTRETENIMIENTO
El uso de la descripción anterior, es un hecho que la imagen del informático se vea dañada, ante la sociedad en sí. Sino también concepto erróneos de los que se puede hacer en la tecnología, donde estos hacker ficticios hacen cosas que no se pueden hacer o el modo de hacerlas como un episodio de Criminal Minds donde un asaltante entra a un banco y se roba bitcoins (temporada 9 episodio 7). Esa clase de errores son molestos debido a que si queremos que las personas tengan mayor cuidado con la tecnología, esta no es la forma de hacerlo y por mucho que queramos, la educación de gran parte de la sociedad es en la televisión. Entonces llega a salvarnos Mr Robot, una serie con dos temporadas. La cual cuenta con la asistencia de para el guión de Hackers de la vida real, así que todos los ataques que se realizan, si se pueden hacer. La historia narra la vida de Elliot Alderson (Ramik Malek) ingeniero en informática, el cual labora en la empresa All Safe (que brinda servicios de seguridad a grandes corporaciones) como técnico de seguridad. Hasta que un día un servidor de la empresa financiera (E Corp) más importante se ve atacado. A partir de este incidente la vida de Elliot se ve entrelazada con un grupo hacktivista, cuyo objetivo pretende destruir al emporio financiero más poderoso del mundo. La serie posee componentes como la ingeniería social un factor donde se obtienen datos de las personas sin que lo noten, el protagonista demuestra esta habilidad ya que cuando conoce a alguna persona investiga todo las los referente a esta. Hasta sus debilidades. Esto le permite al protagonista colocarse en un posición de control ante las personas que están a su alrededor. El trabajo de Elliot no es solitario cuenta con el grupo de hackers, para lograr su objetivo. Este elemento está bien logrado en la serie, todos realizan su aporte dan ideas y de alguna manera se protegen entre sí. Estos elementos se muestran muy bien logrados en la serie. La única falencia que tiene la serie, y es comprensible porque sin algo de drama no se puede vender un producto televisivo es la incorporación de ciberejército reclutado por China (el actual enemigo económico de Estados Unidos).
PÁGINA 22
Citas erradas en otras series. Criminal Minds S9E12
Y que no fallan al mostrar al personaje principal con problemas para socializar, además de un consumo excesivo de drogas, las cuales lo llevan a tener alucinaciones que lo llevan a transgiversar la realidad en la que vive. A pesar de estos detalles que son parte del cliché televisivo. La series contiene elementos del hacking que ocurren en la vida real, los cuales se han mostrado en la última DEFCON. En los cuales se tiene el uso de un Ransomware para poderse adueñar del control de un casa inteligente. Como así también el muy discutido de caso donde se pudo ingresar a los sistemas de comunicación de las patrullas policiales de Estado Unidos. Dentro estos ejemplos no podemos dejar de lado el uso de un Rubber Duck USB, este aparato que parece sacado de la ciencia ficción. En realidad es un producto que se comercia en el mercado. El cual tiene sus ventajas en el medio de seguridad informática. La serie consta de un trama novedoso, acertado y lo más importante apegado a la realidad, Estamos en la espera que su tercer temporada mantenga estos elementos que la hacen única para mantener al espectador al tanto de los nuevos acontecimientos en la nueva entrega del 2017.
CAPA6
-
ENTRETENIMIENTO
BIENVENIDO A LA HACKNET POR FERNANDO MATA
Enciendes la computadora, ves como una serie de comandos se empiezan a cargar en tu pantalla y no tienes idea de lo que está sucediendo, después recibes el póstumo mensaje de un hacker que advierte que tu privacidad y la de todos los que conoces está en peligro. Hacknet es un juego que nos pone en la posición de un hacker ético moderno que a través del hacking trata de evita una amenaza mayor para la sociedad. El juego en sí es bastante sencillo y la gran cantidad de tutoriales que nos ayudan a completar las diferentes misiones, permite que cualquier persona sea capaz de jugarlo. Si bien para los que somos más doctos en la materia lo primero que identificamos es que no nos encontramos frente a un equipo Unix común y corriente, es más un sistema operativo nuevo creado por el fallecido hacker, HackOS un sistema que promete infiltrarse a través de cualquier hueco de seguridad que se le presente. Una vez en el juego tendremos la oportunidad de ejecutar ataques SSH, apoderarnos de redes de computadoras enteras y robar información de nuestros enemigos y usarla en nuestro beneficio.
PÁGINA 23
La navegación se realiza la misma en una terminal Linux y durante el proceso del hackeo necesitaremos analizar ciertos archivos o sustraer scripts de otros hackers para nuestro beneficio. Además para avanzar en la toparemos con misiones no tan éticas como acceder a bases de datos de compañías para robar información para ser usada posteriormente. El juego tiene sus partes que podría decirse que pecan por sobresimplificación ya que con comandos como “probe” se puede analizar un equipo en busca de brechas de seguridad y “porthack” que se encarga de hackear mágicamente un puerto en un abrir y cerrar de ojos. Los que sabemos de la materia tenemos en cuenta que esto no es tan fácil como escribir un comando en la terminal y listo, pero se puede hacer la salvedad tomando en cuenta que el juego está dirigido para audiencias que pueden no tener idea de cómo realmente todo funciona en la vida real. Si bien el juego luce más como un simulador de hacking peliculero con bonitos gráficos y comandos como que son el sueño de cualquier hacker, si logra el objetivo de dar a la audiencia la experiencia de ser un hacker casi omnipotente. Más allá de si la experiencia es realista o no(recordar que es solo un juego) es altamente recomendado para todos aquellos que deseen conocer un poco más del mundo del hacking y que tengan una noción general de cómo suceden los ataques.
CAPA6 -OTROS TEMAS POR LAURA FERNÁNDEZ
PÁGINA 24
Primero para muchas
LO QUE CALLAMOS LOS
ó
Á
INFORM Diariamente que
el
computaci
TICOS
vemos en
"hey este
ó
los medios de comunicaci
í
pa s tiene un faltante
personas
dedicadas
7
aproximadamentes
mil
a
de la
í
tecnolog a
ñ
al a
n
fuerza laboral en
ú
o. Ese n
de
mero suena
muy alentador, considerando si actualmente se es un estudiante
universitario
graduarse, por antes
lo menos
de recibir su
en dicha se
á
rea, a
punto de
tiene la seguridad que
í
t tulo universitario va encontrar
trabajo en el campo para el cual estudio. Lo cual refleja una ventaja
en el
mercado laboral. Mas a sabiendas
que somos profesionales cotizados, fuera de nuestro campo
profesional
estereotipos
tenemos
que
luchar
contra
tan arraigados en las sociedad, que en
ocasiones nos dejan
una
é
que otra an
cdota o nos
í
dejan un sin sabor de boca. A lo largo de este art culo veremos y
algunas
muchas
í
(s
situaciones
en
las que muchos
porque aunque seamos pocas, si hay
mujeres en el campo).
n
á
o inform
nico
de
ni
á
est
tenemos
microondas
se
mi
les viene a la mente
<inserte
su preferencia> y
poco desalentador veces
tica,
puede arreglar
ó
electr
personas al escuchar la palabra
de
la
ó ó
situaci
idea
de
oficina ,
de
el
artefacto
gratis", es un
n porque
c
mo
pero
algunas
funciona
quieren
el
que
lo
arreglemos,
y cuando se les explica que uno no hace
esas
si
cosas,
parte no muchas
no lo que hace es crear software (la
tangible, veces
que
hace
ú
"usted es un in
funcionar a
plicas de las personas
til, si no quiere ayudarme mejor me lo
ó
dice, entre otras que calan el coraz
ó
Perd
é
n
las cosa),
é
se reciben r
yo tambi
n".
n soy humano con sentimientos y
eso duele. Pero cuando podemos ayudarles, ya que los
á
inform
ó
ticos poseemos un gran coraz
recibimos y pretenden que
í
garant a descaro
de
por vida.
la
n, ni las gracias
ó
reparaci
En otros casos
n
tenga
ha sido tal el
de las personas de solicitar que les hagamos
é4 5
las tareas escolares de sus hijos, si claro estudi
ñ
a
ó
os para poderle hacer la presentaci
su hijo o hija.
-
n de canguros a
CAPA6
-
OTROS TEMAS
PÁGINA 25
ó
Por otro lado esta los que creen que podemos entrar a
merece su reconocimiento econ
cualquier
de una gran
sistema. Y a quien no le ha pasado que sale
alguna persona, si de esas personas tan seguras de si, que nos
piden
que le
Facebook o como
é ú
desbloquear el tel
su pareja, o le consiga
el
crack de alg
a del
impuestos
fono celular de
í
d a,
es
la forma de
antes de ir a buscar
é
primero porque no s
á
problem
tica con
su pareja,
y
ó á
un psic
le ayude.
Adem
por qu
en realidad no quiero
saber. En serio no me interesa ese tipo busque
é
cual es la
hackear
un
sistema no es
ticas
de
virus,
entre
su computadora,
otras
por favor
en Google, cualquier cochinada
no busca una alternativa libre, open source. Si vez
de
pagar los
ó
trescientos
logo o cualquier otro profesional que
s
inform
le gusta el producto en
de temas,
dicos, pagan
s instalar un crack hoy en
llenar
á
amenazas
esas solicitudes, pero no las voy a hacer porque tengo tica profesional,
seguros m
á
donde se establecen. Adem
n software de
é
y
y algunas contribuyen a las comunidades
pago. Primero aunque tal vez pueda hacer alguna de
é
n porque estas le pagan a sus
empleados, tanto salarios
ñ
consigamos la contrase
ó
corporaci
mico, si aunque sea
d
á
m
s de
lares por una licencia privativa,
donde al cuenta de Paypal del proyecto veinte
ó
tan
d
í
A
ó
lares o lo que su coraz
pesar
de
ciertas
n le dicte.
situaciones
amamos
lo
que
emocionante como se muestra en las pel culas,donde hacemos, se ve al hacker
escribir a una velocidad similar a la luz,
á
con interfaces gr no
í
ficas
que parecen un videojuego. Y
es as , muchas veces
á
es una de las tareas m
nos sentimos orgullosos,
á
obst
culos
tal vez existan
en el camino, pero los superamos porque
sabemos que
somos buenos en lo que hacemos, y lo
s que debemos proponernos es educar a la sociedad de
aburridas
y
tediosas,
donde
se
mira por horas la
ó
pantalla de una computadora, con un mont de
ó
c
í
lo que realmente cual
digo para encontrar una vulnerabilidad. Realizar
campo
á
dem pruebas
para
ver cual responde o cual no.
ó
Y con la segunda petici software
CAPA6
es el
-
OPINIÓN
í
n, no promuevo la pirater a de
trabajo
hacemos, sin importar
n de l neas
de otra persona, por lo cual
trabajan
s hacen.
é
tambi
n en
las personas valorar lo que los
Seguridad en CMS POR FERNANDO MATA
correspondientes a los archivos e Actualmente
los
sistemas
a la hora de realizar violar
la
administradores de contenido(CMS
seguridad. Y no es para menos, el
en inglés) se encuentran en auge
sitio cvedetails.com que se encarga
por la simplicidad que poseen para
de recolectar información respecto
montar un sitio web en cuestión
a
de
Internet, reportó que en lo que va
minutos.
Además
otras
la seguridad de los sitios en
características como su naturaleza
del
Open Source y una basta
vulnerabilidades en la plataforma,
comunidad de desarrolladores los
siendo el Cross Side Scripting(XXS)
hacen opciones aún más atractivas
el ataque más efectivo.
para los desarrolladores web.
Si bien Wordpress realiza parches
Sin
que buscan solucionar problemas
embargo
muchas de estas
2016 se han reportado 20
características los hacen blancos
exclusivamente relacionados con
aún
la seguridad, queda
más
atractivos
hackers y es
para
los
que su debilidad
bajo
radica en su naturaleza: sistemas
administradores
de
actualizaciones, las cuales muchas
propósito
general,
código
estas
abierto a disposición de cualquiera
veces por descuido o
y
compatibilidad de la plataforma
con una buena cantidad de
usuarios no programadores.
son omitidas. Además de acuerdo con blogs expertos en tecnología
De
acuerdo
con
el
sitio
como el de Tony Pérez,
w3Techs.com los CMS más usados
perezbox.com, se recomienda a los
actualmente son Wordpress(58%),
administradores realizar chequeos
Joomla(7%) y Drupal(5%). Dados
y
estos
seguridad como asignar privilegios
porcentajes
no es
de
tomar medidas
sorprendernos que Wordpress sea
y
roles a
el CMS preferido por los hackers
permisos
básicas
usuarios,
que permitan mejorar la seguridad de la plataforma. Otro de los grandes problemas de Wordpress
como
lo
indica un
estudio publicado en el 2015 por Sucuri, una compañía especializada en seguridad, demostró numerosas brechas de seguridad varios de los plugins más populares. Esto representa un reto aún más grande para la comunidad de WordPress en general ya que al contar con un ecosistema libre de creación y publicación tanto de plugins como
responsabilidad de los realizar
instalar plugins o pagar servicios
de
asignar
temas creados por la comunidad no
existe
ningún control de
seguridad a la hora de llevarlos a producción y distribuirlos por la red. En conclusión Wordpress y otros CMS son ideales
para páginas
sencillas que no comprometan la información de los usuarios y en casos en que la seguridad no sea una prioridad, de lo contrario es más
recomendable
tecnologías
utilizar
que permitan crear
soluciones a la medida y un mayor control sobre la información que se maneja.
CAPA6
-
TEMA LIBRE
PÁGINA
26
CAPA6
-
OPINIÓN
PABLO SAUMA CHACÓN
Privacidad vs. Seguridad
Uno de los temas más polémicos de los últimos años en relación a los medios de comunicación digitales es el conflicto existente entre el derecho a la privacidad de las personas y el poder de acceso que deberían tener los gobiernos . Esta discusión entre privacidad y lo que muchos han categorizado como “la seguridad de todos” ha tomado especial importancia en los medios últimamente por situaciones tan complejas como el caso del Iphone bloqueado del terrorista en San Bernardino, caso en el que la compañía Apple se rehusaba a crackear el Iphone de dicho terrorista ya que eso constituía una violación a la seguridad y privacidad de los usuarios. Este tipo de polémicas ha puesto en entredicho a la población, donde algunas personas no quieren ceder su privacidad y el derecho a que sus comunicaciones no sean leídas por terceros y otros que al contrario no tienen ningún problema con la violación de sus comunicaciones si esto significa que se cumplirían promesas de prevención de futuros atentados por parte de las agencias de vigilancia. Primero que nada, antes de tomar una decisión de semejante magnitud tenemos que considerar con mucho cuidado la capacidad de las agencias de vigilancia para identificar posibles atentados: ¿Por qué en un pasado dichas agencias no fueron exitosas antes de que los medios de comunicación cifrados fueran de amplia utilización?
PÁGINA 27
Qué capacidad tendría una agencia de procesar capacidades de información tan voluminosas y de diferentes tipos y encontrar en ellas información de una amenaza real? ¿Qué garantiza que tanto poder no podría ser utilizado con otros fines? ¿Cómo se justifica el actuar de una agencia de forma previa a que se cometa un crimen? Otra cuestión a considerar antes de tomar una decisión es la motivación que tienen las personas detrás de la renuncia de sus derechos: ¿Lo hacen por miedo? ¿Realmente les parece la mejor solución posible al problema? ¿La privacidad les parece irrelevante y piensan que todo el mundo debería pensar igual que ellos? ¿No han considerado o desconocen la verdadera importancia de la privacidad en sus vidas? ¿
“ Tenemos que considerar con mucho cuidado la capacidad de las agencias de vigilancia para identificar posibles atentados.”
Con respecto a esto mi mayor temor es que la respuesta a dicha pregunta sea el miedo, pero algo que no se debe olvidar es que cuando se toma la búsqueda de seguridad por cualquier medio como respuesta al miedo, y dejamos que este instinto nos guíe ciegamente ¿No nos estamos comportando acaso como animales? ¿Qué diferencia tiene una persona dispuesta a sacrificar los derechos de los demás mientras corre a ocultarse tras un gobierno empoderado de un búfalo que ocultándose entre su manada busca escapar de las fauces de las bestias al cruzar el río? No podemos dejar que nuestras reacciones se vean meramente guiadas por el miedo o nuestros instintos más primitivos, es nuestro deber discernir como individuos que clase de sociedad es la que queremos crear. Es por eso que hago un llamado a tomar mayor conciencia de las decisiones que se están tomando constantemente en nuestro país y a nivel internacional con respecto a estos temas , y a reconsiderar la importancia que tiene la privacidad en nuestras vidas, que no es solo lo que hablamos con los amigos, ni las fotos que compartimos, sino nuestras ideas y pensamientos más íntimos, así como nuestro diario vivir, y no es correcto dejar en manos de otras personas la supervisión de estos.
BIBLIOGRAFÍA Madrigal, L . (abril 17, 2015). Universidad de Costa Rica reporta masivo ataque cibernético en su contra. Octubre 31, 2016, de El Mundo Sitio web: http://www.elmundo.cr/universidaddecostaricareporta masivo ataqueciberneticoensucontra/ Araya, J. ( Enero 29, 2014). UNIVERSIDAD y otros medios víctimas de ataques informáticos. Octubre 31, 2016, de Semanario Universidad Sitio web: http://semanariouniversidad.ucr.cr/pais/universidadyotrosmedios vctimasde ataquesinformticos/ Aguero, S. (Agosto 23, 2016). Costa Rica se alista para proteger sus datos en Internet. Octubre 31, 2016, de La Republica Sitio web: https://www.larepublica.net/noticia/costa_rica_se_alista_para_proteger_sus_datos_en_internet/ Fernández, L. (Octubre 27, 2016).Comunicación personal. Delitos Informáticos. Entrevista con el Lic Ing. Roberto Lemaître. Cabrera, R. (Febrero 23, 2013). Las redes sociales y el impacto en la vida cotidiana. Octubre 31, 2016, de El Observatorio Sitio web: http://oiprodat.com/2013/02/24/lasredessocialesyelimpactoenlavida cotidiana/ Chavarría, R. (Noviembre 01, 2016). Ingeniería social en Costa Rica. Entrevista al Ing. Jorge Castro Black Hat. (2016). Black Hat. Recuperado el 24 de Octubre de 2016, de Black Hat: https://www.blackhat.com Cruz, N. (9 de Agosto de 2016). Los 5 mejores “Hacks” del Black Hat 2016. Recuperado el 24 de Octubre de 2016, de 1000 Tips Informáticos: http://www.1000tipsinformaticos.com/2016/08/los5mejoreshacksdel blackhat2016.html Jiménez, R. (7 de Agosto de 2015). Los ‘hackers’ toman Las Vegas. Recuperado el 24 de Octubre de 2016, de El País: http://tecnologia.elpais.com/tecnologia/2015/08/06/actualidad/1438837774_547541.html Knowles, A. (4 de Mayo de 2016). How Black Hats and White Hats Collaborate to Be Successful. Recuperado el 25 de Octubre de 2016, de Security Intelligence: https://securityintelligence.com/howblackhatsandwhite hatscollaboratetobesuccessful/ Pagliery, J. (6 de Agosto de 2015). Se conocen nuevos detalles del hackeo más grande en la historia. Recuperado el 26 de Octubre de 2016, de CNN: http://cnnespanol.cnn.com/2015/08/06/seconocen nuevosdetallesdelhackeomas grandeenlahistoria/#0 Valle, M. (11 de Agosto de 2015). Sacan a la luz el mayor ciberataque de la historia. Recuperado el 26 de Octubre de 2016, de Globb Security: http://globbsecurity.com/aramcomayorciberataquehistoria35593/ Redacción BBC. (Junio 03, 2014). Cómo defenderse del mayor ataque cibernético jamás visto. Octubre 31, 2016, de BBC Mundo Sitio web: http://www.bbc.com/mundo/noticias/2014/06/140603_tecnologia_ataque_cibernetico_mes PORTALEY. ( Abril 17, 2012). Consejos para protegerse de delitos en Internet. Octubre 31, 2016, de Portaley.com Sitio web: http://portaley.com/2012/04/consejosparaprotegersededelitoseninternet/ Recovery Labs. (2015). Relacionados con su equipo informático. Octubre 31, 2016, de delitosinformaticos.info Sitio web: http://www.delitosinformaticos.info/consejos/sobre_seguridad_informatica.html Dilanian, K. (2015, 19 de Octubre). Chinese cyberattacks on U.S. companies continue, despite cyberagreement | PBSNewsHour Recuperado el 17 de Noviembre del 2016, de http://www.pbs.org/newshour/making sense/despitecyberagreementchinesecyberattacksuscompaniescontinue/ Rollins, J. (2015, 16 de Octubre). U.S.?China Cyber Agreement Recuperado el 17 de Noviembre del 2016, de https://www.fas.org/sgp/crs/row/IN10376.pdf
Sanger, D. (2016, 20 de Junio). Chinese Curb Cyberattacks on U.S. Interests, Report Finds Recuperado el 17 de Noviembre del 2016, de http://www.nytimes.com/2016/06/21/us/politics/chinauscyber spying.html?_r=0 Windrem, R. (2015, 30 de Julio). Exclusive: Secret NSA Map Shows China Cyber Attacks on U.S. Targets NBC News NBC News, 1. Recuperado el 17 de Noviembre del 2016, de http://www.nbcnews.com/news/usnews/exclusivesecretnsamapshowschinacyberattacksus targetsn401211 Zetter, K. (2010, 14 de Enero). Google Hack Attack Was Ultra Sophisticated, New Details Show Wired, 1. Recuperado el 17 de Noviembre del 2016, de https://www.wired.com/2010/01/operationaurora/ Hilton, S. (2016, 26 de Octubre). Dyn Analysis Summary Of Friday October 21 Attack Recuperado el 17 de Noviembre del 2016, de http://hub.dyn.com/dynblog/dynanalysissummaryoffridayoctober21attack Cobb , . (2016, 24 de Octubre). 10 things to know about the October 21 IoT DDoS attacks Recuperado el 17 de Noviembre del 2016, de http://www.welivesecurity.com/2016/10/24/10thingsknowoctober21iot ddosattacks/ Grau, . (2016, 29 de Febrero). IoT Security Standards ? Paving the Way For Customer Confidence | IEEE Standards UniversityRecuperado el 17 de Noviembre del 2016, de http://www.standardsuniversity.org/emagazine/march2016/iotsecuritystandardspavingthewayfor customerconfidence/ Miessler , D. (2014, 29 de Julio). HP Study Reveals 70 Percent of Internet of Things ... Hewlett Packard Enterprise CommunityRecuperado el 17 de Noviembre del 2016, de https://community.hpe.com/t5/ProtectYourAssets/HPStudyReveals70PercentofInternetofThings Devices/bap/6556284#.WC6LkPkrLIW Gartenberg, C. (2016). The world's smallest transistor is 1nm long, physics be damned. Recuperado de: http://www.theverge.com/circuitbreaker/2016/10/6/13187820/onenanometertransistorberkeleylab mooreslaw Yang, S. (2016). Smallest. Transistor. Ever. Recuperado de: http://newscenter.lbl.gov/2016/10/06/smallest transistor1nmgate/ Noyes, K. (2016). Why quantum computing has the cybersecurity world whiteknuckled. Recuperado de: http://www.pcworld.com/article/3117728/security/whyquantumcomputinghasthecybersecurityworld whiteknuckled.html Bradley, R. (2016). Tesla Autopilot: The electricvehicle maker sent its cars a software update that suddenly made autonomous driving a reality. Recuperado de: https://www.technologyreview.com/s/600772/10 breakthroughtechnologies2016teslaautopilot/ TheGuardian.com (2016). Elon Musk says fully selfdriving Tesla cars already being built. Recuperado de: https://www.theguardian.com/technology/2016/oct/20/elonmusksaysfullyselfdrivingteslacars alreadybeingbuilt Virgini G. (2016). http://ppcorn.com/us/2016/02/18/mrrobot15thingsyoudidntknowpart1/. Octubre 29, 2016, de PPCORN Sitio web: http://ppcorn.com/us/2016/02/18/mrrobot15thingsyoudidntknow part1/ Team Fractal Alligator (s. f.). Hacknet [Software]. Adelaide, Australia: Team Fractal Alligator Munroe,R. (Noviembre 25, 2014). Reasons why people who work with computers seem to have a lot of spare time. Octubre 29, 2016, de XKCD Sitio web: http://imgur.com/gallery/D2j11jY Perez, T. (2016, 12 de Febrero). SECURITY IN OPENSOURCE CMS APPLICATIONS Recuperado el 18 de Noviembre del 2016, de https://perezbox.com/2016/02/websitesecurityinopensourceapplications/ Market share trends for content management systems, November 2016 (s. f.). Recuperado el 17 de Noviembre del 2016, de https://w3techs.com/technologies/history_overview/content_management Wordpress Wordpress : CVE security vulnerabilities, versions and detailed reports (s. f.). Recuperado el 17 de Noviembre del 2016, de https://www.cvedetails.com/product/4096/WordpressWordpress.html? vendor_id=2337
Esta Revista forma parte del trabajo final del curso: Ci-2300 TEMAS ESPECIALES EN SISTEMAS DE INFORMACION: Aspectos Jurídico-Informáticos de la Ciberseguridad. De la carrera de Ciencias de la Computación e Informática de la Universidad de Costa Rica El curso que fue impartido por el Lic. Ing Roberto Lemaître Picado, en el segundo semestre del 2016. Queremos destacar la labor e interés del profesor durante el semestre y agradecer a todas las personas que se hicieron presentes en las charlas que se impartieron durante el curso. Gracias.