La mayoría de las acciones siguientes se podrían evitar restringiendo instalar software de origen desconocido que permita realizar multitud de ataques que explicaré a continuación.

También aislando los equipos informáticos, con medidas de acceso seguras adecuadas (la seguridad física  también afecta a la lógica).

Es necesario disponer de las medidas necesarias  para «intentar» proteger al máximo los sistemas y los datos. Cumpliendo el trinomio C.I.D., y moviéndonos en sus tierras 😉 .(Confidencialidad, Integridad, Disponibilidad). Y por supuesto el respaldo o backup de la Información.

Es por ello necesario un software antivirus + complementos relacionados con la seguridad. Las soluciones antivirus de por si, no están especializadas en detectar troyanos y malware, por lo tanto instalaremos software adicional para este tipo de amenazas.

Si necesitásemos controlar los procesos infecciosos de los usuarios, es necesario supervisar la ejecución e instalación de aplicaciones. Para ello los roles y privilegios de los usuarios deben estar restringidos, no siendo posible la ejecución e instalación de aplicaciones por parte de los mismos, activando el proceso SU o en windows el UAC. Esas políticas de seguridad quedarán definidas por el administrador/res de la red o directorio activo en caso de existir dominios.  Estas directrices evitan que el usuario cambie el proxie de su navegador y la configuración. De esta manera evitamos que se infecte visitando webs con posibles malwares.

Los sitios web visitados pueden controlarse mediante el empleo de un proxie que supervise las web visitadas, tiempos de conexión, sitios donde se puede descargar software maligno.

La seguridad de un sistema informático es algo complejo, y requiere de muchos parámetros de configuración que es necesario tener presentes para establecer un correcto uso, y asegurar los datos e información.

Me atrevería a decir que el correo electrónico, y todos los ataques derivados de su uso y el empleo de software pirata (activadores, cracks, keygens,  etc..) son los frentes más activos de contagio de un usuario.

Del correo electrónico derivan problemas como el contagio por gusanos, que usan técnicas de ingeniería social o aprovechan las vulnerabilidades del cliente de e-mail.

Por otra parte, otro tipo de ataques pueden usar como medio el empleo de emails (phising) para llevar a cabo sus objetivos.

El empleo de software desconocido o de dudosa procedencia, puede provocar la instalación de programas ocultos, spyware , troyanos, keyloggers que comprometan la seguridad del sistema.

Los USB deben estar desactivados o supervisados para evitar la ejecución portable de aplicaciones y el arranque de un Live SO.

Si no se posee una configuración adecuada de la seguridad de los equipos, se pueden instalar programas que puedan realizar Trashing  (análisis de buffers de impresión, memoria, discos), así como aprovechar la inocencia de un usuario al anotar sus accesos en papel y luego arrojarles a la basura, o dejarles visibles en lugares de fácil acceso.

La monitorización es posible si se instala el software que permite estudiar el comportamiento del usuario.

El shoulder surfing puede ser empleado de manera continua y generalizada si se espía al compañero para obtención de sus credenciales de acceso. De tal forma que puedan tener acceso a recursos privados y no compartidos con el posible daño que ello puede ocasionar. Es necesario asegurarse que cada vez que entremos al sistema no existe una vigilancia ni observación de los caracteres tecleados o actos que realizamos.

El Decoy o señuelo, puede ser usado creando una interfaz similar en los procesos de login del usuario. Por ejemplo, recuerdo que algún compañero creo un shell script similar al proceso de logon en un sistema UNIX. Al introducir el usuario y la password en la Terminal, generaba errores, el usuario abandonaba el puesto y acto seguido el atacante rompía el shell script y en un fichero log, era capaz de ver el usuario y password que había empleado para validarse. De esta forma ya disponía de las credenciales de acceso y restauraba el Terminal en modo normal.

El escaneo de puertos (scanning) para atacar a la máquina de otro usuario. Mediante herramientas TCPIP (Ejemplo netscantools). Se pueden ver todos puertos abiertos TCP y UDP para ver los posibles servicios que corren en ellos. Luego mediante un Exploit intentar atacar a uno de esos servicios para tomar control  de la máquina. Algunos procesos o virus (troyanos) usan puertos no estándar a partir de 1024 donde posee un agente en modo servidor, con el cliente adecuado podemos tomar control y observar las acciones del usuario. Ejemplo muy conocido que fue bastante usado en su momento BackOrifice. Era brutal. Para prevenir esto, es necesario tener configurado correctamente el Firewall o cortafuegos.

Los sniffers pueden ser usados si tenemos acceso a puertos USB y disponemos de una aplicación que se ejecute en la llave sin necesidad de instalación. Algunos de ellos aprovechan que la tarjeta puede estar configurada en modo promiscuo y realizar ataques de escucha y Man in the middle. Ejemplo Ettercap, versión Windows USB o una distro arrancable en USB (live CD) como backtrack (altamente usada por los usuarios que quieren comprobar la seguridad de su sistema 😉

Ataques a los servidores de correo y cuentas de usuario mediante el empleo de técnicas de ingeniería social. Ejemplo: Ejecuta este programa interesante, etc. El usuario se contagia con el programa espía.

Empleo de software ataque por fuerza bruta para autenticar y averiguar las credenciales de acceso.

Virus, backdoors, troyanos pueden estar a la orden del día.

Las visitas a páginas web que contienen código que aprovecha los fallos de seguridad del sistema o navegador (ActiveX de Microsoft Explorer y otros). Ataques al DOM de Javascript, etc. Es necesario actualizar todo, estar al día, tanto en los parches del S.O. como en las aplicaciones usadas.

Los ataques de DOS y DDOS (o denegación de servicio) aprovechando  saturar la red pueden llevarse a cabo mediante la coordinación y suma de usuarios desde la red.

El DNS spoofing y el IP spoffing pueden ser empleados también. Mediante el ataque al servidor DNS de la PYME aprovechando fallos en BIND o el servidor DNS de Microsoft. Que por cierto en BIND exitió uno fallo muy comentado que sembró la duda en la seguridad en los nombres de dominio en Internet.

Respecto al router y el wifi. Pueden ser atacados desde cualquier lugar con cobertura desde fuera o dentro de las instalaciones. La seguridad WEB es inexistente y la WPA puede ser atacada (multitud de programas conocidos). Es por lo tanto necesario establecer parámetros adicionales como una seguridad WPA2, cambiar la clave cada cierto tiempo, actualizar el firmware del router, crear MAC de acceso controlado, ocultar SSID, etc.

Vital es, no exponer todas las máquinas a la red pública, solamente aquellas que sean de uso compartido.

Para finalizar, en líneas generales el protocolo híbrido TCP/IP , es por definición inseguro, la información a niveles inferiores de la pila OSI de ISO viaja sin cifrar, los cimientos  de Internet, su lenguaje común de comunicación,  son inseguros. Las intranets, extranets funcionan  de forma habitual con el mismo idioma.

Por lo que la cuestión que dejo en el aire es; estamos inmersos en un mundo no cifrado de forma habitual. Para asegurar las transmisiones es necesario partir de otros protocolos (no por ello no vulnerables) como el IPSEC, cosa que todavía veo lejana. Internet no funciona por IPSEC. ;-(

Esto no implica que no tomemos las medidas necesarias  para «intentar» proteger al máximo los sistemas y los datos. Cumpliendo el trinomio C.I.D. (Confidencialidad, Integridad, Disponibilidad). Y por supuesto el respaldo o backup de la Información.