logo icfs superior.png eps-p.png excelencia.png

 

ICFS Instituto de Ciencias Forenses y de la Seguridad

 

ABRIL 2012


Dispositivos móviles –¿Transacciones seguras en dispositivos móviles?

30 de abril de 2012. 19:42

Las entidades financieras se protegen de los ataques en Internet añadiendo nuevas capas de seguridad o mejorando las actuales en aras de evitar el fraude.

Uno de los métodos que se implementa actualmente es la autenticación basada en dos factores. De esta forma la infección en uno de ellos no es suficiente para cometer el fraude, y es en aquellos casos en los que se utiliza la ingeniería social, como en el caso del MitMo, donde es posible atacar dos dispositivos diferentes, dando acceso a los ciberdelincuentes a los datos necesarios para el fraude. Sin embargo, ese tipo de ataques constituyen un porcentaje pequeño y muchas veces inútil, dependiendo del sistema operativo para el que se ha desarrollado.

Analizando el futuro inmediato, los dispositivos móviles de pequeño tamaño, como tablets y smartphones, serán los que se usarán para realizar pagos en la red, y puede representar un paso atrás en cuanto a la seguridad basada en la autenticación de dos factores, ya que la infección en un teléfono móvil -que recibe un mTAN para realizar una transferencia- podría ser sustraído con una única infección.

En este sentido, las partes afectadas -entidades financieras, empresas de seguridad y fabricantes de dispositivos- han de seguir trabajando de cara a lo que se avecina: un uso masivo de estos dispositivos para realizar transferencias y compras por internet. Algunos dispositivos de seguridad como los tokens físicos son una buena solución a nivel de seguridad, aunque no siempre son prácticos, puesto que el usuario final tendrá que llevarlo a todas partes. Para evitar dispositivos adicionales algunos de los caminos posibles son el uso de máquinas virtuales integrados en los propios dispositivos, la securización a nivel hardware o el uso de herramientas que impidan accesos no autorizados, entre otros.

Como cualquier contramedida que se establece, y usando la conocida frase "la seguridad es un proceso y no un producto", estos métodos tendrán que seguir evolucionando con el fin de proteger a los usuarios, ya que los delincuentes a buen seguro harán todo lo posible por inutilizar cualquier medida de seguridad adoptada.

S21sec e-crime

 

Industria – Guía sobre Seguridad en Control Industrial de la ENISA

30 de abril de 2012. 20:07

En marzo de 2011 ENISA encargaba un estudio sobre los sistemas de control industrial, bajo el nombre de “Protecting Industrial Control Systems. Recommendations for Europe and Member States”. Es ahora cuando esta organización saca a la luz la versión definitiva del estudio que podéis consultar aquí.

Los sistemas de control industrial (ICS) son los encargados de la regulación automática de operaciones, asícomo de la integración y coordinación de éstas en un sistema global de producción. El uso de estos sistemas comenzó en los años 50 extendiéndose su uso hasta nuestros días. Los sistemas de control industrial se están utilizando para el control de diversas infraestructuras, algunas, por su origen, pueden ser vitales para la sociedad, como puede ser una central nuclear o una planta química, y forman parte de las infraestructuras críticas. Debido al uso tan extendido y a la delicadeza de su naturaleza son necesarios unos pilares de seguridad en los que asentar a estos sistemas de control.

El equipo de investigadores encargado del estudio ha realizado un arduo trabajo de investigación documental para recopilar toda la información disponible sobre el estado del arte actual de seguridad de los ICS, los principales retos a los que se enfrentan, los proyectos de investigación existentes, los grupos de trabajo, el estado de las normativas en los diferentes estados miembros, así como otras iniciativas de interés a nivel nacional e internacional. Esta labor de investigación documental se complementa con los puntos de vista de más de 60 expertos del ámbito industrial (fabricantes, operadoras de infraestructuras críticas, proveedores de soluciones y servicios de seguridad, organismos de estandarización, organismos públicos, universidades y centros de investigación), a través del análisis de casi 50 cuestionarios y más de 20 entrevistas personales.

El estudio está formado por un documento principal y cinco anexos, todos ellos de alto interés. En el documento principal se proponen 7 recomendaciones de alto nivel orientados a los Estados Miembros y las instituciones europeas, consensuadas con los expertos en la materia y la propia ENISA. Con toda probabilidad estas recomendaciones acabarán definiendo las líneas maestras de las iniciativas políticas europeas en materia de ciberseguridad de los sistemas industriales de las infraestructuras críticas.

A este respecto, Rafal Leszczyna, uno de los editores del informe comenta:

"La seguridad real para los sistemas de control industrial solo pueden conseguirse con un esfuerzo común, caracterizado por la cooperación, intercambio de conocimiento y conocimiento mutuo de todas las partes implicadas" [ENISA]

Conviene destacar que el día 16 de septiembre de 2011 se realizó en Barcelona un workshop en el que se presentaron los primeros resultados de este proyecto a una representación amplia de los expertos que contribuyeron con su conocimiento y experiencia en la elaboración del informe. Este workshop permitiócontrastar las principales conclusiones del informe y se discutieron las recomendaciones propuestas. El documento recoge en uno de sus apéndices las opiniones de unos y otros en torno a estas recomendaciones. Se trata de una lectura muy recomendable.Para finalizar conviene destacar que durante 2011 ENISA ha tratado los principales temas en torno a la seguridad de ICS, comenzando con la valoración de las implicaciones de Stuxnet y el análisis del más reciente DuQu, así como ahora con este informe sobre seguridad en sistemas de control industriales.

 

 

Victor Fidalgo Villar

S21sec labs

Buenas prácticas – Cambio de contraseña

30 de abril de 2012. 20:20

En muchos casos, la contraseña es el único factor de autenticación para acceder a servicios como el de e-mail, redes sociales, etc. Por ello, es fundamental que las contraseñas que se utilicen sean lo más seguras posibles.

Para poder decidir si la contraseña es segura es necesario conocer qué métodos usan los delincuentes informáticos de forma habitual, con la intención de (para) dificultar su tarea...

Los principales métodos de ataque para obtener las contraseñas son:

  • Ataques de diccionario: Se comprueba si la contraseña coincide con una lista de palabras anteriormente confeccionada. Esta listas, llamadas diccionarios, pueden ser de distinta temática, idioma, etc."
  • Ataques de fuerza bruta: Un ataque de fuerza bruta consiste en ir probando todas las combinaciones posibles de un conjunto de letras, símbolos y números previamente seleccionados, hasta dar con la contraseña.
  • Ataques de ingeniería social: Los ataques de ingeniería Social consisten en manipular y engañar al usuario para que de manera voluntaria, exponga su contraseña (o datos sensibles para forzar su recuperación).

Seguir leyendo...

 

Fraude – Campaña de spam simulando ser la Agencia Tributaria

30 de abril de 2012. 20:49

Se tiene conocimiento de una campaña de fraude en la que los defraudadores se están haciendo pasar por la Agencia Tributaria española. El método de comunicación de esta campaña fraudulenta es mediante correos de spam.

En estos correos de spam, los delincuentes se identifican como la Agencia Tributaria, falseando el remitente del correo, y se nos informa de un supuesto reembolso que quieren hacernos efectivo, pero para el cual necesitan que les facilitemos primero ciertos datos..

Correo de spam, simulando ser la Agencia Tributaria

En el correo viene adjunto un fichero html, el cual nos invitan a descargar y abrir en nuestro navegador, para entonces rellenar los "datos necesarios", entre los que están los datos de la tarjeta de crédito.

Formulario fraudulento

 

Como es obvio, el formulario es falso y envía los datos a un servidor localizado en EEUU:

Servidor que recoge los datos robados

 

Un rápido vistazo al correo nos da una idea de que estamos ante un fraude, porque en la gran mayoría de los casos hay faltas de ortografía evidentes, o expresiones que resultan extrañas:

"..usted es elegible.."

"Descargue el formulario de devolución de impuestos unida a este mensaje.."

"Un reembolso se puede retrasar para una variedad de razones. Por ejemplo, la presentación registros inválidos o la aplicación después de la fecha límite."

Como conclusión, unas breves consideraciones:

  • No facilitar los datos de la tarjeta (incluido el código de seguridad CVV), salvo en sitios web de confianza.
  • La AEAT dispone a priori de todos nuestros datos.
  • Dados los tiempos que corren resulta sospechoso que la Agencia Tributaria se ponga en contacto con nosotros por correo para devolvernos cualquier cantidad de dinero, ¿verdad?

Como siempre, el sentido común es el mejor aliado contra este tipo de fraudes.

Rubén Piñero

S21sec ecrime

 

 

 

 

Agencia de Certificaciones de Ciberseguridad
Universidad Autónoma de Madrid
Campus de Cantoblanco
Calle Francisco Tomás y Valiente 11 - Edificio C
28049 MADRID

Teléfono: (+34) 91 4972620
Fax: (+34) 91 4975215
Correo: contacto.acc@uam.es