Malware en Redes Sociales                  Néstor Santos Vidales                                                Aurelio Be...
de negocio y funciones en el desempeño de sus          cada organización gestiona sus riesgos en cierta medida y de       ...
restringido; las campañas deben ser creadas y algunas de las               •    Robo de información sensible, cómo datos d...
y bajo un modelo de Gobierno, Riesgo y Cumplimiento                    a) Provisión de servicios: Se debe garantizar los(G...
IX. MONITOREO                                                     XI. TRABAJO FUTURO    Se establecen mecanismos para audi...
[10]   S. y S. en el Trabajo., “Método de evaluación general de   [14]    Diapic, M.Popovic, P.Lukic," Integration of the ...
Próxima SlideShare
Cargando en…5
×

Malware en redes sociales

78 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
78
En SlideShare
0
De insertados
0
Número de insertados
1
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Malware en redes sociales

  1. 1. Malware en Redes Sociales Néstor Santos Vidales Aurelio Benítez Camacho Maestría en Ingeniería de Sistemas y Computación Maestría en Ingeniería de Sistemas y Computación Pontifícia Universidad Javeriana Pontifícia Universidad Javeriana Bogotá, Colombia Bogotá, Colombia santosn@javeriana.edu.co aurelio.benitez@javeriana.edu.co Resumen—Este artículo analiza las amenazas, vulnerabilidades proporciona un control de acceso basado en credenciales, yy los riesgos que estas con llevan dentro del entorno empresarial, proporciona herramientas de logs de auditoria. Si se analizabasándose en la norma ISO 31000:2009 y en el marco de trabajo cada una de las características mencionadas, se puede observarde COSO 2, bajo un modelo de Gobierno, Riesgo y que las RSL cumplen cada una de estas; y si se puedeCumplimiento (GRC). administrar la identidad por una RSL, esta identidad por lo Index Terms—Riesgo, malware, GRC, Redes sociales, COSO tanto puede ser robada y suplantada, e información personal yII, ISO 31000. corporativa puede ser extraída [3]. A pesar que el robo de identidad no es la amenaza tratada en este artículo, si sirve de I. INTRODUCCIÓN medio para que los atacantes puedan introducir Malwares a sus víctimas, por este motivo estará presente en algunas de las secciones siguientes del artículo. En la actualidad, las personas utilizan las redes socialespara compartir fotos, videos, mantenerse en contacto con otras El objetivo principal de este artículo consiste en analizar laspersonas y por diversión; estas redes sociales son vistas como amenazas, vulnerabilidades y los riesgos que estas conllevanun medio virtual de comunicación, en el cual una persona dentro del entorno empresarial, basándose en la norma ISOingresa y busca otros usuarios que compartan los mismos 31000:2009 y en el marco de trabajo de COSO 2, bajo unintereses [1]. La popularidad de las redes sociales en línea modelo de Gobierno, Riesgo y Cumplimiento (GRC). Para el(RSL) ha crecido en los últimos años, redes como Facebook, modelo de GRC, en este artículo se utilizarán los principiosTwiter y Orkut han multiplicado la cantidad de usuarios; las propuestos por Deloitte [4]:personas utilizan las redes sociales, en sus casas, en la calle yen sus empresas, y este aumento en el uso y en la cantidad de • Principio 1: Una definición común de riesgousuarios, hace que los riegos de seguridad asociados a las RSL enfoca a la preservación y creación del valor, esse vuelvan una preocupación para la industria, la academia y el usada consistentemente a través de la organizacióngobierno [2]. • Principio 2: Un marco común de riesgo soportado por estándares apropiados (ej., COSO ERM, ISO, Algunas estadísticas sobre el tipo de información que las etc.) es usado a través de la organización parapersonas comparten en las redes sociales, fueron gestionar el riesgoproporcionadas por Ralph Gross y Alesandro Acquisti, quienes • Principio 3: Roles claves, responsabilidades yestudiaron a los usuarios de Facebook en la universidad autoridades relacionadas para gestionar el riesgoCarnegie Mellon, ellos descubrieron que el 90.8 por ciento de son claramente delimitadas dentro de lalos usuarios subía sus fotos, el 87.8 por ciento revelaba su organizaciónfecha de nacimiento, el 39.9 compartía su número telefónico y • Principio 4: órganos del gobierno (ej., Consejos deel 50.8 por ciento publicaba su dirección actual [2]; dicha Accionistas , comités de auditoría, etc.) tieneninformación se vuelve un insumo para el tipo de ataques que apropiada transparencia y visibilidad en lastrata este artículo, "Ataques por Malware", el cual será prácticas de la organización en la gestión deexplicado en detalle en las próximas secciones. riesgos para cumplir con sus responsabilidades • Principio 5: La dirección ejecutiva tiene la Otra manera de ver a las RSL, es como un espacio en el responsabilidad de diseñar, implementar ycual las personas administran su identidad, es decir, como un mantener un programa eficaz de los riesgosSistema de Gestión de Identidad (SGI). Las principales • Principio 6: Una infraestructura de gestión decaracterísticas de los SGI son: permiten guardar información riesgo común se utiliza para apoyar las unidadespersonal, proporcionan herramientas para gestionar estainformación personal y definir como esta es presentada,
  2. 2. de negocio y funciones en el desempeño de sus cada organización gestiona sus riesgos en cierta medida y de responsabilidades de riesgo cierta manera; sin embargo, lo que propone esta norma, son • Principio 7: Ciertas funciones (Ej., Auditoría una serie de principios (directrices) que deben ser satisfechos interna, gestión del riesgo, conformidad, etc.) para hacer una gestión eficaz del riesgo. Esta norma establece ofrecen garantías objetivas, así como supervisan e un marco de trabajo, y como tal es abierta a cualquier sector informan sobre la eficacia del programa de riesgo empresarial, a cualquier tipo de riesgo, dentro de cualquier de la organización Propiedad del Riesgo. alcance y contexto [6]. • Principio 8: Las unidades de negocio (departamentos, agencias etc.) son responsables C. COSO II: Gestión de Riesgos Empresariales por el desempeño de sus negocios y la gestión del riesgo de acuerdo al marco del riesgo establecido Coso II es un marco de referencia para gestionar los riesgos por la dirección ejecutiva. empresariales [7], ha ganado influencia debido a que está • Principio 9: Ciertas funciones (Ej., finanzas, relacionado a los requerimientos expuestos en la ley Sarbanes- gestión del riesgo, TI, conformidad, etc.) tienen un Oxley [8]. Coso II establece una serie de componentes para la impacto penetrante sobre el negocio y proveen administración de los riesgos [7]. soporte a las unidades del negocio de acuerdo al • Ambiente interno: establece cómo el personal de la programa de riesgos de la organización. organización percibe y trata los riegos. • Establecimiento de los objetivos: objetivos organizacionales que deben ser consecuentes con elA. Un primer acercamiento: Malwares en Redes Sociales riego aceptado. Un malware es un tipo de software malicioso que tiene • Identificación de los riesgos: eventos internos ycomo objetivo infiltrarse en una computadora sin el externos que afectan los objetivos de la organización.consentimiento de su propietario; el primer malware conocido • Evaluación de los riesgos: análisis de los riesgosen las redes sociales fue Samy, el cual atacó a la red social considerando su impacto y probabilidad.MySpace. Samy inició con la infección de una sola persona;después de 20 horas, más de un millón de personas se • Respuesta al riesgo: posibles respuestas a los eventosencontraban infectadas; después de dos días, MySpace tuvo que afectan los objetivos organizacionales (evitar,que ser apagado para poder arreglar el problema [5]. aceptar, reducir o compartir el riesgo). • Actividades de control: actividades para asegurar Samy, utilizaba un tipo de tecnología denominada “Cross que las respuestas a los riesgos se lleven a cabosite scripting (XSS)”, el cual es una falla de seguridad a la que efectivamente.las aplicaciones Web son vulnerables; algunas redes sociales se • Información y comunicación: captura dehan fortalecido para evitar que sus aplicaciones Web sean información y comunicación a los responsables.atacadas mediante XSS, sin embargo, nuevos tipos de Malware • Monitoreo: se monitorea toda la gestión de loshan aparecido, y mediante el uso de mensajes automáticos y de riesgos (componentes anteriores).ingeniería social son capaces de infectar a sus víctimas. Losmensajes son enviados a través de una red social, comoFacebook, y pide a las víctimas bajar una actualización de un D. Gobierno, Riesgo y Cumplimientosoftware para poder ver este mensaje, una vez el usuario Es un marco de referencia para la integración del Gobiernoacepta, este queda infectado [5]. Corporativo, la Administración de Riesgos y el Cumplimiento regulatorio; para lograr esto, se basa en los siguientes A pesar de que las redes sociales han dicho que sus sitios principios: La integración de los órganos/responsables delestán protegidos contra XSS, este sigue siendo el método más gobierno, la administración y gestión de riesgos, el controlutilizado en cuanto a Malware en Redes Sociales; existen dos interno y el cumplimiento, la asignación puntual de roles ytipos de ataques XSS, el ataque Persistente y el No Persistente. responsabilidades del personal clave, la formalización de losEl Persistente, inyecta el código malicioso directamente en el canales de comunicación, la aplicación de un enfoque basadoservidor como texto HTML, como por ejemplo en el campo de en riesgos, y la implementación de un programa decomentario de un foro, cuando el visitante accede al foro, cumplimiento [4].queda entonces infectado. El método no Persistente, es el másutilizado, en este tipo de ataque el código malicioso es enviadoa través de un mensaje de error o cualquier otro mensaje [5]. II. AMBIENTE INTERNO Para poder detectar la percepción de los riesgos relacionados al Malware en las Redes Sociales, se debeB. ISO 31000: Gestión de Riesgos establecer si existen campañas educativas, si el lenguaje Este estándar tiene como objetivo ayudar a las utilizado en estas es accesible a todos los usuarios y si el uso deorganizaciones a gestionar sus riesgos de manera efectiva. Si se las RSL está restringido. En caso de que las campañasanaliza cada organización en particular, es posible concluir que educativas no existan y que el uso de las RSL no esté
  3. 3. restringido; las campañas deben ser creadas y algunas de las • Robo de información sensible, cómo datos dedirectrices que se deben establecer son [9]: clientes • Todas las personas que acepten cómo amigos • Robo de activos físicos deben tener una imagen reconocible. • Información personal sólo debe ser mostrada a un círculo cercano de amigos. V. EVALUACIÓN DE RIESGOS • No se deben aceptar ningún tipo de archivos, La evaluación de los riesgos depende del entorno incluyendo imágenes. corporativo; sin embargo, este artículo pretende ser una guía • No publicar información laboral en las RSL. metodológica general sobre la gestión de los riesgos asociados • No abrir mensajes de spam. a los malwares en las RSL, por lo tanto, se presentarán unas directrices para la evaluación preliminar de los mismos. • No acordar encontrarse con una persona que se haya conocido a través de la RSL. Se deben establecer una escala de impacto de los riesgos y una escala de probabilidad de los mismos; una vez realizado En este punto, es recomendable tener en cuenta el noveno esto, se debe establecer una matriz de impacto vs probabilidad,principio del modelo de GRC definido por Deloitte, ya que en donde se identifiquen riegos críticos que la organizaciónexisten áreas de la compañía con mayor impacto a la hora de deba mitigar o evitar, y riesgos que la organización debamaterialización de los riesgos. aceptar. Con la matriz anterior se debe proceder a asociar los riesgos identificados [10]; la anterior es sólo un tipo de método III. ESTABLECIMIENTO DE OBJETIVOS que puede ser utilizado, existen varias metodologías que se pueden utilizar y que caben en la siguiente clasificación [11]: A pesar de que los objetivos de la organización ya deberíanestar creados, estos se deben utilizar para establecer el riesgo • Evaluación cualitativaaceptado [9]. • Evaluación semicuantitativa IV. IDENTIFICACIÓN DE RIESGOS • Evaluación cuantitativa Al identificar los riesgos, es recomendable tener en cuentael primer principio del modelo de GRC definido por Deloitte. Existen diferentes métodos para cada una de estasLas principales amenazas en las RSL relacionadas con los evaluaciones, los cuales se salen del alcance de este artículo.Malwares son las que tienen que ver con "Cross SiteScripting (XSS), virus y gusanos", estas amenazas tienen En este punto, es recomendable tener en cuenta el novenounas vulnerabilidades y unos riesgos asociados [9]. principio del modelo de GRC definido por Deloitte, ya que existen áreas de la compañía con mayor impacto a la hora de materialización de los riesgos, se debe evaluar si estaA. Vulnerabilidades evaluación de impacto y probabilidad es necesario hacerla por Algunas RSL permiten a los usuarios publicar código cada área por separado.HTML dentro de sus perfiles y dentro de sus mensajes, estasRSL son vulnerables a ataques XSS, estos ataques permiten VI. RESPUESTA AL RIESGOinyectar código malicioso en el computador de la víctima de Se debe definir cuál será la acción o la respuesta a tomaruna forma relativamente fácil, es por este motivo, que esta para cada riego de acuerdo con su evaluación, las posiblesforma de ataque es muy utilizada; este tipo de virus tiene la respuestas son [7]:particularidad de poder expandirse rápidamente. Ataques deingeniería social pueden ser usados para inyectar malwares que • Evitar: no se realizan las actividades que generanposteriormente pueden robar información valiosa para las el riesgo.organizaciones, usuarios, contraseñas, datos bancarios, entre • Reducir: se toman acciones para mitigar el riesgo.otro tipo de información. [9]. • Compartir: se toman acciones para transferir o compartir el riesgo, por ejemplo, una póliza deB. Riesgos seguros. Los efectos de la vulnerabilidad asociada son [9]: • Aceptar: no se toman acciones. • Denegación de servicio. • Pishing VII. ACTIVIDADES DE CONTROL • Envío y recepción de contenido no solicitado Se establecen políticas y procedimientos para ayudar a que • Robo de identidad las respuestas a los riesgos se den de manera adecuada • Espionaje corporativo [7].Estas políticas se centran en la creación de actividades de • Daño a redes corporativa. control enmarcadas en las redes sociales para este documento
  4. 4. y bajo un modelo de Gobierno, Riesgo y Cumplimiento a) Provisión de servicios: Se debe garantizar los(GRC) , las cuales podemos definir como las siguientes[8], controles de seguridad, políticas de servicio y niveles de[13],[14] : entrega sean gestionados, implementados y mantenidos por los terceros. • Control de acceso a la red b) Supervisión y revisión de los servicios prestados • Control de acceso al sistema operativo por terceros: Las actividades realizadas por terceros deben • Control de acceso a aplicaciones y a la ser monitoreados y auditadas regularmente para asegurar que información no incumplan con las políticas de seguridad del negocio. Cada una de estas actividades tiene sus respectivos c) Gestión de cambio en los servicios prestados porcontroles los cuales se han enfocado en las redes sociales para terceros: Se deben planificar los cambios en el suministromitigar los riesgos que con llevan, algunos de los controles del servicio, incluyendo mantenimiento, actualizaciones yson: revisiones de estado, con el fin de poder adecuar importancia 1) Control de acceso a la red a los riesgos y adecuar las políticas de seguridad a estos cambios. a) Políticas de uso para los servicios de red: Se debeproveer de servicios específicos a los usuarios según su rol. 5) Planificación y aceptación del sistema b) Control de la conexión a la red: Se debe bloquear a) Gestión de capacidades: Se debe monitorizar el usoredes compartidas, según la política de acceso a la red y las de recursos así como también establecer límites de uso denecesidades de negocio que necesiten suplirse por usuarios. recursos con el fin de asegurar el funcionamiento requerido c) Control de enrutamiento de la red: Se debe del sistema.controlar el enrutamiento de las redes para asegurar que las b) Aceptación del sistema: Se deben establecer criteriosconexiones y la transmisión de la información no incumplen de aceptación para cualquier tipo de modificación a loscon las políticas de control de acceso a las aplicaciones de sistemas.negocio. 6) Protección contra el código malicioso y descargable a) Controles contra el código malicioso: Se deben 2) Control de acceso al sistema operativo establecer controles de detección, prevención y recuperación contra el código malicioso. Para este caso de las redes a) Sistema de gestión de contraseñas: Los sistemas de sociales, se debe establecer mecanismos de protección contragestión de contraseñas deben garantizar la calidad de la código originado desde a web.contraseña y generar cada contraseña sin ningún patrón VIII. INFORMACIÓN Y COMUNICACIÓNespecífico. Se deben establecer responsables de cada actividad a) Uso de los recursos del sistema: Se deben controlar relacionada con los riesgos y mecanismos de comunicación[7].las aplicaciones del sistema que puedan hacer un uso La gestión de actividades y mecanismos de comunicaciónindebido de los recursos del sistema , como también ser son los siguientes [13][14][15]:verificar si no se han quebrado los controles de seguridadpuestos en los sistemas y aplicaciones . 7) Intercambio de información b) Desconexión automática de sesión: En el caso en que a) Intercambio de información y software: Se debense estén incumpliendo las políticas de seguridad, se debe establecer controles y políticas de intercambio de informacióndescontar de la red con el fin de prevenir alteraciones al con objetivo de salvaguardar la información por medio desistema o un uso indebido, así como también se debe cualquier tipo de comunicación.descontar del sistema luego de un tiempo determinado de b) Acuerdos de intercambio: Se debeninactividad. establecer acuerdos para el intercambio de información entre c) Tiempo de conexión: Para las redes compartidas o la organización y organizaciones externas.que posiblemente sean más inseguras, se debe establecer un c) Soportes físicos en transito: Se deben controlar lostiempo de conexión que permita tener una capa adicionar de medios que contienen información sensible de la organizaciónseguridad al no permitir conexiones permanentes externas. cuando se disponen a salir de los límites físicos de la organización. 3) Control de acceso al sistema operativo d) Mensajería electrónica: Se debe controlar el flujo de información de la mensajería electrónica de uso de la a) Procedimientos seguros de inicio de sesión: Se debe organización, con el fin de supervisar si está cumpliendo conrestringir el acceso a usuarios sobre la información y los controles de uso y medidas de protección.funcionamiento de las aplicaciones del negocio, en relación a e) Sistemas de información empresariales: Se debenla política de control de accesos definida para cada uno de implementar políticas y procedimientos para proteger laestos. información asociada a los sistemas de información del 4) Gestión de provisión de servicios por terceros negocio.
  5. 5. IX. MONITOREO XI. TRABAJO FUTURO Se establecen mecanismos para auditor y monitorear el Este trabajo trató individualmente uno de los principalesriesgo [7],[12],[13],[14],[15]. problemas de seguridad de las redes sociales, el Malware; sin embargo, este no es el único problema que estas redes poseen, 8) Supervisión y en trabajos futuros se pueden llegar a tratar otros problemas importantes como son: a) Registros de auditoria: Se deben mantener duranteun periodo de tiempo determinado todos los registros de • Borrado de cuentasauditoria con las grabaciones de las actividades de los • Spamempleados, con anormalidades y eventos que se hayan • Agregadorescausado y que involucren a la seguridad de información, con • Phishingel fin de facilitar el monitoreo de los controles de acceso y las • Infiltracióninvestigaciones que se lleven a cabo sobre este. • Robo de identidad b) Supervisión del uso del sistema: Se debeestablecer políticas de control de monitoreo para determinarlas actividades de monitoreo y las acciones que se debenrealizar en el caso de encontrar anormalidades o usosindebidos del sistema. c) Registro de administración y operación: Se deben REFERENCIASregistrar las actividades de los usuarios del sistema, con el finde tener datos que indiquen posibles infracciones en las [1] W. Luo, J. Liu, J. Liu, and C. Fan, “An Analysis of Securitypolíticas de seguridad. in Social Networks,” 2009 Eighth IEEE International X. CONCLUSIONES Conference on Dependable, Autonomic and Secure Computing, pp. 648–651, 2009. Los Malwares en las redes sociales son un tipo de amenazaque puede permitir desde el robo de la información personal de [2] H. Gao, J. Hu, T. Huang, J. Wang, Y. Chen, and A. Osns,las personas, hasta el robo de información sensible en las “Security Issues in Online Social Networks,” IEEE - Socialorganizaciones. El Malware puede ser combinado con otro tipo Network Security, 2011.de amenazas y herramientas para potenciar sus consecuencias, [3] E. P. Paper, S. N. Author, G. Hogben, S. Issues, O. S.por ejemplo, con el robo de identidad para lograr robar un Networks, S. Networks, S. Networks, S. Networks, F. I.activo físico de la organización. Providers, S. Networking, and S. Networks, “Security issues Con una adecuada gestión de riesgos, basada en in the future of social networking,” W3C Workshop on themetodologías y marcos de referencia existentes, como COSO II Future of Social Networking, pp. 3–7, 2012.y la norma ISO 31000, además usando un modelo GRC, esposible minimizar los riesgos asociados y en lugar de evitarlos. [4] ISACA, “Uniendo al Gobierno, Riesgo y Cumplimiento Es importante tener en cuenta que no importa el tipo de (GRC),” ISACA, 2010. [Online]. Available:riesgo a tratar, estos marcos de referencia ayudan de forma http://www.isacamty.org.mx.efectiva a gestionar cualquier tipo d riesgos. [5] A. Makridakis, E. Athanasopoulos, S. Antonatos, D. A la hora de realizar la evaluación de los riesgos, es Antoniades, S. Ioannidis, and E. P. Markatos,necesario considerar los factores ambientales de la empresa, “Understanding the Behavior of Malicious Applications incomo sus objetivos organizacionales, sector económico, y Social Networks,” IEEE Network - September/October 2010factores normativos. 19, no. October, pp. 14–19, 2010. El clima organizacional de la empresa es un factordeterminante a la hora de evaluar los riesgos asociados al [6] M. Castro, “El Nuevo Estándar ISO para la Gestión del Riesgo,” pp. 1–4, 2009.malware en las redes sociales, es necesario hacer visible losriesgos que conllevan la imprudencia e ignorancia, con un [7] M. A. P. R. P. Arte, “COSO II : Enterprise Riskclima organizacional saludable, los empleados podrán Management – Primera Parte,” 2009.identificar de buena manera y por propia voluntad, los riesgosque existen al llevar a cabo acciones imprudentes dentro de [8] The Public Risk Management Asociation, “A structuredestas redes sociales. approach to Enterprise Risk Management ( ERM ) and the Es importante establecer el uso adecuado de los servicios requirements of ISO 31000 Contents,” AIRMIC, Alarm,con el fin de hacer monitoreos y revisiones que no incumplan IRM: 2010, 2010.con la protección de datos y la privacidad de la información de [9] E. Position and P. No, “Security Issues andcarácter personal. Recommendations for Online Social Networks,” ENISA, no. 1, 2007.
  6. 6. [10] S. y S. en el Trabajo., “Método de evaluación general de [14] Diapic, M.Popovic, P.Lukic," Integration of the technical riesgos,” 2013. [Online]. Available: http://norma- product risk assessment within the ISO 31000 enterprise ohsas18001.blogspot.com/. risk management concept", IEEE Network , 2010.[11] M. Robertson, Y. Pan, B. Yuan, and A. Background, “A Social Approach to Security : Using Social Networks to [15] Cisco"Evaluating Application Service Provider Help Detect Malicious Web Content,” IEEE Security for Enterprises", [Online]. Available: COMMUNICATIONS LETTERS, 2012. http://www.cisco.com/web/about/security/intelligence/asp- eval.html, 2011[12] AirMic Alarm," A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000,” The Public Risk Management Association, 2010.[13] John Shortreed, “ISO 31000 – Risk Management Standard”, University of Waterloo, 2008.

×