Escudo de la República de Colombia Escudo de la República de Colombia
UN Periódico Digital

Resultados de Búsqueda:

UN Periódico Digital
    El camino en busca de la ciberseguridad

En la actualidad es común usar palabras como ciberseguridad, contraseña, hackeo, virus informático y otros términos relacionados con la seguridad informática, debido a que cada día se reportan más casos de personas afectadas por algún tipo de crimen asociado al uso de internet a través de dispositivos electrónicos.

Grandes compañías del mundo como Ebay, Korean Telecom y Snapchat tuvieron algún problema de seguridad cibernética en 2014. El número de casos se aproxima a los 160 millones en total. En Colombia, los sectores que reportaron algún tipo de incidente de seguridad informática en 2015, según un documento Conpes de 2016, fueron:

  • Ciudadanía, 42.4%
  • Gobierno, 23.9%
  • Educación, 9.2%
  • Industria, 6.6%
  • Defensa, 5.8%
  • Tecnologías de la información y la comunicación (TIC), 1.4%
  • Medios de comunicación, 0.9%
  • Entidades adscritas, 0.7%
  • Salud, 0.1%

La preocupación sobre la seguridad de los datos de los usuarios del ciberespacio ha ido aumentado durante los últimos años en el mundo. En 1991 en Estados Unidos se creó el programa de Investigación y Desarrollo de Redes e Informática Federales (NITRD por sus siglas en inglés) como un espacio para coordinar las actividades desarrolladas por las distintas agencias federales en cuanto a investigación en redes y áreas relacionadas con la tecnología de la información.

En particular, se ha podido proteger tanto la ciberestructura como la infraestructura estratégica del país, como por ejemplo, represas, plantas de tratamiento de agua potable, infraestructura minera y bases de datos en las que se guarda información del público y de las agencias gubernamentales y privadas.

La investigación es coordinada por el grupo interinstitucional de ciberseguridad y seguridad de la información (CSIA, por sus siglas en inglés). Estos esfuerzos conjuntos llevaron a la construcción del documento “Ciberespacio de confianza: Plan estratégico para el Programa Federal de Investigación y Desarrollo de Ciberseguridad", en 2011, cuyo objetivo fue establecer el marco general para definir las prioridades y objetivos de la investigación en ciberseguridad.

Sus acciones han permitido establecer estrategias para medir, prevenir y responder a los ataques en contra de la seguridad tanto de instituciones gubernamentales como de corporaciones privadas y se ha podido enfrentar crímenes asociados al ciberterrorismo, la suplantación de identidad o el secuestro de información.

En particular, se ha podido proteger tanto la ciberestructura como la infraestructura estratégica del país, como por ejemplo, represas, plantas de tratamiento de agua potable, infraestructura minera y bases de datos en las que se guarda información del público y de las agencias gubernamentales y privadas.

Virus y rastreadores más comunes

Muchos de los crímenes cometidos en el ciberespacio se hacen con ayuda de programas informáticos conocidos como virus. El primero de ellos se denominó Creeper y fue desarrollado hace 40 años por un equipo de analistas adscrito a la primera red de computadoras creada por el Departamento de Defensa de los Estados Unidos, considerada la precursora de internet (Arpanet), con propósitos académicos.

El programa infectaba un sistema de computadores y se replicaba a sí mismo haciendo aparecer en la pantalla del computador el mensaje “I´m the creeper, catch me if you can” (soy Creeper, atrápame si puedes)

En respuesta a esta infección se creó el primer programa antivirus conocido como Reaper. Tiempo después, en 1989, en Estados Unidos se detectó el virus Disk Killer, cuya característica principal era que usaba técnicas criptográficas para atacar los datos. El virus se propagó rápidamente en Europa y tomó 48 horas controlarlo. Este virus ocultaba los datos guardados en el disco duro del computador mediante una clave (encriptar) y una vez se desarrollaba el ataque aparecía en la pantalla el mensaje ‘’don’t turn off the power or remove the diskette while Disk Killer is Processing’’ (no apague ni desconecte el disquete mientras Disk Killer está procesando). Después de realizar el cifrado de los datos en el disco duro, aparecía en la pantalla el mensaje ‘’Now you can turn off the power. I wish you Luck’’ (ahora puede apagar. Buena suerte).

El funcionamiento de Disk Killer es semejante al del virus WannaCry, el cual es un tipo de Ransomware, conocido en mayo de 2017 y usado no solo para encriptar los datos de las víctimas sino también para pedir dinero (criptomonedas) a cambio de la recuperación de los datos secuestrados. Se cree que por razones económicas y de seguridad, muchas compañías en el mundo atacadas por este programa malicioso no hicieron público este incidente de inseguridad cibernética.

 

Otra herramienta usada para franquear la seguridad cibernética son los llamados sniffers o rastreadores, cuyo objetivo es registrar y escuchar cualquier dato que pase cerca de ellos. En Colombia se reportó este tipo de actividad en 2017, tanto en teléfonos celulares como en computadores. El objetivo de los delincuentes era obtener información relevante del público y las contraseñas usadas para realizar transacciones bancarias, riesgo que eventualmente se puede controlar con la actualización de los antivirus. Este tipo de aplicación constituye una amenaza si se sitúa en su red local o en un punto intermedio prominente. BUTTSniffer es un ejemplo de este tipo de  (programa o código malicioso).

Es por esto que si dentro de sus funciones o actividades diarias está la transmisión de datos importantes, estos deben ser cifrados (transcritos) para no corroborar un principio muy común entre los hackers según el cual ‘’aquel que transmita información importante sin haberla cifrado bien se merece lo que le pase’’.

Contraseñas débiles, puerta a la ciberdelincuencia

Las contraseñas o passwords en los sistemas informáticos son la llave con la que se puede acceder a sistemas cuya entrada ha sido restringida por un administrador. Para ello, se le solicitan al usuario datos que encajan en una de las siguientes categorías:

  • Algo que solo él sepa (como una palabra o frase secreta).
  • Algo que solo él tenga (como un número personal de identificación o PIN).
  • Algo que solo él sea y lo diferencie del resto de la población (medidas biométricas como el iris o la huella digital).

Una vez aceptada la contraseña por el administrador cuando satisface las reglas acordes con la categoría del usuario, se encripta para lo cual se asocia un valor de hash o función de resumen. Por ejemplo, una contraseña del tipo abcd123! puede tener asociado un único valor hash de la forma kUgeg0BmnWj9l imposible de descifrar.

Actualmente se cree que uno de los mayores problemas en ciberseguridad es la pobre construcción de contraseñas por parte de los usuarios, lo que ha causado enormes pérdidas económicas a las corporaciones e instituciones gubernamentales. De acuerdo con sondeos realizados por Kapersky Lab en 2015 y 2016, por cada incidente de seguridad reportado, las pequeñas y medianas empresas pierden en promedio 38.000 dólares y las grandes, 551.000 dólares.

Según la Encuesta Global de Riesgos de Seguridad de TI, 2015-2016, solo el 4 % de los usuarios escogieron una contraseña segura para hacer transacciones por internet. Y una contraseña mal elegida es una puerta abierta para los ciberdelincuentes así se hayan cargado los antivirus más sofisticados o los cortafuegos (sistema que protege redes y terminales privadas de accesos no autorizados, especialmente durante la navegación por Internet) más rigurosos.

El problema radica en que los seres humanos no somos buenos para generar listas de números aleatorios que no posean significado para nosotros y que, a la vez, puedan ser usados como contraseñas en sistemas informáticos. Generalmente, para construir una contraseña usamos nuestra base de datos personal que consta generalmente de fechas de cumpleaños de seres queridos o fechas significativas de sus vidas como el día de graduación, de boda, etc. Esto ha hecho más frecuentes ataques en internet, conocidos como phishing o suplantación de identidad, que solicitan datos a los usuarios a través de engaños para intentar conocer sus contraseñas o que se sustituyen su identidad para cometer ilícitos.

De acuerdo con sondeos realizados por Kapersky Lab en 2015 y 2016, por cada incidente de seguridad reportado, las pequeñas y medianas empresas pierden en promedio 38.000 dólares y las grandes, 551.000 dólares.

La solución al uso débil de la contraseña es implementar libretas de un solo uso, es decir, que por cada uso que se haga del sistema se asigne una y solo una clave. Algunos bancos ofrecen este servicio por medio de un dispositivo electrónico o token al usuario, con lo cual, los problemas de seguridad se trasladan a otro plano.

Un incidente relacionado con el manejo de contraseñas fue reportado en Colombia en el que expertos informaban sobre un compromiso a la privacidad de la clave usada por los ciudadanos al entrar a la página del Dane (Departamento Administrativo Nacional de Estadística) para realizar el censo nacional. La solución en estos casos es la consecución de varias claves que puedan ser usadas por cada transacción que se haga en internet.

Otra solución al problema de contraseñas fue propuesta por K. Renaud en 2009 quien sugiere construir nuevos esquemas de contraseñas visuales, dado que se ha probado que los humanos son mejores para construir o modificar imágenes arbitrarias que para generar listas de números aleatorios. Los avances en esta línea de investigación han sido evidentes en los últimos años. Un ejemplo son los sistemas de desbloqueo de pantalla de teléfonos celulares o el sistema de protección de pantalla implementado para computadores que usen Windows 10 como sistema operativo.

A la fecha, varias herramientas hacker han sido desarrolladas para modificar los software con el fin de eliminar sus métodos de protección (de copias, versiones de prueba número de serie, claves de hardware, verificación de fechas, de cd o publicidad y aware) contraseñas, esto es, obtenerlas sin permiso del administrador, como por ejemplo, el famoso programa criptográfico John the Ripper, capaz de romper casi cualquier contraseña.

Relacionados

537,88,538,539,540

Como parte del cese de hostilidades comerciales acordado entre los dos países, Donald Trump empieza a reducir su déficit en 200 mil millones de...

El uso de armas químicas en Duma, con el que el gobierno de Estados Unidos justificó su posterior bombardeo a Siria -apoyado por Francia y Reino...

Varios mandatarios se unirían a las ausencias de Donald Trump y Nicolás Maduro. Solo doce de los 34 presidentes invitados han confirmado su asistencia...

El malestar expresado hace dos años por Estados Unidos debido a los precios de exportación del acero resistente a la corrosión procedente de China...

No es la primera vez que un presidente de Estados Unidos adopta esta decisión, que se da en medio de la renegociación del Tratado de Libre Comercio de...

Consejo Editorial