Tecnologa (CTO) de Backshore Communications, autor de la segunda edicin del libro CISSP Study Guide y de Eleventh Hour CISSP. Particip como coautor del sexto da del curso Monitoreo Continuo y Operaciones de Seguridad (SEC511) del SANS. Introduccin Un concepto errneo que muchas personas tienen, es no creer que sean el objetivo de los criminales cibernticos, que ellos mismos o sus equipos no tengan algn valor. Nada podra estar ms lejos de la verdad. Si tienes un equipo, dispositivo mvil, una cuenta asociada a un correo electrnico, tarjeta de crdito o cualquier otro tipo de actividad en lnea, t tienes un valor monetario para los criminales cibernticos. En este boletn te explicamos por qu eres un objetivo, cmo ests siendo atacado y qu puedes hacer para protegerte. Por qu eres un objetivo? Delitos como fraudes, robo de identidad o extorsiones han existido desde que surgieron las civilizaciones; son parte de nuestro da a da. El objetivo de los criminales siempre ha sido el mismo, hacer tanto dinero como sea posible de la manera ms sencilla y con el menor riesgo. Anteriormente era difcil porque los delincuentes estaban limitados por su ubicacin y tenan que interactuar fsicamente con sus vctimas. Esto no slo los limitaba en cuanto a quines podan elegir como blancos, tambin los expona a un gran riesgo. Sin embargo, el crimen ha cambiado radicalmente con la aparicin de Internet y la tecnologa en lnea. Ahora los criminales cibernticos pueden llegar fcilmente a cualquier persona en el mundo, a un bajo costo o inclusive sin costo alguno y con muy poco riesgo. Actualmente, los criminales cibernticos se han vuelto altamente organizados y efcientes, lo que les permite ser ms efectivos que nunca. Los criminales cibernticos saben que entre ms tarjetas de crdito roben, ms cuentas logren hackear o ms contraseas obtengan, mayor dinero harn. Literalmente intentan hackear a cualquier persona conectada a Internet, incluyndote. Hackear a millones de personas alrededor del mundo quizs pueda parecer mucho trabajo, pero es sorprendentemente fcil, ya que utilizan herramientas automatizadas que realizan todo el trabajo. Por ejemplo, pueden disear una base de datos con millones de correos electrnicos y usar una herramienta automtica para enviar mensajes de phishing a cada una de las direcciones de correo. El costo por enviar correos electrnicos es casi nulo, ellos simplemente usan otro equipo comprometido ( incluso podra ser el tuyo), para realizar el trabajo sucio. ste es otro ejemplo del porqu tus dispositivos tienen valor, ya que como mnimo, pueden ser usados para comprometer o daar a otros. Finalmente, los delincuentes Editor invitado Por qu eres un objetivo? Protgete En esta edicin... S, en realidad s eres un objetivo OUCH! | Abril 2014 Tal vez no te des cuenta, pero tus dispositivos y tu informacin tienen un gran valor para los criminales cibernticos alrededor del mundo. no saben quines sern las vctimas que caern en los ataques por correo electrnico, pero estn conscientes de que entre ms correos masivos enven, ms personas eventualmente caern en sus ataques. Tal vez, los delincuentes literalmente monitoreen cada equipo en Internet (una vez ms, a travs de equipos comprometidos para monitorear), en busca de cualquier dispositivo que pueda ser hackeado. Recuerda, no eres elegido porque seas especial. Ms bien, los delincuentes tienen como objetivo a todas las personas posibles, tambin t. Protgete Cuando los criminales cibernticos intentan comprometer personas alrededor del mundo, regularmente utilizan mtodos relativamente sencillos. Afortunadamente, siguiendo algunos simples pasos, puedes hacer mucho por protegerte . Algunos de los pasos recomendados a seguir son los siguientes: T mismo. Finalmente, t eres el primero en la lnea de defensa ante un ataque ciberntico. Muchos ataques inician con un intento de engaarte, como abrir el archivo adjunto de un correo electrnico que se encuentra infectado o engandote para dar tu contrasea a travs del telfono. El sentido comn es la mejor defensa, si algo parece extrao, sospechoso o muy bueno para ser verdad, seguramente se trata de un ataque. Actualizacin. Asegrate de que el equipo o los dispositivos mviles que usas se encuentren actualizados y cuenten con los ltimos parches. Esto no slo es importante para el sistema operativo, tambin para cualquier aplicacin o complemento que utilices. Mantener siempre tu sistema y aplicaciones actualizadas ayuda a protegerte de los ataques ms comunes. Contraseas. Utiliza una contrasea fuerte y nica para cada una de tus cuentas. De esta manera, si el sitio web que utilizas es hackeado y todas las contraseas son comprometidas (incluida la tuya) tus otras cuentas estn a salvo. Tambin asegrate de que todos tus dispositivos se encuentren protegidos por una contrasea, PIN o cualquier otro mecanismo de proteccin que sea fuerte y nico. Para mantener seguras todas tus contraseas te recomendamos utilizar un administrador de contraseas. Tarjetas de crdito. Revisa tus estado de cuenta regularmente, te recomendamos hacerlo semanalmente (mensualmente no es sufciente). Tan pronto como veas una transaccin no autorizada en tu tarjeta de crdito, S, en realidad s eres un objetivo OUCH! | Abril 2014 reprtalo inmediatamente al emisor de tu tarjeta. Si tu banco permite confgurar alertas de correo electrnico o mensajes de texto para transacciones inusualmente grandes o extraas, utilzalo para tener notifcaciones de actividades sospechosas ms rpidamente. Tu red. Asegura el acceso de la red inalmbrica de tu hogar con una contrasea de administrador fuerte y asegrate que la requiera cuando alguien quiera acceder. Tambin asegrate de que conoces los dispositivos que se encuentran conectados a la red de tu hogar y que todos los dispositivos estn actualizados. Redes sociales. Cuanta ms informacin publiques en lnea, es ms probable que puedas ponerte en riesgo. No slo la informacin que publicas hace ms fcil que seas un objetivo de los criminales cibernticos para tratar de engaarte, esta informacin tambin puede identifcarte como un objetivo ms valioso. Conoce ms Suscrbete al boletn mensual de conciencia sobre seguridad OUCH!, consulta los archivos OUCH! y aprende ms acerca de las soluciones de seguridad SANS visitando: http://www.securingthehuman.org Versin en espaol UNAM-CERT, Equipo de Respuesta a Incidentes de Seguridad de la Informacin en Mxico reconocido ante FIRST, es una referencia en la materia en este pas. Sitio web: http://www.seguridad.unam.mx Sguelo en Twitter @unamcert OUCH! es publicado por SANS Securing The Human y distribuido bajo licencia de Creative Commons BY-NC-ND 3.0. Puedes distribuir este boletn o utilizarlo en tu programa de sensibilizacin de seguridad siempre y cuando no se modifque su contenido. Para ms informacin contctanos en: ouch@securingthehuman.org Consejo editorial: Bill Wyman, Walt Scrivens, Phil Hoffman, Bob Rudis Traduccin al espaol por: Erika Rdriguez e Israel Rub Recursos OUCH! Administrador de Contraseas: http://www.securingthehuman.org/ouch/2013#october2013 OUCH! Asegurando la red de tu hogar: http://www.securingthehuman.org/ouch/2014#january2014 OUCH! Ataques Phishing: http://www.securingthehuman.org/ouch/2013#february2013 Poster: T eres un objetivo: http://www.securingthehuman.org/resources/posters S, en realidad s eres un objetivo OUCH! | Abril 2014