Boletines publicados por Segu-Info

"Después de escalar una gran colina, uno se encuentra sólo con que hay muchas más colinas que escalar"
[ Nelson Mandela - Abogado y político sudafricano - 1918- ]


191 - Nuevos delitos informáticos que atentan contra la privacidad - 08/07/2013


En este Boletín detallamos cuáles son los nuevos tipos de delitos que se están llevando adelante contra la privacidad, facilitados por el mal uso de la tecnología y que permiten un perfilamiento completo de la víctima y tomar ventajas sociales y económicas de la misma.

Ahora que se "puso de moda" #PRISM y proyectos relacionados en otros países, mostramos porqué es necesario utilizar criptografía asimétrica para cifrar los correos electrónicos y cómo hacerlo.

1. Nuevos delitos informáticos que atentan contra la privacidad
2. Cifrado de correo electrónico. Cómo mantener a distancia a la NSA
3. Segu-Info busca autores
4. Apoya a Segu-Kids, Juntos en la Red
5. Desafío de la semana


1. Nuevos delitos informáticos que atentan contra la privacidad

Los ataques evolucionan. Los delincuentes tienen a disposición cientos de fuentes tales como almacenamiento y ancho de banda "infinito", potencia de cálculo, "anonimicidad" y facilidades que dificultan su seguimiento, por ejemplo, la falta de jurisdicción y leyes específicas, solo por nombrar algunas de ellas.

Todo está servido para nuevos delitos, entre los que se destacan algunos que no son específicamente técnicos sino que afectan al ámbito de la privacidad personal.

El informe "Sherlock Holmes’s Evil Twin: On The Impact of Global Inference for Online Privacy" de la universidad de Berkeley define algunos de estos nuevos abusos y faltas, que no pueden ser aún llamados delitos porque la mayoría de ellos no han sido establecidos como tales por ninguna ley o regulación.

A continuación se detallan algunos de estos abusos, con traducciones libres ya que aún no existe versión en español.

  • Cyberstalking (acoso cibernético). Hay una serie de razones por las que alguien quiera perfilar detalladamente a otro, que van desde la simple razón de "conocerlo mejor" o la investigación de sus antecedentes antes de contratar algún servicio; a otros más cuestionables a francamente ilegales que llegan al acoso real. La RAE define acoso como "perseguir, apremiar, importunar a alguien con molestias o requerimientos, sin darle tregua ni reposo".
    Entonces, el acoso cibernético es el uso de algún medio tecnológico para acosar a un individuo, un grupo de personas o una organización. El acoso puede estar representado por la realización de una acusación falsa, difamación, persecución, amenazas, robo de identidad, daños a la propiedad del acosado o cualquier actividad que sea suficiente para hacer que la persona sienta angustia razonable.
    La realización de estas actividades se diferencian fundamentalmente del acoso físico porque el acosador usa la tecnología como medio potenciador del hecho, para ser anónimo e incluso para solicitar la participación de terceros que desconocen los hechos reales y ayudan al acosador sin saberlo.
  • Cybercasing (ciber-seguimiento). Los atacantes usan información en línea para violar la privacidad de una persona o para facilitar la comisión de un delito en el mundo físico. El trabajo "Cybercasing the Joint: On the Privacy Implications of Geo-Tagging" profundiza en estas herramientas.
    El término "Cybercasing" se utiliza para describir el proceso por el cual un criminal puede monitorear de forma anónima a una potencial víctima, observando como esta sube secuencialmente datos valiosos acerca de sus posesiones, ubicación geográfica, actividades, etc.
    Las principales fuentes de información utilizadas en este caso son los la obtención de metadatos de fotos, videos o documentos y el Geo-tagging.
    Hay cientos de servicios basados ​​en la localización con grandes jugadores que invierten millones de dólares en el mercado para mejorar sus servicios. Servicios de GPS y la triangulación WiFi son hoy funcionalidades estándar para cualquier dispositivo móvil y el geo-etiquetado de fotos, videos y mensajes de texto se ha vuelto común, incluso sin que el usuario conozca que estas tecnologías siquiera existen.
    Sitios web como "Please Rob Me" o "Whatsapp Voyeur" (ahora discontinuados) o herramientas como Cree.py ponen en relieve la importancia de proteger la privacidad y de no publicar información que podría ser utilizada en contra del usuario.
    Quizás el caso más emblemático fue aquel en el que se detuvo a un delincuente que publicaba fotos de los pechos de su novia en los sitios web sobre los que realizaba defacing. Usando la información de geolocalización de las fotos, fue posible dar con la dirección de su casa.
  • Ataques de preparación. Hay muchos ataques de este tipo, tales como el phishing, la propagación de malware, y la ingeniería social. Esta es la forma en que el atacante conoce mejor el perfil de su víctima y/o instala alguna herramienta para controlarlo y aumentar la efectividad de su ataque.
  • Perfilamiento económico. Comprender las actividades y el desarrollo económico de la víctima permite planificar ataques corporativos con la esperanza de ganar dinero y obtener ventajas competitivas. La inferencia global de datos permite crear la imagen de una organización así como sus actividades, para luego aprovechar la información en contra de su propietario.
    Esta información se puede obtener desde "fugas simples e inadvertidas" de datos aislados (por ejemplo un Twit de un empleado) hasta complejos sistemas de robo de datos que involucren a múltiples jugadores y miembros de la organización y que permiten fugas masivas de información (por ejemplo la instalación de una APT-Advanced and Persistent Threat).
    Luego, la correlación y minado de datos permite la planificación de ataques contra la imagen de la organización y la obtención de ventaja competitiva y económica contra el adversario.
  • Espionaje. En este caso, el espionaje se realiza contra organizaciones e instituciones gubernamentales para conocer sus debilidades y las de sus miembros individuales, tales como problemas de dinero, hábitos de juego, vicios, ambiciones, etc.
    En este tipo de ataques no se busca comprometer la institución directamente sino que se explotan debilidades en algunos de sus miembros. De esta manera el adversario podría construir una lista de posibles objetivos y realizar perfilamiento de cada uno de ellos.
  • Cybervetting (Investigación de antecedentes en línea) [1]. En este caso no se trata de una acción fraudulenta sino que es una actividad llevada adelante por las empresas para investigar información personal y antecedentes de posibles candidatos a trabajar en la organización. Es cada vez más utilizado por los empleadores para realizar reclutamiento en línea y para conocer la reputación en Internet de los candidatos.
  • Cyberframing. Las compañías practican "cybervetting" para evitar contratar a malos perfiles y defenderse del espionaje. Sabiendo esto, un posible atacante podría crear información maliciosa que "envenene" el perfil de un posible candidato a un puesto de trabajo. A esta acción se la denomina "Cyberframing".
    De esta manera la investigación del perfil del candidato podría inferir datos erroneos, dañar su imagen y hacer que sea descartado como postulante. Una forma de realizar este tipo de actividades por ejemplo sería modificar fotos de la víctima y relacionarlas a búsquedas de algún delito.

[1] Online vetting
http://en.wikipedia.org/wiki/Online_vetting
http://www.ere.net/2011/09/14/cyber-vettings-usage-risk-and-future/

2. Cifrado de correo electrónico. Cómo mantener a distancia a la NSA

Este artículo ha sido originalmente publicado por ArsTechnica y traducido de forma exclusiva para Segu-Info por Mauro Gioino.

En la era de los teléfonos inteligentes y las redes sociales, el correo electrónico a muchos les puede parecer pintoresco. Pero sigue siendo el vehículo que utilizan millones de personas cada día para enviar cartas de amor, planes de negocios confidenciales y otras tantas comunicaciones. Aquí, tanto el emisor como el receptor quieren mantener la privacidad.

Después de las revelaciones del programa secreto PRISM, que da acceso a la Agencia de Seguridad Nacional (NSA) de EE.UU. a los correos enviados a través de Gmail, Hotmail y otros servicios, puede que sea hora de preguntarse ¿cómo se hace para mantener los mensajes en secreto? La respuesta es el cifrado de clave pública.

Cifrado

Por el momento parece probable que las herramientas de cifrado estándar, que se utilizan para proteger los datos "en vuelo" (SSL/TLS), sigan siendo seguras, siempre y cuando se utilicen ciertas buenas prácticas.

Este tipo de cifrado protege contra algunas amenazas, como la vigilancia al por mayor de Internet, pero no hace nada para proteger los datos que están "en reposo" en los servidores de los grandes proveedores.

Si no se desea que el gobierno, un proveedor de servicios, un empleador o personas no autorizadas tengan acceso al correo, la única alternativa es CIFRAR el correo. La mayoría de los algoritmos de cifrado son simétricos, lo que significa que la clave de cifrado tiene un doble propósito: cifrar y descifrar. Como tal, sería posible para cualquiera que conozca dicha clave, descifrar un correo cifrado de forma simétrica. Paradójicamente, también existe el problema que el receptor debe poseer la clave y por lo tanto debería existir una forma "segura" de hacérsela llegar.

Criptografía Asimétrica o Pública

La solución a esto es la criptografía asimétrica. En el cifrado asimétrico hay dos llaves opuestas, y un mensaje cifrado con una clave (pública) que sólo puede ser descifrado con la otra llave (privada). Las dos claves son conocidas como clave privada: que como su nombre indica se mantiene como privado y una clave pública, que se transmite al mundo. Entonces cada vez que desee enviar un correo electrónico a alguien, se cifra con la clave pública del destinatario.

El cifrado asimétrico también se utiliza para realizar firma electrónica (por ejemplo este correo se ha firmado utilizando GPG). En este caso el remitente del correo electrónico cifra con su clave privada un hash, o una huella (fingerprint) matemática de su correo, produciendo la firma. Los valores hash están diseñados de modo que cualquier cambio, por pequeño que sea, en el texto del mensaje, produce un valor de hash diferente.

Cualquiera que lea el correo puede descifrar la firma con la clave pública del remitente, si el hash coincide, el mensaje no ha sido modificado.

La mayor complejidad de este proceso es que el cifrado del correo electrónico no es algo que se pueda imponer unilateralmente. Para proteger el contenido de las cuentas, es necesario asegurarse que todos los involucrados se comuniquen bajo estás mismas condiciones.

Por último, el cifrado de correo electrónico no cifra toda la información. Algunos metadatos, incluyendo las direcciones de correo electrónico de remitente y del destinatario, la fecha y hora de envío, y el asunto del correo no son protegidos. Sólo el cuerpo del correo (y sus adjuntos) quedan protegidos.

Pocos programas de correo electrónico tienen características de cifrado por defecto. Incluso si lo hacen, los usuarios finales deben seguir navegando en una serie de laberintos que son largos y confusos. Las tareas incluyen la generación del par de claves pública y privada. Se debe considerar el almacenamiento seguro de la clave privada, el uso compartido de la clave pública propia y el anillo de claves públicas de los otros destinatarios.

Por eso, no es de extrañar que la mayoría de las personas, incluyendo al periodista de Glenn Greenwald, el reportero Guardian que expuso los aspectos de PRISM, haya tardado tiempo en entenderlo, antes de poder comunicarse con Edward Snowden.

Afortunadamente, existen programas libres de cifrado de correo para la mayoría de los sistemas operativos. ArsTechnica ha publicado un paso a paso con imágenes para el uso del software GnuPG, la implementación de código abierto de la suite de cifrado PGP, que permite cifrar mensajes utilizando criptografía pública.

Los procedimientos son realizados utilizando GnuPG para Windows y GPG Mail para Mac OS X. Para la implementación en Linux el procedimiento se debería poder realizar siguiendo pasos similares.

Los tutoriales de GPG se puede ver en el sitio web de ArsTechnica

¡Gracias Mauro!

3. Segu-Info busca autores

Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

  • si te interesan la Seguridad de la Información,
  • si conoces de Legislación en Seguridad,
  • o, si la Seguridad de la Información es uno de tus temas de lectura/búsqueda preferidos...

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.

4. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

5. Desafío de la semana

Solución al desafío del Boletín anterior

El orden del termino 1.000 está dado por la sumatoria de los valores de cada término: n * (n + 1) / 2

Por ejemplo para el número 4 y 5 es:
1, 2, 2, 3, 3, 3, 4, 4, 4, 4
1, 2, 2, 3, 3, 3, 4, 4, 4, 4, 5, 5, 5, 5, 5

3 * (3 + 1) / 2 = 6
4 * (4 + 1) / 2 = 10
5 * (5 + 1) / 2 = 15

El número 4 está entre las posiciones 7 a 10.

El número 5 está entre las posiciones 11 a 15.

Entonces, dado que la sumatoria de los números hasta la posición 44 y 45 es:
44 * (44 + 1) / 2 = 990
45 * (45 + 1) / 2 = 1035

El número 45 está incluido en el orden del intervalo 991 – 1035 y finalmente el valor de la posición 1000 corresponde a 45.

Respondieron correctamente: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected],

Un reconocimiento especial a [email protected] quien ha realizado una pequeña aplicación en C++ que resuelve el problema para cualquier número

Desafío de esta semana:

¿Qué tiene de especial el número 142857?
(En Google aparecen muchas respuestas, no busques o busca algo ORIGINAL).

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto