12.176 cursos gratis
8.741.981 alumnos
Facebook Twitter YouTube
Busca cursos gratis:

La seguridad en las redes

Autor: LUIS EDUARDO SANCHEZ COLMANREZ
Curso:
9,33/10 (3 opiniones) |1009 alumnos|Fecha publicación: 28/12/2010
Envía un mensaje al autor

Capítulo 8:

 Seguridad. Barrera al comercio electrónico

Recientemente ha aparecido publicada una encuesta sobre las barreras al comercio electrónico, llevada a cabo por ITAA (Information Technology Association of America) y la consultora Ernst & Young.

Es un hecho que el comercio electrónico no ha experimentado todavia el crecimiento ni la aceptación que el entusiasmo inicial pronosticaba para el futuro inmediato.

La encuesta tenía por cometido el analizar cuáles eran los mayores factores que actúan de freno a la expansión de la actividad comercial en Internet y de acuerdo con los resultados obtenidos, la barrera más importante es, obviamente, la falta de confianza (señalada por el 62% de los encuestados).

Esta desconfianza hacia las nuevas tecnologías se articula en torno a tres temores fundamentales:

1)- La privacidad (60%), que los usuarios finales sienten amenazada en la medida en que desconocen hasta qué punto los datos personales que suministran a un servidor de comercio electrónico serán tratados de forma confidencial. ¿Quién le asegura al comprador que sus datos no se almacenarán a la ligera, siendo accesibles fácilmente por un hacker o un empleado desleal? ¿Cómo saber que no se revenden a terceros?

2)- La autenticación (56%), que inquieta a los usuarios, quienes dudan si la persona con la que se comunican es verdaderamente quien dice ser. Sin embargo, dada la relativa facilidad de falsificar una página web e incluso un sitio web completo, ¿cómo asegurarse de que se está comprando en una tienda virtual o en una imitación fiel?

3)- La seguridad global (56%), que preocupa a los usuarios, pues temen que la tecnología no sea suficientemente robusta para protegerlos frente a ataques y apropiaciones indebidas de información confidencial, especialmente en lo que respecta a los medios de pago.


Es interesante el hecho de que de toda la actividad de compra, lo que más sigue preocupando es la operación de pago, es decir, el momento en el que el comprador se enfrenta a la ventana donde han introducido su número de tarjeta de crédito y duda a la hora de pulsar el botón de "Enviar". "¿Me robarán?, ¿seré víctima de un fraude?", se pregunta el usuario en el último momento.

Estos temores, qué duda cabe, tienen su fundamento real y su solución no resulta trivial. En el primer caso, la tecnología, y en concreto la criptografía, ofrecen las herramientas necesarias para la protección férrea de la información almacenada en las bases de datos corporativas, información como listas de clientes, sus datos personales y de pago, listas de pedidos, etc. Existen muchas técnicas de control de acceso que hábilmente implantadas garantizan el acceso a la información confidencial exclusivamente a aquellos usuarios autorizados para ello. Ahora bien, se han producido incidentes de servidores de comercio que almacenaron esta clase de información sensible ¡en archivos accesibles vía web por cualquier navegante! Por lo tanto, aunque la criptografía provee de medios aptos, depende en última instancia de la empresa el nivel de compromiso que adopte respecto a la seguridad de los datos que conserva en sus ficheros y su política de control de acceso. Así pues, éste es un temor bien presente y sin fácil respuesta. La tecnología nada tiene que decir si un comerciante decide vender su información a terceros. La delgada línea que protege la privacidad del usuario está constituida en este caso por la integridad moral de la empresa.

En el segundo caso, la solución inmediata que ofrece la criptografía viene de la mano de los certificados digitales. La tecnología de certificación está suficientemente madura como para autenticar adecuadamente a las partes involucradas en una transacción. La más comúnmente utilizada es SSL y a pesar de la tan vapuleada limitación criptográfica fuera de Norteamérica de claves débiles de 40 bits, lo

cierto es que a la hora de autenticar a las partes, principalmente al servidor, SSL funciona satisfactoriamente. Otro asunto es si asegura o no la confidencialidad, cuestión más que dudosa, si se tiene en cuenta que una clave de 40 bits se rompe en cuestión de horas, con lo que los datos por ella protegidos quedan al descubierto rápidamente. Otras tecnologías emergentes, ofrecen mucha mayor confianza en este campo y, de paso, dan solución al primer problema de la privacidad, ya que permite autenticar a las partes involucradas en la transacción de manera completamente segura, sin restricciones criptográficas debidas a absurdas leyes de exportación. Su mecanismo de firma dual garantiza además que el comerciante no conocerá los datos de pago (número de tarjeta de crédito), eliminando así la posibilidad de fraude por su parte. Esto garantiza así que el comerciante cobra por la venta y que el comprador no es estafado por el comerciante ni por hackers.

En cuanto al tercer temor, nuevamente la criptografía y los productos de seguridad proporcionan las soluciones a los problemas.

Otra cuestión es: ¿incorporan los servidores de comercio todas las medidas necesarias para asegurar las transacciones con el usuario?. Las herramientas ofrecen solución tecnológica a los retos que se le presentan a la seguridad en el comercio electrónico, pero ¿se usa correctamente? ¿Se usa en absoluto?
Por lo que parece, las verdaderas barreras al comercio electrónico no son tanto tecnológicas como humanas. Una vez más, el eslabón más débil de la cadena es de índole personal, no tecnológico.

 

 Microsoft desafía a los hackers
 

05.08.99): Microsoft le invita a probar sus habilidades como hacker mediante un sitio Web operado en un ambiente Windows 2000 y desprovisto de software Cortafuegos (Firewall). Con ello, los interesados tienen la posibilidad de irrumpir en un servidor sin ser perseguidos luego por la justicia.

La compañía informa que en todo momento el servidor tendrá instalada la última versión beta del sistema operativo Windows 2000. El desafío forma parte de las pruebas de seguridad que Microsoft realiza con el sistema operativo, que según las intenciones de la compañía ha de convertirse "en el más seguro que haya existido".

En su lista de condiciones para participar en el Hacking autorizado, la compañía sugiere a quienes logren ingresar al servidor "cambiar archivos o contenidos, aunque evitando los comentarios insolentes o groseros". De igual modo, indica que el servidor contiene una serie de mensajes ocultos, que invita a encontrar. Bajo el subtítulo "Hágalo Interesante", la compañía precisa que filtrará aquellos intentos de Hacking simple, tales como el bombardeo de paquetes tendientes a doblegar al servidor desbordando su capacidad de respuesta.


Por último, Microsoft precisa que la invitación se refiere única y exclusivamente al sitio de prueba.

·           http://www.windows2000test.com/"

 

 

AHORA LINUX DESAFÍA A HACKERS

(06.08.99): Luego del desafío planteado por Microsoft a hackers interesados en poner a prueba la seguridad y presunta impenetrabilidad de Windows 2000, la compañía Linux PPC lanzó una oferta similar. El premio para quien logre violar la seguridad del servidor es… el servidor.

Para el caso de Linux PPC, se trata de un servidor operado con la instalación estándar, incluyendo Telnet y el servidor Web Apache. Desde su instalación, el martes 3, a la fecha, el servidor ha registrado 11.294 intentos infructuosos de irrupción.

El hacker que logre penetrar el servidor se llevará la máquina como premio, informa Linux PPC. La única condición será reproducir exactamente, paso a paso, el procedimiento seguido.

En la página Web creada para el concurso, J. Carr, administrador del sistema, "felicita" a los 87 habilidosos que hasta ahora han intentado realizar una conexión telnet a la máquina pretendiendo ser el propio Carr.

El sitio del caso se encuentra en:

 

·          http://crack.linuxppc.org/

 

HECHOS DESTACABLES

En 1996, la página Web de Kriesgman ( http://www.kriesgam.com/ ), una de las principales fábricas de pieles de Estados Unidos fue hackeada por unos chicos que pusieron carteles y frases en defensa del animal y la ecología. También en noviembre de 1996 fue asaltada la página de la Agencia Central de Inteligencia de los EE. UU (CIA) ( http://www.odci.gov/cia ) y en su lugar ubicaron la frase "Welcome to the Central Stupidity Agency". Las famosas cantantes inglesas de Spice Gilrs (http://www.spicegirls.com/) tampoco salieron indemnes de esta cruzada ideológica cuando en 1997 fue modificado su site para protestar contra "la cultura pop y el uso masivo de Internet". Sin ir tan lejos, la Web principal del Ministerio de justicia local fue intervenida por el grupo x-team, colocando una fotografía de José Luis Cabezas el mismo día que se cumplía un año de su cruel asesinato. Debajo, se encontraba un texto donde supuestamente los funcionarios le pedían perdón al pueblo por trabar constantemente el esclarecimiento del caso. La pantalla, con la tristemente famosa mirada de Cabezas, permaneció allí 24 horas hasta que la removieron. Consultados los autores de ese hackeo dijeron que ellos "golpearon las puertas cibernéticas de la justicia".

Los Hackers pretenden que Internet sea un espacio de comunicación libre de toda censura y restricción conspirando contra todo medio contrario a ese pensamiento. Seguramente por eso, el presidente Bill Clinton, el principal mentor de intentar ponerle restricciones a la red mundial, es parodiado constantemente con fotos trucadas que hacen alusión al sexgate desatado tiempo atrás.

Estos personajes suelen ingresar también a un sistema dejando "evidencias" de que ellos estuvieron allí con el objetivo de que los encargados de la seguridad de la empresa sepan que pueden volver y destruir lo que se les plazca en el momento menos pensado. En ocasiones, muchos fueron contratados bajo altísimos sueldos por las empresas que fueron hackeadas para que ellos mismos construyan un sistema más seguro. Tienen mucho poder y lo saben. Por eso son perseguidos constantemente.

El gobierno de los Estados Unidos, en defensa de sus empresarios, ha decidido hace unos años tomar cartas en el asunto personalmente. Se creó una división especial en el FBI llamada National Computer

Crime Squad que protege a las computadoras gubernamentales, financieras, de instituciones médicas, etc. Ya existen leyes que penalizan el accionar estos delitos a diferencia de nuestro país, donde la legislación al respecto es nula. En 1996, el argentino Julio César Ardita penetró ilegalmente a la red del Pentágono de Estados Unidos mediante Internet y provocó el enojo de más de uno en el país del norte. Fue condenado allí a cinco años de prisión en suspenso y debió pagar una multa de 5000 dólares. A pesar de la sanción, Ardita tiene, a modo de homenaje y admiración, cientos de páginas en Internet construidas por personas de diferentes países donde se pueden ver sus fotos y datos personales.

Poseen su propia ética, su propio vocabulario y son por demás utópicos. Tienen niveles de aprendizaje y detestan a aquellos que se animan a prejuzgarlos. Son solidarios entre sí y, cuando no están sentados frente a sus máquinas, estudian nuevas formas para penetrar en lugares hinóspitos. No son muy sociables y les causa mucho placer sentir que transgreden.

HACKERS VULNERARON RED DEL PENTÁGONO

(27.02.98): Durante las dos últimas semanas, la red informática del Pentágono ha estado expuesta a intensas irrupciones de grupo de hackers.

El Subsecretario estadounidense de Defensa, declaró a los medios que "se trata del ataque más organizado y sistemático experimentado por el Pentágono". Según Hamre, nada hace suponer que el asunto tenga alguna relación con la crisis iraquí.

La Secretaría de Defensa de Estados Unidos no desea proporcionar detalles del asunto a fin de no perjudicar las investigaciones correspondientes, que han sido encargadas al FBI. En tal sentido, se limitó a señalar que los hackers en ningún momento tuvieron acceso a información clasificada, sino "sólo" a los registros de personal y sueldos.

El ataque contra el Pentáfono no es el primero realizado contra computadoras del gobierno y la defensa de Estados Unidos. En diciembre pasado, el sitio web de la fuerza aérea de ese país también fue alterado por hackers, que incorporaron a la página de inicio una imagen pornográfica. En septiembre fue el turno de la CIA (Central Intelligence Agency), que vio su nombre modificado a Central Stupidity Agency.

(19.07.99): Personas de todo el mundo podrán tener acceso a botines multimillonarios gracias a la falla del milenio, según consultora.

En un informe elaborado por la consultora Gartner Group, se advierte contra las actividades de estafadores sofisticados que aprovecharán los errores en sistemas de seguridad el 31 de diciembre, para apoderarse de dinero ajeno mediante procedimientos electrónicos.

En el informe, que se basa en información recabada entre 1.000 de sus clientes, la consultora indica que no le sorprendería si al menos un robo electrónico excede los mil millones de dólares.

En el documento se pone de relieve que uno de los mayores factores de riesgo es que empleados y contratistas encargados de compatibilizar sistemas "dejen una puerta trasera abierta", que posteriormente pueda ser utilizada por ellos mismos o por terceros para ingresar ilícitamente.

Al respecto, Joe Pucciarelli, autor del informe de Gartner Group, declaró a USA Today que "hemos abiertos todos nuestros sistemas a personas a quienes no necesariamente conocemos bien". En tal contexto, precisó que varias compañías han descubierto "entradas traseras" en sus sistemas informáticos, dejadas ahí sin autorización con el fin evidente de obtener acceso posterior al sistema.

HACKERS ATACAN SITIO DE HILLARY CLINTON

(28.07.99): Como es sabido, la primera dama estadounidense, Hillary Clinton, aspira a convertirse en senadora por Nueva York. Como parte de su campaña, su equipo creó un sitio web (http://www.hillary2000.com), que ya ha sido asaltado por piratas informáticos.

La intervención realizada por los hackers fue relativamente leve, ya que sólo implicó un redireccionamiento del URL, que hizo que quienes intentaran acceder al sitio web de la candidata fuesen llevados a una página web creada por "Los Amigos de Guiliani" –simpatizantes de Rudolph Giuliani– también candidato a una senaturía por Nueva York.

Jerry Irvine, experto consultado por CNN, señaló que lo más probable es que los hackers hayan recurrido a un truco conocido como DNS poisoning; es decir un "envenenamiento" del sistema de nombres de dominios (Domain Name Server), haciendo que al escribir una dirección en la web los usuarios sean llevados a una dirección distinta.

Los autores de la página web sobre Giuliani desmienten categóricamente ser los autores del sabotaje de la página de Hillary Clinton.


A la fecha, el problema no ha sido solucionado, por lo que la página de la candidata sólo presenta un mensaje en numerosos idiomas, con el texto "en construcción".

100 HACKERS PREPARAN ATAQUE CONTRA INDONESIA

(23.08.99): José Ramos Horta, quien en 1996 fuese galardonado con el Premio Nobel de la Paz junto al obispo Carlos Belo, advirtió al gobierno de Indonesia que un grupo de 100 hackers se dispone a atacar el sistema bancario del país en caso de que adultere el resultado del plebiscito de fin de mes.

El día 30 de agosto, los ciudadanos de Timor del Este concurrirán a las urnas para decidir si desean o no independizarse de Indonesia. Hasta ahora, la "campaña" del gobierno de Yacarta ha resultado en más de 1.000 muertos y el desplazamiento forzado y relegación interna de más de 80.000 personas.

Temiendo que el plebiscito de independencia de Timor del Este se transforme en el mayor fraude electoral de la historia, José Ramos Horta advirtió al gobierno que 100 hackers europeos y estadounidenses han preparado un arsenal cibernético consistente de una docena de virus y modalidades de ataque diseñadas para causar un colapso del sistema financiero indonesio, escribe BBC News.


En caso de conseguir su objetivo, las pérdidas serían de "varios cientos de millones de dólares", lo que tendría efectos catastróficos para la economía de Indonesia, en palabras del propio Horta. A juicio del galardonado con el Premio Nobel de la Paz, un ataque informático contra Indonesia es plenamente justificable, especialmente al considerar que no se perderían vidas humana

 

HACKERS CONTROLAN SATÉLITE MILITAR BRITÁNICO

(02.03.99): Satélite militar de comunicaciones está siendo controlado por piratas informáticos. El satélite sería usado para la defensa de Gran Bretaña en caso de un ataque nuclear.

Según el diario inglés Sunday Business, desconocidos alteraron el rumbo del satélite hace dos semanas, luego de lo cual las autoridades responsables recibieron una extorsión según la cual los hackers dejarían en paz el satélite a cambio de una fuerte suma de dinero en efectivo.

Expertos en seguridad y estrategas militares toman en serio la amenaza, recalcando que sería muy natural que enemigos interesados en atacar a Gran Bretaña con armas atómicas primero intentasen dejar fuera de servicio a los sistemas de comunicación.

Una fuente militar consultada por Sunday Business destacó el grave riesgo para la seguridad del país que implica que desconocidos logren apoderarse del control de un satélite. El hecho de que se trate de una extorsión agrava aún más las cosas, señaló.

Por el momento, tanto la policía británica como el Ministerio de Defensa se niegan a comentar los hechos

HACKERS VULNERAN SITIO DE SYMANTEC

(03.08.99): El sitio web de Symantec fue alterado ayer por hackers. La noticia está causando revuelo en círculos informáticos, toda vez que la compañía es uno de los principales proveedores mundiales de software de seguridad y antivirus.

Como parte de su irrupción contra los servidores de Symantec, los hackers cambiaron la portada del sitio web corporativo con un texto procaz en que su acción es reivindicada como una victoria ("… we own your ass, Symantec").

Según BBC News, los piratas informáticos también lograron infiltrar los servidores de Symantec con un programa tipo "gusano", que automáticamente se propaga por sistemas interconectados y que está en condiciones de causar daños similares a los virus.

Consultado por BBC, un portavoz de Symantec confirmó la alteración del sitio web, aunque desmintió que los hackers hubieran logrado instalar un "gusano" en sus sistemas.

El portavoz intentó quitar importancia a la situación, señalando que siempre existe el riesgo de que una compañía se vea afectada por tales ataques y que lo importante es corregir el daño con prontitud y restablecer el sitio web original.

A juicio del portavoz, el prestigio de Symantec no se verá alterado por el ataque, a pesar de ser una compañía líder del rubro de la seguridad informática.


Symantec denunció el hecho al FBI, que inició de inmediato las investigaciones correspondientes.

QUE PASARÁ MAS ADELANTE.....

La incorporación de las denominadas "redes inteligentes" podría dificultar considerablemente las actividades de los Hackers.

El Instituto Tecnológico de Georgia, EEUU, trabaja en un proyecto de desarrollo de redes neurológicas, que probablemente aumentarán la seguridad del tráfico digital.

El nombre "red neurológica" se basa en las neuronas del cerebro humano, que aprenden de la experiencia, creando conexiones entre las distintas áreas del cerebro. Con todo, cabe precisar que no se trata de redes que estén en condiciones de pensar, sino de sistemas capaces de identificar patrones en el flujo digital y aprender de los intentos de intrusión.

Hoy en día, los administradores de sistemas deben actualizar manualmente los sistemas de protección de las redes contra las embestidas de los sagaces piratas informáticos. Con la incorporación de redes inteligentes se hará más previsible y fácil la contención de los intrusos, según escribe James Cannady, experto en el tema, en un artículo en Netsys.com.

Según Cannady, tales redes estarán incluso en condiciones de detectar máquinas que monitorizan ilegalmente el tráfico de la red para captar y apoderarse de información tal como números de tarjetas de crédito, contraseñas y otros datos confidenciales. La novedad es que las redes neurológicas detectarán ese tipo de máquinas sin que sus operadores se percaten.

Mayor información en:

 

http://www.gtri.gatech.edu/res-news/rchnews.html

Nuestras novedades en tu e-mail

Escribe tu e-mail:



MailxMail tratará tus datos para realizar acciones promocionales (vía email y/o teléfono).
En la política de privacidad conocerás tu derechos y gestionarás la baja.

Cursos similares a La seguridad en las redes



  • Vídeo
  • Alumnos
  • Valoración
  • Cursos
1. Copias de seguridad
Cuando trabajamos con ordenadores toda la información queda almacenada en... [14/07/04]
12.681  
2. Guía de seguridad para Windows 2000
Windows 2000 continua con la mejora y la continuación de la seguridad de los... [05/07/04]
10.537  
3. Implantación de un sistema de gestión de seguridad
Este curso especifica la metodología y requisitos para establecer, implantar,... [19/05/08]
3.273  

¿Qué es mailxmail.com?|ISSN: 1699-4914|Ayuda
Publicidad|Condiciones legales de mailxmail