Cyber seguridad

Y por que no podemos ser felices usando nuestras computadoras

Invertir en crimen

  • El crimen es un negocio
    • Evaluar como costo/beneficio/riesgo

Ventajas del crimen digital

  • Relativamente poco perseguido
  • Dificil de rastrear/demostrar

Objetivos/Ganancias

  • Bases de datos (indirecto)
    • Se vende por dinero a terceros
    • Se pueden usar para otros crímenes
  • Ataques directos
    • Pago de "rescates"
    • Tipos
      • Bloqueo de archivos
      • Bloqueo de servidores

Métodos

  • Ingeniería social
  • Ataques a equipos personales
  • Ataques a servidores

Ingeniería social

  • "Una cadena es tan fuerte como su eslabon más debil"
  • Se basa en la interacción humana
    • Obtener información del funcionamiento de las cosas
    • Realizar acciones que alguien no debería hacer

Ataques a Equipos Personales

  • Infectar equipos personales y contagiar red
  • Objetivo:
    • Obtener archivos confidenciales
    • Contraseñas
    • Bloqueo de archivos
  • Vectores:
    • Apertura de archivos infectados.
    • Acceso de terceros a nuestros equipos

Ataques a servidores

  • Revisar configuraciones mal implementadas
  • Acceso vía credenciales
  • Objetivo:
    • Bloqueo de acceso (recompensa)
    • Robo de datos

Tipos de ataques

  • No dirigidos (muy comunes)
  • Dirigidos (planificados)

Ataques no dirigidos - Personales

  • Llamada del tio
  • Un correo con ganancia de u premio
  • Alguna cuenta cerrada o pronto a cerrar
    • Pueden pedir meter datos en un sitio apocrifo
  • Debes dinero a Hacienda
    • Abrir un archivo e infectar el equipo.

Ataques no dirigidos - Servidores

  • Ataques a servidores con vulnerabilidades comunes
    • uks.exam.mx -> 200-300 ataques diarios

Ataques dirigidos - Personales

  • Alguien pregunta por información personal o de conocidos
  • Piden la realización de alguna tarea y se se quieren saltar autorizaciones

Ataques dirigidos - Servidores

  • Uso de credenciales obtenidas por otros métodos

Ataques dirigidos - Versión Extrema

  • Robo de 25 Millones de USD a una empresa usando deepfakes
  • Invitaron a una junta a un empleado donde el era la única persona real en una llamada, todos sonaban y veían como conocidos.

Prevencion

Acciones individuales

  • No dar información de más
  • Sospechar de todo correro anomalo (e ignorar)
    • Revisar remitente
    • No abrir documentos
  • Corroborar con la persona que supuestamente pueda estar involucrada.

Acciones servidores

  • Correcta administración de servidores
  • Revisión de vulnerabilidades en código
  • Aferrarse a dios

Ataques específicos -> ¿De dónde viene la información?

  • Servicios previamente atacados
  • Venta de información personal
  • La información puede contener: nombre, direcciones, contraseñas y otros datos personales.
    • Si se tiene el mismo correo y contraseña en diferentes servicios -> Todos los accesos están comprometidos

Tiempo para romper una contraseña (2023)

Cars Núm Min May TLA TLA + Simbolos
4 <1s <1s <1s <1s <1s
8 <1s <1s 28s 2m 5m
12 1s 14h 6a 53a 226a
16 1h 713a 46ma 779ma 6ba

Las contraseñas y tu

  • Mala gestión de contraseñas afecta en varios niveles.
  • Contraseñas seguras y diferentes
    • No parece ser necesario cambiarlas cada X tiempo si cumplen lo anterior

Guia para la creación de contraseñas horribles y diferentes

  • Combinar la información de donde se va a conectar uno
  • Ingrediente secreto

Ejemplo

Modificar usuario y lugar y elegir cualquier patrón para ambos

  • EJ: primera palabra completa, mayúscula al final
Original C. Mod L
homerosimpson@hotmail.com homerOhotmaiL 13
homerosimpson@gmail.com hoMegMai 8
facebook facEbooK 8
google gOLe 8

Ejemplo aplicado

  • Agregar un elemento al azar (idealmente algo que conozcamos de memoria o podamos anotar)
    • Pueden ser varias dependiendo de la importancia
    • EJ: poca seguridad !1234%(6) mucha seguridad Tk28!$lk(8h)
Contraseña ejemplo L
homerOhotmaiLTk28!$lkfacEbooK 29
hoMegMai!1234%facEbooK 22
  • No hay problema con hacer todas con el mismo "patrón"

Usar servicio en línea

  • Ventajas
    • Sincronizar distintos dispositivos (celulares, computadoras, tvs..?)
    • No requiere memorización, autollenado
    • Generan contraseñas seguras automáticamente
  • Desventajas
    • Requiren crear una cuenta extra
    • Perder un celular o laptop, requiere cambiar todas las contraseñas.

Servicios

  • Firefox

    • Celulares, computadoras

  • Google / Safari

    • Celulares, computadoras, TVs (netflix, amazon video,...)

Evitar sitios apocrifos

  • Objetivo: robar datos de acceso
  • Vectores:
    • Correos electrónicos que dicen que la cuenta tiene algún problema
    • Enviado durante conversaciones vía chats con desconocidos
  • De querer entrar a un sitio conocido, de preferencia teclear el sitio y no seguir links
    • Ayuda tener el sitio guardado en favoritos
      • Ayuda aun más tener sincronizados los exploradores