Black hat vs White hat

Una visión global de la seguridad

Debemos tener claro cómo se estructura la ciencia de la Ciberseguridad. Esta estructura viene dada por tres dimensiones.

Dimensiones de la seguridad (CID)

Seguridad = Confidencialidad + Integridad + Disponibilidad

Confidencialidad: cualidad de un mensaje, comunicación o datos, para que solo se entiendan de manera comprensible o sean leídos, por la persona o sistema que esté autorizado. Comprende por tanto la privacidad o protección de dicho mensaje y datos que contiene.

Integridad: cualidad de mensaje, comunicación o datos, que permite comprobar que no se ha producido manipulación alguna en el original, es decir, que no ha sido alterado.

Disponibilidad: capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran. Supone que la información pueda ser recuperada en el momento que se necesite, evitando su pérdida o bloqueo.

Actividad 1. Lo más importante que tiene un sistema es la información que almacena. Valora una dimensión de la seguridad amenazada en las siguientes situaciones, y explica por qué.

Por ejemplo:

Rotura de un portátil, que imposibilita su encendido.
- Disponibilidad: no se puede acceder a la información ya que no se puede encender el portátil.

Situación 1. Nos dejamos una cuenta de correo abierta y otra persona cambia la contraseña.
Situación 2. Estamos realizando un trabajo en clase, y un compañero de otra clase ha modificado el contenido.
Situación 3. Dejamos escrito en un papel el usuario y la contraseña de nuestra cuenta de Gmail.
Situación 4. Se nos ha caído un disco duro y se ha roto.

Entrégala con el nombre Act1.1

¿Cómo se define un plan de seguridad?

Se definen las amenazas conocidas y la dimensión afectada
Se calcula el impacto que tendría la materialización de una amenaza y se ordenan por coste
Se definen contramedidas contra la amenaza

Contraseñas y antivirus

¿Consideras que tus contraseñas son seguras?

Te reto a que compruebes si tus contraseñas son seguras y, si no es así, a que aprendas a crearlas.

Según el Instituto Nacional de Ciberseguridad (Incibe) -dependiente del Ministerio de Asuntos Económicos y Transformación Digital- uno de los errores más habituales que cometen los usuarios en la gestión de las contraseñas es utilizar una clave "débil" y emplear además la misma en varios servicios y aplicaciones y en diferentes dispositivos.

En la siguiente tabla están las contraseñas peores que, sin embargo, también son las más utilizadas.

Actividad 2. Investigando las contraseñas.

Vamos a realizar una investigación de las contraseñas utilizadas en tu clase contestando a mano alzada a las siguientes preguntas:

¡¡Importante!! Anota los resultados del análisis pues te serán útiles para el informe final.

¿Cuántas personas han utilizado o utilizan alguna de las contraseñas de la lista anterior?
¿Cuántas utilizan o han utilizado la fecha de su cumpleaños?
¿Cuántas utilizan o han utilizado su nombre, apellidos o combinación de ellos (las iniciales por ejemplo)?
¿Cuántas personas utilizan una única contraseña para todo o casi todo?
¿Cuántas personas creen que tienen unas contraseñas realmente imposibles de adivinar?

A mucha gente le ocurre, pues solemos pensar que nuestra información no es muy importante y nadie se molestará en obtenerla. Pero esto no es así, nuestros correos electrónicos, nuestras preferencias de navegación, nuestras búsquedas en internet, etc.. son muy valiosas y hay personas dispuestas a pagar por estos datos personales.

Crea una gráfica utilizando una hoja de cálculo mostrando la información recogida.

Entrega la hoja de cálculo con la gráfica en la actividad 1.2 en Classroom.

Contraseñas

La buena contraseña

Existen distintas aproximaciones a la hora de construir contraseñas seguras. Las siguientes están documentadas en diferentes libros sobre seguridad.

[Unix and Linux System Administration (5th edition)]: La característica más importante de una contraseña es su longitud. En teoría, las contraseñas más seguras son secuencias aleatorias de letras, caracteres especiales, y números, pero:
- Los ordenadores son buenos calculando secuencias aleatorias de caracteres.
- La dificultad para recordarlas, hace difícil escribirlas (la escritura lenta puede ser objeto de ataque "shoulder-surfing") y recordarlas.

EJEMPLO: jv)]6U;~)P:u%>3b

Grady Ward propone la idea de "sinsentido chocante":

"Un sinsentido chocante es una frase que no tiene sentido y que además es chocante desde el punto de vista cultural del usuario."

Utilizando esta técnica conseguimos:

Que la contraseña sea una frase, por tanto sea larga.
Que otras personas no puedan deducir su contenido aunque nos conozcan, dado su contenido absurdo.
Lo absurdo del contenido nos ayudará a recordarla.

EJEMPLO: ¡La amistad es un alma que habita en dos cuerpos!

[Foundations of security ]: Otra aproximación sobre contraseñas fuertes, incluida en este libro, es la siguiente

Usar las contraseñas más largas posibles.
Incluir letras números y caracteres especiales.
Contraseñas diferentes para cada sistema.
Transformación de una passphrase en una contraseña. Por ejemplo:

EJEMPLO:

Nada es realmente trabajo a no ser que prefieras estar haciendo otra cosa => n3Rt9NsQp3HoC!

[Windows Server 2008 Security Resource Kit]: Este libro dice claramente "Deja de pensar en palabras", piensa en frases. Windows soporta passwords de hasta 127 caracteres, todos presentes en el teclado (incluida la barra espaciadora). Para endurecer la passphrase, se puede realizar conversiones de vocales y consonantes a números y símbolos especiales, como por ejemplo a = @, i = !, e = 3, etc.

EJEMPLO: Microsoft publicó Windows 11 en 2022.

Actividad 3. Crea una contraseña utilizando cada estrategia.

Crea una tabla en un documento similar a la siguiente:

Después, dirígete a https://www.passwordmonster.com/ y comprueba la fortaleza de cada una.

Entrega la hoja de cálculo en la actividad Act5Esta actividad es un resumen de las actividades realizadas en clase sobre el criterio 1.1.3 de Classroom

Buenas prácticas sobre contraseñas

No reutilizar

No reutilizar las contraseñas en más de un lugar y mucho menos la misma para todo.

No compartir

Intenta no compartir tus contraseñas con nadie más, ya que al hacerlo aumentas considerablemente las posibilidades de que caigan en malas manos.

Cambiar a menudo

Es importante cambiar tus contraseñas cada cierto tiempo ya que puede haber filtraciones que las expongan online.

Diferentes cuentas de correo

Es recomendable utilizar varias cuentas de correo para registrarte en las diferentes webs. Los correos se utilizan como identificadores, y si utilizas varios minimizarás el impacto que podría tener el que alguien acceda a uno de ellos.

Verificación en dos pasos

Utiliza siempre que puedas el doble factor de autenticación. Se trata de la verificación en dos pasos, una opción de seguridad que ofrece la mayoría de grandes servicios como WhatsApp, y que hace que para terminar de identificarte en un servicio necesites un segundo paso después de introducir la contraseña.

Gestores de contraseñas

Puedes utilizar gestores de contraseñas que se encargarán de crear por sí mismos contraseñas robustas para los servicios online en los que estás registrado, e incluso las van cambiando periódicamente. Al utilizarlo pasarás de tener que recordar varias contraseñas a una única contraseña maestra.

Gestores de contraseñas

Un gestor de contraseñas permite almacenar los nombres de usuario y las contraseñas de las cuentas online en un lugar seguro. Se utiliza una sola contraseña compleja para cada cuenta online y no es necesario recordar ninguna contraseña más. Para ello, genera contraseñas fuertes y aleatorias para todas las páginas web y aplicaciones a las que accedan los empleados y después las guarda en un almacén seguro ubicado en los dispositivos de los empleados.

La mayoría de los navegadores de Internet actuales, como Firefox o Chrome, llevan incorporado un gestor de contraseñas, —puedes ver cómo funciona en support.mozilla.org—, en forma de plugin que puede protegerse mediante una contraseña maestra.

Sin contraseña maestra, esta forma de almacenar credenciales ha demostrado ser insegura. De esta manera, cuando se visita una página web que requiere autenticación, el navegador escribe automáticamente el usuario y la clave en los campos correspondientes, sin necesidad de que intervenga el usuario.

NOTA: Una vez creada una contraseña maestra en firefox, para eliminarla es preciso ir a chrome://pippki/content/resetpassword.xhtml

Crea cuentas en servicios de prueba para las siguientes actividades

Crea algunas cuentas de prueba en servicios que no sean importantes para ti y así poder hacer pruebas con los gestores de contraseñas. Como ejemplo, aquí tienes dos servicios que seguramente no utilizas:

https://www.redbubble.com/

https://www.last.fm/

Un gestor de contraseñas Offline

Un gestor de contraseñas Offline es más incómodo, pero también más seguro. A diferencia de gestores de contraseñas como el Google o el de Firefox, el archivo de contraseñas no es accesible Online. Existen multitud de gestores de contraseñas. Uno de ellos, que además es multiplataforma (está para Windows, Linux, MacOs, Android, iOS, etc) es KeePass. Vamos a conocerlo.

Keepass vs KeepassX

Keepass es un gestor de contraseñas muy maduro, que empezó a desarrollarse en 2003. KeepassX empezó como la versión instalable en Linux, aunque al final han terminado convirtiéndose en proyectos diferentes. KeepassX tiene mayor mantenimiento que Keepass, razón por la que vamos a instalar esta opción.

Instalar KeepassX

Para instalar KeepassX, debemos primero abrir el centro de software:

Una vez en el centro de software, debemos buscar KeepassX:

Después, hacemos clic sobre "KeePassX" y hacemos clic en instalar:

Una vez que se haya instalado, ya podemos buscarlo entre nuestras aplicaciones:

Creando una nueva base de datos

KeepassX guarda las contraseñas en un archivo cifrado. Si alguien encuentra ese archivo, no podrá averiguar lo que contiene, siempre que la contraseña maestra sea suficientemente fuerte.

Para crear un nuevo archivo de contraseñas, debemos hacer lo siguiente:

Abrir KeepassX.
En el menú "Base de datos", elegimos la opción "Nueva base de datos".

3. Crear una nueva contraseña maestra y hacer clic en el botón "Ok".

4. Guardar la base de datos en un archivo. Para ello, hacemos clic en el menú "Base de datos" y elegimos la opción "Guardar base de datos como..."

5. Finalmente guardamos el archivo .kdbx en una ubicación segura.

Ubicación segura

¿Qué es una ubicación segura? Una ubicación segura es una que proporcione Confidencialidad, Integridad y Disponibilidad.

Confidencialidad: solo puedo acceder yo.
Integridad: el archivo no va a ser modificado sin permiso (o cambiado por otro).
Disponibilidad: el archivo va a estar disponible cuando lo necesite.

¿Dónde es eso? Depende del usuario, pero teniendo en cuenta que la confidencialidad y la integridad me la dan el cifrado del archivo, el punto más relevante es la disponibilidad. Un servicio de almacenamiento en la nube específico para almacenar este archivo puede ser una buena idea.

Crear una nueva contraseña

Lo primero que debemos pensar es cómo vamos a organizar nuestras contraseñas. Esto se hace a través de grupos. Por ejemplo, puedo tener lo siguientes grupos:

Correo electrónico
Compras
Claves de software
Redes sociales

Para ello, sobre el panel izquierdo, hacemos clic derecho y elegimos la opción "Añadir nuevo grupo":

Un grupo se puede configurar hasta cierto punto. Por ejemplo, se puede:

Poner fecha de expiración.
Habilitar la auto-escritura, para que escriba automáticamente las credenciales en una URL
Asignar un icono

Una vez creado un grupo, para crear una nueva clave, basta con hacer en el icono "Añadir nueva entrada" (una llave con una flecha verde hacia abajo):

A partir de aquí, deberemos introducir la información necesaria:

Finalmente hacemos clic en "Ok" y ya tenemos nuestra contraseña guardada.

Generación automática de contraseñas

Al crear una contraseña, KeepassX nos puede sugerir una contraseña. Para ello, junto al campo de contraseña debemos hacer clic en "Gen":

Autocompletar un campo

Para autocompletar un campo en una página web, debemos seguir los siguientes pasos:

Abrimos la página web
Hacemos clic en el campo de usuario:

3. Después, en KeepassX, hacemos clic derecho sobre la clave y elegimos "Realizar auto-escritura":

De esta forma, se autocompletará el usuario y la contraseña.

Actividad 4. Crea un manual de uso de gestores de contraseñas.

Crea un documento donde expliques el uso tres gestores de contraseñas diferentes:

KeePassX
Gestor de contraseñas de Google Chrome
Gestor de contraseñas de Firefox

El documento tendrá las siguientes secciones:

Gestores de contraseñas: por qué usarlos

Explica a un usuario desconocedor de la gestión de contraseñas por qué es interesante usar un gestor de contraseñas.

Tres gestores de contraseñas

Enumera el nombre de cada uno, y explica cuáles son sus principales diferencias.

Gestor de contraseñas de Google Chrome

Explica el proceso de uso (mediante capturas) para almacenar una contraseña y para aplicarla.

Gestor de contraseñas de Firefox

Explica el proceso de uso (mediante capturas) para almacenar una contraseña y para aplicarla.

KeePassX

Explica el proceso de uso (mediante capturas) para almacenar una contraseña y para aplicarla.

Conclusiones

En esta sección destaca cuáles elegirías o descartarías tú y por qué.

Algunas indicaciones de debes seguir sobre Firefox:

Debe quedar perfectamente reflejado cómo creas una contraseña maestra en Firefox. Puedes seguir las instrucciones en proteger contraseñas almacenadas. La siguiente imagen puede ayudarte a entender a qué me refiero:

2. Debe poder verse claramente el procedimiento para lcrear una contraseña. Para añadir nuevas contraseñas puedes seguir el enlace para gestionar nombres de usuario y contraseñas.

3. Debe quedar claro el proceso para utilizar una contraseña en un formulario de logueo.

Algunas indicaciones que debes seguir sobre Google Chrome

Debe quedar claro el procedimiento para crear una nueva contraseña. Debido a la política de Google, hasta ahora sólo puedes administrar su gestor de contraseñas.
Debe quedar claro el proceso por el que se aplica una contraseña en un formulario de logueo.

Algunas indicaciones que debes seguir sobre KeepassX

Debe quedar claro el procedimiento para crear una base de datos, y una contraseña maestra.
Debe quedar claro el procedimiento para crear una nueva contraseña.
Debe quedar claro el procedimiento para utilizar una contraseña en un formulario de logueo.

Recuerda que es importante el aspecto y el acabado del documento.

Utiliza capturas para ilustrar tu manual. Entrega el manual resultante con el nombre Act1.4.pdf.

Malware

Malware es una palabra resultado de combinar las palabras malitious y software, es decir, software malicioso. Existen muchos tipos de malware. En la página https://www.avg.com/es/signal/what-is-malware vamos a ver algunos de ellos:

wannacry-2022-05-08_20.10.06.mp4

Infección por Wanna Cry

¿Tengo una infección?

Malwarebytes de uno de los mejores programas antimalware. En su página https://es.malwarebytes.com/malware/ hay bastante información útil sobre el malware. Vamos a entrar y a ver qué nos dice sobre síntomas del malware en la sección ¿Cómo puedo saber si tengo una infección de malware?

Vectores de infección

¿Cómo se producen las infecciones? Llamamos vector de infección al mecanismo empleado por el malware para instalarse en el equipo. En la página https://www.avg.com/es/signal/what-is-malware hay una sección con el título Tipos de ataque de malware

Actividad 6. ¿Qué podemos hacer para prevenir el malware? Observa cada uno de los vectores de infección anterior. Investiga una solución para cada uno de ellos. En el mismo documento puedes encontrar algo de ayuda.

Archivos adjuntos en el correo. Investiga acciones que puedes llevar a cabo para mitigar este riesgo.
Archivos infectados y enlaces en aplicaciones de mensajería y redes sociales. Investiga acciones que puedes llevar a cabo para mitigar este riesgo.
Malvertising. Investiga una solución real existente para el malvertising. Averigua si puedes utilizar esta solución en tu ordenador y tu móvil. Explica la solución encontrada, muestra la página del producto y habla sobre qué hace exactamente y de qué forma previene el malvertising.
Alertas emergentes. Investiga una solución real existente para las alertas emergentes. Averigua si puedes utilizar esta solución en tu ordenador y tu móvil. Explica la solución encontrada, muestra la página del producto (en caso de ser una aplicación) y habla sobre qué hace exactamente y de qué forma previene las alertas emergentes.
Descargas drive-by. Investiga cómo mitigar este riesgo. Como ayuda, te propongo estos dos sitios:
- página de BitDefender
- página de Norton antivirus
Instalación personal. Busca una aplicación legítima para controlar el escritorio de un ordenador. Explica en qué consiste el programa, muestra la página web del fabricante, cómo se puede instalar en tu ordenador (o móvil), capturas de funcionamiento, etc.
Soporte físico USB. Piensa acciones que puedes llevar a cabo para prevenir este vector de infección. Propón alternativas al uso de unidades USB que te permita guardar la información sin los riesgos que implican estas unidades.
Exploits. Observa el siguiente vídeo. En él puedes ver cómo se utiliza un exploit para instalar un malware en otro ordenador. Consulta el siguiente enlace: https://www.softzone.es/2017/05/15/exploits-que-son-como-protegernos/. Después, explica acciones que puedes llevar a cabo para mitigar el riesgo.

metasploit-2022-04-27_20.20.22.mp4

Entrega el documento con tu manual preventivo de malware.

Ten en cuenta que la presentación es importante. Asegúrate de que el documento está correctamente presentado (un documento mal presentado tiene un 25% menos de nota).

Entrega el documento en la actividad Act1.5

Actividad 7. Bloqueo de anuncios y ventanas emergentes.

Si has completado correctamente el ejercicio anterior, sabrás que los anuncios y las ventanas emergentes son un vector de infección. En esta actividad vas a probar dos herramientas diferentes:

El navegador sin filtro de anuncios.
El plugin AdBlocker Ultimate. Debes instalar la extensión en el navegador:
- Instalar en Google Chrome una extensión: https://support.google.com/chrome_webstore/answer/2664769?hl=es
- Instalar en Firefox una extensión: https://support.mozilla.org/es/kb/encontrar-e-instalar-complementos-para-agregar-car#w_como-busco-e-instalo-complementos
El navegador Brave (el enlace descarga un archivo .zip. Descomprímelo y haz doble clic sobre un archivo llamado "brave-browser-nightly". Si vas a hacerlo en casa, puedes descargar e instalar la versión instalable para Windows en https://brave.com/es/).

Accede a la página siguiente: https://d3ward.github.io/toolz/adblock.html. Dicha página muestra el número de anuncios bloqueados. Toma una captura de cada uno de los resultados y documéntalo usando una tabla. En el documento resultante debes mostrar la prueba realizada y el resultado obtenido.

Ten en cuenta que la presentación es importante. Asegúrate de que el documento está correctamente presentado (un documento mal presentado tiene un 25% menos de nota).

Entrega el documento en la actividad Act8.7.

¿Qué antivirus es el mejor?

Existen laboratorios independientes de prueba de Antivirus que ofrecen sus resultados para consulta pública. Los siguientes enlaces contienen información sobre los resultados de varios tests:

Examina estos enlaces

NOTA: La leyenda mostrada en el Real World Tests incluye los siguientes términos:

Compromised (Comprometido): El antivirus no detectó ni bloqueó la amenaza, y esta logró ejecutarse y afectar el sistema. Es el peor resultado posible. Indica una falla completa del producto frente a ese malware.
User dependent (Dependiente del usuario): El antivirus detectó la amenaza, pero pidió al usuario tomar una decisión, como permitir o bloquear la ejecución. Si el usuario elige mal, el sistema puede verse comprometido. Esto depende de la acción del usuario, no del producto en sí.
Blocked (Bloqueado): El antivirus detuvo completamente la amenaza. Puede haberla bloqueado al descargar, al ejecutar, o al intentar acceder a la web maliciosa. Es el mejor resultado: el sistema no fue afectado.
False positives (Falsos positivos): El antivirus detectó algo como amenaza cuando en realidad era legítimo. Muchos falsos positivos son molestos y pueden hacer que los usuarios pierdan confianza en el producto o desinstalen programas útiles por error.

¿Debes desactivar tu antivirus?

El siguiente artículo contiene la opinión de un ex-ingeniero de Firefox, que aconseja desactivar el antivirus: https://www.bleepingcomputer.com/news/security/former-mozilla-engineer-disable-your-antivirus-software-except-microsofts/

Actividad 8. Examina los datos anteriores y elige cuál es el mejor antivirus según tu criterio. Para ello, apóyate en toda la información de que dispones en los enlaces anteriores. Justifica razonadamente qué te hace pensar que dicho antivirus es el mejor.

Entrega la actividad Act8.8

¿Qué es VirusTotal?

VirusTotal es una herramienta en línea gratuita que permite analizar archivos y enlaces sospechosos para saber si contienen virus, troyanos, malware u otras amenazas. Es muy útil cuando tienes dudas sobre si un archivo descargado o una página web es segura.

Funciona de manera muy sencilla:

Puedes subir un archivo o pegar un enlace.
VirusTotal lo analiza con decenas de antivirus diferentes al mismo tiempo (como Kaspersky, Bitdefender, Avast, entre otros).
Luego te muestra los resultados indicando cuántos motores de detección consideran que hay una amenaza.

¿Para qué sirve?

Comprobar si un archivo es peligroso antes de abrirlo.
Detectar falsos positivos, es decir, archivos que un antivirus considera maliciosos pero en realidad son seguros.
Analizar URLs sospechosas que te llegan por email, redes sociales o mensajes.

Cosas a tener en cuenta

VirusTotal no elimina virus, solo los detecta.
Subir archivos confidenciales no es recomendable, ya que pueden quedar registrados para análisis públicos.
Aunque un archivo tenga pocos motores que lo detecten como virus, eso no garantiza que sea 100% seguro.

Actividad 9. Accede a la URL https://www.amtso.org/security-features-check/ y descarga uno de los archivos de test de la AMTSO. Después, comprueba si VirusTotal lo detecta. Después, utiliza cualquier archivo que tengas en el ordenador, y comprueba si VirusTotal lo detecta como un malware.

Entrega dos capturas en la actividad Act8.9.

Page updated

Report abuse