Análisis de los principales mitos de la seguridad surgidos desde los inicios en la materia. Realizado por: Javier Váldes, COO de Logtrust. Para más información sobre nuestra plataforma visita la web: www.logtrust.com o contacta via email con: info@logtrust.com
3. 1980
Comienza la preocupación por la Seguridad
Informática
1990
Se perciben los riesgos de la interconexión de
Ordenadores
1995Internet !!
2000Verdaderos
Fraudes
1985Aparecen
Virus
4. Mito:
Fraude del Salami
1980
Comienza la preocupación por la Seguridad
Informática
La amenaza se ve interna
Nace “Auditoría Informática”… pero no “Seguridad
Informática”
7. Mito: Fraude del
Salami
Técnica del Salami:
-Redondeo de céntimos en operaciones
financieras
-Acumulación de los restos en una cuenta
del defraudador
Nunca se llegó a saber exactamente quién lo pudo
cometer, dónde y cuando.
Pero duramente mucho tiempo funcionó…
8. Mientras tanto…
“Pepe el del Popular” era
quien de verdad se
llevaba el dinero…
Con rodajas de Salami
más gruesas y sin usar
ordenadores.
Mito: Fraude del
Salami
9. No hay pantalla !!
Es un rollo de papel
térmico
Consola de “parches”
1 fila diales: dirección
Hex
2 fila diales: contenido
Hex
…
Curiosidades de la época…
Input
masivo
10. Primeros sistemas de Banca On Line (mainframe con
sucursales)
No existía el concepto “autenticación de usuario”
Los derechos de acceso los suministraban unas llaves
físicas en el terminal
Las de “supervisor”… acababan siempre puestas
Curiosidades de la época…
11. Curiosidades de la época…
Arqueología
Informática
Teclas:
•Modificadora
•Activadora
12. Mito:
Fraude del Salami
1980
Comienza la preocupación
por la Seguridad
Informática
La amenaza se ve interna
Nace “Auditoría
Informática”… pero no
“Seguridad Informática”
1990
Empieza a ser frecuente la aparición de áreas de
“Seguridad Informática”
Mito:
El huevo del Cuco
Se perciben los riesgos de la
interconexión de Ordenadores
13. Mito: El huevo del
cuco
El libro “El huevo del cuco” de
Cliff Stoll (1989) se convirtió en
el libro de cabecera para
muchos profesionales… o en
trance de serlo.
En realidad las aún escasas
conexiones que había eran
privadas, en sistemas
cerrados:
•Conexiones punto a punto
•Red X-25
•…
Sin embargo el temor a los
peligros de las conexiones se
extendía.
14. Mito: El huevo del
cuco
La incipiente amenaza sólo era
percibida por los profesionales
implicados…
… y el auténtico Mito era la
propia existencia de una
Seguridad Informática…
15. Eso dio lugar a la variante de Seguridad
Informática :
“Seguridad del Libro
Gordo”
16. Mito:
Fraude del Salami
1980
Comienza la preocupación
por la Seguridad
Informática
La amenaza se ve interna
Nace “Auditoría
Informática”… pero no
“Seguridad Informática”
1990
Empieza a ser frecuente la
aparición de áreas de
“Seguridad Informática”
Mito:
El huevo del Cuco
Se perciben los riesgos de la
interconexión de
Ordenadores
1995Internet !!
Mito:
Hay que comprar y
poner de todo !!
Pánico al riesgo reputacional
Comienzan inversiones y dotación de
recursos
17. La llegada de Internet ha sido el verdadero Big Bang
“La inseguridad de Internet ha sido el
verdadero motor de la Seguridad
Informática”
18. Horizontal: grado de sofisticación y daño potencial de los ataques informátic
Vertical: conocimiento necesario para llevarlos a cabo
Nunca fue tan fácil realizar ataques, cada vez más
sofisticados
19. Mito: Hay que comprar y poner
de todo !!
La acumulación de dispositivos produce una sensación
de falsa seguridad y es contraproducente
Firewall 1
IPS
LAN
Control
Anti
Virus 2
Anti
Virus 1
IDS Open
Source
IDS de
Pago
Anti
SPAM
Firewall 2
Mainfram
e
21. Mito: Hay que comprar y poner
de todo !!Consecuencia:
RAC
F
LAN
Manager
=
•Solido
•Fiable
•Muy probado
•Especialmente débil
•Max 14 caracteres
•Cifrado en bloques de 7
•Autocompletado con
constante
Crackeado
trivial
“… una contraseña de 8 caracteres bien construída es muy
difícil de romper... “
Dijo el Jefe de Explotación de Mainframe
22. Mito:
Fraude del Salami
1980
Comienza la preocupación
por la Seguridad
Informática
La amenaza se ve interna
Nace “Auditoría
Informática”… pero no
“Seguridad Informática”
1990
Empieza a ser frecuente la
aparición de áreas de
“Seguridad Informática”
Mito:
El huevo del Cuco
Se perciben los riesgos de la
interconexión de
Ordenadores
1995Internet !!
Mito:
Hay que comprar y
poner de todo !!
Pánico al riesgo reputacional
Comienzan inversiones y dotación de
recursos
2000Verdaderos
Fraudes
Los Hackers dejan de ser
personajes románticos
Mito:
Ponerlo todo difícil
23. Aparecen los verdaderos FRAUDES… pero no donde
se podía esperar…
El verdadero punto
débil es el Usuario
25. Un ejemplo real, uno de los primeros casos
de Phishing
Unos 200 usuarios
introdujeron la
contraseña en la
web falsa
… de los cuales 75 rellenaron las
100 posiciones de la tarjeta de
claves
26. “Cada minuto nace un nuevo
incauto”
Phineas Taylor Barnum – Empresario Circense, artista del engaño
27. Cada año se siguen recibiendo decenas de solicitud de
patente para dispositivos de movimiento perpetuo.
28. …a pesar de que incluso Homer Simpson ya advirtió sobre
ello:
Lisa, en esta
casa se respetan
las leyes de la
termodinámica !
29. Sin embargo… la reflexión de un Hacker:
“Inducís a la gente a
usar la tecnología,
pero no les advertís de
los riesgos que corren”
30. Mito: Ponerlo todo difícil
Contraseñas complicadas
Imposible recordar todas las que se tienen
que utilizar… se apuntan
Cambio frecuente de
contraseñas
“… no te diré la contraseña que tienes
ahora, te diré la que tendrás el mes que
viene…”Nunca se instruye al usuario
Existen formas relativamente sencillas de
construir contraseñas sólidas y fáciles de
recordar. Nadie lo facilita
La sofisticación técnica no evitará la
negligencia
Juicio por fraude de un Administrador, intentando
endosar responsabilidad al banco “por no usar
31. Probablemente haya, al menos, dos mundos
en la Seguridad Informática:
Mundo técnico:
“Seguridad de la vaca
esférica”
Mundo ordinario:
Fraude
•Man in the middle
•Rotura de claves cifradas
•Ciberguerra
•Espionaje
•…
•Phishing
•Falsos premios
•Falsos créditos
•Falsas ofertas de trabajo
•…
34. Viaje a USA en 2001 para contrastar
experiencias con un Banco Americano:
-¿Qué han hecho cuando han tenido algún
incidente de seguridad?
-Nunca hemos tenido un incidente de
seguridad
-…pero ¿qué harían si lo tuvieran?
-Decir que nunca hemos tenido un
incidente de seguridad