SlideShare una empresa de Scribd logo

Malware en redes sociales

Descargar como DOC, PDF
R
radicalvirus
1 de 6
Malware en Redes Sociales Néstor Santos Vidales Aurelio Benítez Camacho Maestría en Ingeniería de Sistemas y Computación Maestría en Ingeniería de Sistemas y Computación Pontifícia Universidad Javeriana Pontifícia Universidad Javeriana Bogotá, Colombia Bogotá, Colombia santosn@javeriana.edu.co aurelio.benitez@javeriana.edu.co Resumen—Este artículo analiza las amenazas, vulnerabilidades proporciona un control de acceso basado en credenciales, y y los riesgos que estas con llevan dentro del entorno empresarial, proporciona herramientas de logs de auditoria. Si se analiza basándose en la norma ISO 31000:2009 y en el marco de trabajo cada una de las características mencionadas, se puede observar de COSO 2, bajo un modelo de Gobierno, Riesgo y que las RSL cumplen cada una de estas; y si se puede Cumplimiento (GRC). administrar la identidad por una RSL, esta identidad por lo Index Terms—Riesgo, malware, GRC, Redes sociales, COSO tanto puede ser robada y suplantada, e información personal y II, ISO 31000. corporativa puede ser extraída [3]. A pesar que el robo de identidad no es la amenaza tratada en este artículo, si sirve de I. INTRODUCCIÓN medio para que los atacantes puedan introducir Malwares a sus víctimas, por este motivo estará presente en algunas de las secciones siguientes del artículo. En la actualidad, las personas utilizan las redes sociales para compartir fotos, videos, mantenerse en contacto con otras El objetivo principal de este artículo consiste en analizar las personas y por diversión; estas redes sociales son vistas como amenazas, vulnerabilidades y los riesgos que estas conllevan un medio virtual de comunicación, en el cual una persona dentro del entorno empresarial, basándose en la norma ISO ingresa y busca otros usuarios que compartan los mismos 31000:2009 y en el marco de trabajo de COSO 2, bajo un intereses [1]. La popularidad de las redes sociales en línea modelo de Gobierno, Riesgo y Cumplimiento (GRC). Para el (RSL) ha crecido en los últimos años, redes como Facebook, modelo de GRC, en este artículo se utilizarán los principios Twiter y Orkut han multiplicado la cantidad de usuarios; las propuestos por Deloitte [4]: personas utilizan las redes sociales, en sus casas, en la calle y en sus empresas, y este aumento en el uso y en la cantidad de • Principio 1: Una definición común de riesgo usuarios, hace que los riegos de seguridad asociados a las RSL enfoca a la preservación y creación del valor, es se vuelvan una preocupación para la industria, la academia y el usada consistentemente a través de la organización gobierno [2]. • Principio 2: Un marco común de riesgo soportado por estándares apropiados (ej., COSO ERM, ISO, Algunas estadísticas sobre el tipo de información que las etc.) es usado a través de la organización para personas comparten en las redes sociales, fueron gestionar el riesgo proporcionadas por Ralph Gross y Alesandro Acquisti, quienes • Principio 3: Roles claves, responsabilidades y estudiaron a los usuarios de Facebook en la universidad autoridades relacionadas para gestionar el riesgo Carnegie Mellon, ellos descubrieron que el 90.8 por ciento de son claramente delimitadas dentro de la los usuarios subía sus fotos, el 87.8 por ciento revelaba su organización fecha de nacimiento, el 39.9 compartía su número telefónico y • Principio 4: órganos del gobierno (ej., Consejos de el 50.8 por ciento publicaba su dirección actual [2]; dicha Accionistas , comités de auditoría, etc.) tienen información se vuelve un insumo para el tipo de ataques que apropiada transparencia y visibilidad en las trata este artículo, "Ataques por Malware", el cual será prácticas de la organización en la gestión de explicado en detalle en las próximas secciones. riesgos para cumplir con sus responsabilidades • Principio 5: La dirección ejecutiva tiene la Otra manera de ver a las RSL, es como un espacio en el responsabilidad de diseñar, implementar y cual las personas administran su identidad, es decir, como un mantener un programa eficaz de los riesgos Sistema de Gestión de Identidad (SGI). Las principales • Principio 6: Una infraestructura de gestión de características de los SGI son: permiten guardar información riesgo común se utiliza para apoyar las unidades personal, proporcionan herramientas para gestionar esta información personal y definir como esta es presentada,
de negocio y funciones en el desempeño de sus cada organización gestiona sus riesgos en cierta medida y de responsabilidades de riesgo cierta manera; sin embargo, lo que propone esta norma, son • Principio 7: Ciertas funciones (Ej., Auditoría una serie de principios (directrices) que deben ser satisfechos interna, gestión del riesgo, conformidad, etc.) para hacer una gestión eficaz del riesgo. Esta norma establece ofrecen garantías objetivas, así como supervisan e un marco de trabajo, y como tal es abierta a cualquier sector informan sobre la eficacia del programa de riesgo empresarial, a cualquier tipo de riesgo, dentro de cualquier de la organización Propiedad del Riesgo. alcance y contexto [6]. • Principio 8: Las unidades de negocio (departamentos, agencias etc.) son responsables C. COSO II: Gestión de Riesgos Empresariales por el desempeño de sus negocios y la gestión del riesgo de acuerdo al marco del riesgo establecido Coso II es un marco de referencia para gestionar los riesgos por la dirección ejecutiva. empresariales [7], ha ganado influencia debido a que está • Principio 9: Ciertas funciones (Ej., finanzas, relacionado a los requerimientos expuestos en la ley Sarbanes- gestión del riesgo, TI, conformidad, etc.) tienen un Oxley [8]. Coso II establece una serie de componentes para la impacto penetrante sobre el negocio y proveen administración de los riesgos [7]. soporte a las unidades del negocio de acuerdo al • Ambiente interno: establece cómo el personal de la programa de riesgos de la organización. organización percibe y trata los riegos. • Establecimiento de los objetivos: objetivos organizacionales que deben ser consecuentes con el A. Un primer acercamiento: Malwares en Redes Sociales riego aceptado. Un malware es un tipo de software malicioso que tiene • Identificación de los riesgos: eventos internos y como objetivo infiltrarse en una computadora sin el externos que afectan los objetivos de la organización. consentimiento de su propietario; el primer malware conocido • Evaluación de los riesgos: análisis de los riesgos en las redes sociales fue Samy, el cual atacó a la red social considerando su impacto y probabilidad. MySpace. Samy inició con la infección de una sola persona; después de 20 horas, más de un millón de personas se • Respuesta al riesgo: posibles respuestas a los eventos encontraban infectadas; después de dos días, MySpace tuvo que afectan los objetivos organizacionales (evitar, que ser apagado para poder arreglar el problema [5]. aceptar, reducir o compartir el riesgo). • Actividades de control: actividades para asegurar Samy, utilizaba un tipo de tecnología denominada “Cross que las respuestas a los riesgos se lleven a cabo site scripting (XSS)”, el cual es una falla de seguridad a la que efectivamente. las aplicaciones Web son vulnerables; algunas redes sociales se • Información y comunicación: captura de han fortalecido para evitar que sus aplicaciones Web sean información y comunicación a los responsables. atacadas mediante XSS, sin embargo, nuevos tipos de Malware • Monitoreo: se monitorea toda la gestión de los han aparecido, y mediante el uso de mensajes automáticos y de riesgos (componentes anteriores). ingeniería social son capaces de infectar a sus víctimas. Los mensajes son enviados a través de una red social, como Facebook, y pide a las víctimas bajar una actualización de un D. Gobierno, Riesgo y Cumplimiento software para poder ver este mensaje, una vez el usuario Es un marco de referencia para la integración del Gobierno acepta, este queda infectado [5]. Corporativo, la Administración de Riesgos y el Cumplimiento regulatorio; para lograr esto, se basa en los siguientes A pesar de que las redes sociales han dicho que sus sitios principios: La integración de los órganos/responsables del están protegidos contra XSS, este sigue siendo el método más gobierno, la administración y gestión de riesgos, el control utilizado en cuanto a Malware en Redes Sociales; existen dos interno y el cumplimiento, la asignación puntual de roles y tipos de ataques XSS, el ataque Persistente y el No Persistente. responsabilidades del personal clave, la formalización de los El Persistente, inyecta el código malicioso directamente en el canales de comunicación, la aplicación de un enfoque basado servidor como texto HTML, como por ejemplo en el campo de en riesgos, y la implementación de un programa de comentario de un foro, cuando el visitante accede al foro, cumplimiento [4]. queda entonces infectado. El método no Persistente, es el más utilizado, en este tipo de ataque el código malicioso es enviado a través de un mensaje de error o cualquier otro mensaje [5]. II. AMBIENTE INTERNO Para poder detectar la percepción de los riesgos relacionados al Malware en las Redes Sociales, se debe B. ISO 31000: Gestión de Riesgos establecer si existen campañas educativas, si el lenguaje Este estándar tiene como objetivo ayudar a las utilizado en estas es accesible a todos los usuarios y si el uso de organizaciones a gestionar sus riesgos de manera efectiva. Si se las RSL está restringido. En caso de que las campañas analiza cada organización en particular, es posible concluir que educativas no existan y que el uso de las RSL no esté
restringido; las campañas deben ser creadas y algunas de las • Robo de información sensible, cómo datos de directrices que se deben establecer son [9]: clientes • Todas las personas que acepten cómo amigos • Robo de activos físicos deben tener una imagen reconocible. • Información personal sólo debe ser mostrada a un círculo cercano de amigos. V. EVALUACIÓN DE RIESGOS • No se deben aceptar ningún tipo de archivos, La evaluación de los riesgos depende del entorno incluyendo imágenes. corporativo; sin embargo, este artículo pretende ser una guía • No publicar información laboral en las RSL. metodológica general sobre la gestión de los riesgos asociados • No abrir mensajes de spam. a los malwares en las RSL, por lo tanto, se presentarán unas directrices para la evaluación preliminar de los mismos. • No acordar encontrarse con una persona que se haya conocido a través de la RSL. Se deben establecer una escala de impacto de los riesgos y una escala de probabilidad de los mismos; una vez realizado En este punto, es recomendable tener en cuenta el noveno esto, se debe establecer una matriz de impacto vs probabilidad, principio del modelo de GRC definido por Deloitte, ya que en donde se identifiquen riegos críticos que la organización existen áreas de la compañía con mayor impacto a la hora de deba mitigar o evitar, y riesgos que la organización deba materialización de los riesgos. aceptar. Con la matriz anterior se debe proceder a asociar los riesgos identificados [10]; la anterior es sólo un tipo de método III. ESTABLECIMIENTO DE OBJETIVOS que puede ser utilizado, existen varias metodologías que se pueden utilizar y que caben en la siguiente clasificación [11]: A pesar de que los objetivos de la organización ya deberían estar creados, estos se deben utilizar para establecer el riesgo • Evaluación cualitativa aceptado [9]. • Evaluación semicuantitativa IV. IDENTIFICACIÓN DE RIESGOS • Evaluación cuantitativa Al identificar los riesgos, es recomendable tener en cuenta el primer principio del modelo de GRC definido por Deloitte. Existen diferentes métodos para cada una de estas Las principales amenazas en las RSL relacionadas con los evaluaciones, los cuales se salen del alcance de este artículo. Malwares son las que tienen que ver con "Cross Site Scripting (XSS), virus y gusanos", estas amenazas tienen En este punto, es recomendable tener en cuenta el noveno unas vulnerabilidades y unos riesgos asociados [9]. principio del modelo de GRC definido por Deloitte, ya que existen áreas de la compañía con mayor impacto a la hora de materialización de los riesgos, se debe evaluar si esta A. Vulnerabilidades evaluación de impacto y probabilidad es necesario hacerla por Algunas RSL permiten a los usuarios publicar código cada área por separado. HTML dentro de sus perfiles y dentro de sus mensajes, estas RSL son vulnerables a ataques XSS, estos ataques permiten VI. RESPUESTA AL RIESGO inyectar código malicioso en el computador de la víctima de Se debe definir cuál será la acción o la respuesta a tomar una forma relativamente fácil, es por este motivo, que esta para cada riego de acuerdo con su evaluación, las posibles forma de ataque es muy utilizada; este tipo de virus tiene la respuestas son [7]: particularidad de poder expandirse rápidamente. Ataques de ingeniería social pueden ser usados para inyectar malwares que • Evitar: no se realizan las actividades que generan posteriormente pueden robar información valiosa para las el riesgo. organizaciones, usuarios, contraseñas, datos bancarios, entre • Reducir: se toman acciones para mitigar el riesgo. otro tipo de información. [9]. • Compartir: se toman acciones para transferir o compartir el riesgo, por ejemplo, una póliza de B. Riesgos seguros. Los efectos de la vulnerabilidad asociada son [9]: • Aceptar: no se toman acciones. • Denegación de servicio. • Pishing VII. ACTIVIDADES DE CONTROL • Envío y recepción de contenido no solicitado Se establecen políticas y procedimientos para ayudar a que • Robo de identidad las respuestas a los riesgos se den de manera adecuada • Espionaje corporativo [7].Estas políticas se centran en la creación de actividades de • Daño a redes corporativa. control enmarcadas en las redes sociales para este documento
y bajo un modelo de Gobierno, Riesgo y Cumplimiento a) Provisión de servicios: Se debe garantizar los (GRC) , las cuales podemos definir como las siguientes[8], controles de seguridad, políticas de servicio y niveles de [13],[14] : entrega sean gestionados, implementados y mantenidos por los terceros. • Control de acceso a la red b) Supervisión y revisión de los servicios prestados • Control de acceso al sistema operativo por terceros: Las actividades realizadas por terceros deben • Control de acceso a aplicaciones y a la ser monitoreados y auditadas regularmente para asegurar que información no incumplan con las políticas de seguridad del negocio. Cada una de estas actividades tiene sus respectivos c) Gestión de cambio en los servicios prestados por controles los cuales se han enfocado en las redes sociales para terceros: Se deben planificar los cambios en el suministro mitigar los riesgos que con llevan, algunos de los controles del servicio, incluyendo mantenimiento, actualizaciones y son: revisiones de estado, con el fin de poder adecuar importancia 1) Control de acceso a la red a los riesgos y adecuar las políticas de seguridad a estos cambios. a) Políticas de uso para los servicios de red: Se debe proveer de servicios específicos a los usuarios según su rol. 5) Planificación y aceptación del sistema b) Control de la conexión a la red: Se debe bloquear a) Gestión de capacidades: Se debe monitorizar el uso redes compartidas, según la política de acceso a la red y las de recursos así como también establecer límites de uso de necesidades de negocio que necesiten suplirse por usuarios. recursos con el fin de asegurar el funcionamiento requerido c) Control de enrutamiento de la red: Se debe del sistema. controlar el enrutamiento de las redes para asegurar que las b) Aceptación del sistema: Se deben establecer criterios conexiones y la transmisión de la información no incumplen de aceptación para cualquier tipo de modificación a los con las políticas de control de acceso a las aplicaciones de sistemas. negocio. 6) Protección contra el código malicioso y descargable a) Controles contra el código malicioso: Se deben 2) Control de acceso al sistema operativo establecer controles de detección, prevención y recuperación contra el código malicioso. Para este caso de las redes a) Sistema de gestión de contraseñas: Los sistemas de sociales, se debe establecer mecanismos de protección contra gestión de contraseñas deben garantizar la calidad de la código originado desde a web. contraseña y generar cada contraseña sin ningún patrón VIII. INFORMACIÓN Y COMUNICACIÓN específico. Se deben establecer responsables de cada actividad a) Uso de los recursos del sistema: Se deben controlar relacionada con los riesgos y mecanismos de comunicación[7]. las aplicaciones del sistema que puedan hacer un uso La gestión de actividades y mecanismos de comunicación indebido de los recursos del sistema , como también ser son los siguientes [13][14][15]: verificar si no se han quebrado los controles de seguridad puestos en los sistemas y aplicaciones . 7) Intercambio de información b) Desconexión automática de sesión: En el caso en que a) Intercambio de información y software: Se deben se estén incumpliendo las políticas de seguridad, se debe establecer controles y políticas de intercambio de información descontar de la red con el fin de prevenir alteraciones al con objetivo de salvaguardar la información por medio de sistema o un uso indebido, así como también se debe cualquier tipo de comunicación. descontar del sistema luego de un tiempo determinado de b) Acuerdos de intercambio: Se deben inactividad. establecer acuerdos para el intercambio de información entre c) Tiempo de conexión: Para las redes compartidas o la organización y organizaciones externas. que posiblemente sean más inseguras, se debe establecer un c) Soportes físicos en transito: Se deben controlar los tiempo de conexión que permita tener una capa adicionar de medios que contienen información sensible de la organización seguridad al no permitir conexiones permanentes externas. cuando se disponen a salir de los límites físicos de la organización. 3) Control de acceso al sistema operativo d) Mensajería electrónica: Se debe controlar el flujo de información de la mensajería electrónica de uso de la a) Procedimientos seguros de inicio de sesión: Se debe organización, con el fin de supervisar si está cumpliendo con restringir el acceso a usuarios sobre la información y los controles de uso y medidas de protección. funcionamiento de las aplicaciones del negocio, en relación a e) Sistemas de información empresariales: Se deben la política de control de accesos definida para cada uno de implementar políticas y procedimientos para proteger la estos. información asociada a los sistemas de información del 4) Gestión de provisión de servicios por terceros negocio.
IX. MONITOREO XI. TRABAJO FUTURO Se establecen mecanismos para auditor y monitorear el Este trabajo trató individualmente uno de los principales riesgo [7],[12],[13],[14],[15]. problemas de seguridad de las redes sociales, el Malware; sin embargo, este no es el único problema que estas redes poseen, 8) Supervisión y en trabajos futuros se pueden llegar a tratar otros problemas importantes como son: a) Registros de auditoria: Se deben mantener durante un periodo de tiempo determinado todos los registros de • Borrado de cuentas auditoria con las grabaciones de las actividades de los • Spam empleados, con anormalidades y eventos que se hayan • Agregadores causado y que involucren a la seguridad de información, con • Phishing el fin de facilitar el monitoreo de los controles de acceso y las • Infiltración investigaciones que se lleven a cabo sobre este. • Robo de identidad b) Supervisión del uso del sistema: Se debe establecer políticas de control de monitoreo para determinar las actividades de monitoreo y las acciones que se deben realizar en el caso de encontrar anormalidades o usos indebidos del sistema. c) Registro de administración y operación: Se deben REFERENCIAS registrar las actividades de los usuarios del sistema, con el fin de tener datos que indiquen posibles infracciones en las [1] W. Luo, J. Liu, J. Liu, and C. Fan, “An Analysis of Security políticas de seguridad. in Social Networks,” 2009 Eighth IEEE International X. CONCLUSIONES Conference on Dependable, Autonomic and Secure Computing, pp. 648–651, 2009. Los Malwares en las redes sociales son un tipo de amenaza que puede permitir desde el robo de la información personal de [2] H. Gao, J. Hu, T. Huang, J. Wang, Y. Chen, and A. Osns, las personas, hasta el robo de información sensible en las “Security Issues in Online Social Networks,” IEEE - Social organizaciones. El Malware puede ser combinado con otro tipo Network Security, 2011. de amenazas y herramientas para potenciar sus consecuencias, [3] E. P. Paper, S. N. Author, G. Hogben, S. Issues, O. S. por ejemplo, con el robo de identidad para lograr robar un Networks, S. Networks, S. Networks, S. Networks, F. I. activo físico de la organización. Providers, S. Networking, and S. Networks, “Security issues Con una adecuada gestión de riesgos, basada en in the future of social networking,” W3C Workshop on the metodologías y marcos de referencia existentes, como COSO II Future of Social Networking, pp. 3–7, 2012. y la norma ISO 31000, además usando un modelo GRC, es posible minimizar los riesgos asociados y en lugar de evitarlos. [4] ISACA, “Uniendo al Gobierno, Riesgo y Cumplimiento Es importante tener en cuenta que no importa el tipo de (GRC),” ISACA, 2010. [Online]. Available: riesgo a tratar, estos marcos de referencia ayudan de forma http://www.isacamty.org.mx. efectiva a gestionar cualquier tipo d riesgos. [5] A. Makridakis, E. Athanasopoulos, S. Antonatos, D. A la hora de realizar la evaluación de los riesgos, es Antoniades, S. Ioannidis, and E. P. Markatos, necesario considerar los factores ambientales de la empresa, “Understanding the Behavior of Malicious Applications in como sus objetivos organizacionales, sector económico, y Social Networks,” IEEE Network - September/October 2010 factores normativos. 19, no. October, pp. 14–19, 2010. El clima organizacional de la empresa es un factor determinante a la hora de evaluar los riesgos asociados al [6] M. Castro, “El Nuevo Estándar ISO para la Gestión del Riesgo,” pp. 1–4, 2009. malware en las redes sociales, es necesario hacer visible los riesgos que conllevan la imprudencia e ignorancia, con un [7] M. A. P. R. P. Arte, “COSO II : Enterprise Risk clima organizacional saludable, los empleados podrán Management – Primera Parte,” 2009. identificar de buena manera y por propia voluntad, los riesgos que existen al llevar a cabo acciones imprudentes dentro de [8] The Public Risk Management Asociation, “A structured estas redes sociales. approach to Enterprise Risk Management ( ERM ) and the Es importante establecer el uso adecuado de los servicios requirements of ISO 31000 Contents,” AIRMIC, Alarm, con el fin de hacer monitoreos y revisiones que no incumplan IRM: 2010, 2010. con la protección de datos y la privacidad de la información de [9] E. Position and P. No, “Security Issues and carácter personal. Recommendations for Online Social Networks,” ENISA, no. 1, 2007.
[10] S. y S. en el Trabajo., “Método de evaluación general de [14] Diapic, M.Popovic, P.Lukic," Integration of the technical riesgos,” 2013. [Online]. Available: http://norma- product risk assessment within the ISO 31000 enterprise ohsas18001.blogspot.com/. risk management concept", IEEE Network , 2010. [11] M. Robertson, Y. Pan, B. Yuan, and A. Background, “A Social Approach to Security : Using Social Networks to [15] Cisco"Evaluating Application Service Provider Help Detect Malicious Web Content,” IEEE Security for Enterprises", [Online]. Available: COMMUNICATIONS LETTERS, 2012. http://www.cisco.com/web/about/security/intelligence/asp- eval.html, 2011 [12] AirMic Alarm," A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000,” The Public Risk Management Association, 2010. [13] John Shortreed, “ISO 31000 – Risk Management Standard”, University of Waterloo, 2008.

Recomendados

Gestión de Riesgos
Gestión de RiesgosGestión de Riesgos
Gestión de RiesgosConferencias FIST
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioNicolás Ezequiel Raggi
 
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...Ricardo Cañizares Sales
 
Investigacion
InvestigacionInvestigacion
Investigacionsmmarcatoma
 
Phishing y Empresa
Phishing y EmpresaPhishing y Empresa
Phishing y EmpresaCristina Villavicencio
 
Symantec ultimas tácticas de phishing para las empresas en 2012
Symantec ultimas tácticas de phishing para las empresas en 2012Symantec ultimas tácticas de phishing para las empresas en 2012
Symantec ultimas tácticas de phishing para las empresas en 2012Eugenio Velazquez
 
Dbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845baDbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845baJuxCR
 

Recomendados

Gestión de Riesgos
Gestión de RiesgosGestión de Riesgos
Gestión de RiesgosConferencias FIST
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioNicolás Ezequiel Raggi
 
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...Ricardo Cañizares Sales
 
Investigacion
InvestigacionInvestigacion
Investigacionsmmarcatoma
 
Phishing y Empresa
Phishing y EmpresaPhishing y Empresa
Phishing y EmpresaCristina Villavicencio
 
Symantec ultimas tácticas de phishing para las empresas en 2012
Symantec ultimas tácticas de phishing para las empresas en 2012Symantec ultimas tácticas de phishing para las empresas en 2012
Symantec ultimas tácticas de phishing para las empresas en 2012Eugenio Velazquez
 
Dbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845baDbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845baJuxCR
 
Hakin9 inseguridad
Hakin9 inseguridadHakin9 inseguridad
Hakin9 inseguridadheynan
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Unidad 1 capitulo1_final
Unidad 1 capitulo1_finalUnidad 1 capitulo1_final
Unidad 1 capitulo1_finalAltagracia Suero
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática Luis Fernando Aguas Bucheli
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normasgalactico_87
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridadGuiro Lin
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasRogger Cárdenas González
 
Redes sociales en empresas (resumen) 2011
Redes sociales en empresas (resumen) 2011Redes sociales en empresas (resumen) 2011
Redes sociales en empresas (resumen) 2011Paola Garcia Juarez
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistLizeth Rubio
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Trabajo Primer Parcial
Trabajo Primer ParcialTrabajo Primer Parcial
Trabajo Primer Parcialrobertoportillacardenas
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
Evitar riesgos para reforzar la reputación el cuadro de mando reputacional
Evitar riesgos para reforzar la reputación el cuadro de mando reputacionalEvitar riesgos para reforzar la reputación el cuadro de mando reputacional
Evitar riesgos para reforzar la reputación el cuadro de mando reputacionalCorporate Excellence - Centre for Reputation Leadership
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridadCarlos Andres Perez Cabrales
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridadCarlos Andrés Pérez Cabrales
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridadLuis Martinez
 
Resumen nelson manaure
Resumen nelson manaureResumen nelson manaure
Resumen nelson manaurenmanaure
 
Profesiones con futuro
Profesiones con futuroProfesiones con futuro
Profesiones con futuroBorja Badía
 
Riesgo operativo
Riesgo operativoRiesgo operativo
Riesgo operativoSECMA
 

Más contenido relacionado

Similar a Malware en redes sociales

Hakin9 inseguridad
Hakin9 inseguridadHakin9 inseguridad
Hakin9 inseguridadheynan
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normasgalactico_87
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridadGuiro Lin
 
Redes sociales en empresas (resumen) 2011
Redes sociales en empresas (resumen) 2011Redes sociales en empresas (resumen) 2011
Redes sociales en empresas (resumen) 2011Paola Garcia Juarez
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistLizeth Rubio
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridadLuis Martinez
 
Resumen nelson manaure
Resumen nelson manaureResumen nelson manaure
Resumen nelson manaurenmanaure
 
Profesiones con futuro
Profesiones con futuroProfesiones con futuro
Profesiones con futuroBorja Badía
 
Riesgo operativo
Riesgo operativoRiesgo operativo
Riesgo operativoSECMA
 

Similar a Malware en redes sociales (20)

Hakin9 inseguridad
Hakin9 inseguridadHakin9 inseguridad
Hakin9 inseguridad
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Unidad 1 capitulo1_final
Unidad 1 capitulo1_finalUnidad 1 capitulo1_final
Unidad 1 capitulo1_final
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normas
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
 
Redes sociales en empresas (resumen) 2011
Redes sociales en empresas (resumen) 2011Redes sociales en empresas (resumen) 2011
Redes sociales en empresas (resumen) 2011
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asist
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
 
Trabajo Primer Parcial
Trabajo Primer ParcialTrabajo Primer Parcial
Trabajo Primer Parcial
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2
 
Evitar riesgos para reforzar la reputación el cuadro de mando reputacional
Evitar riesgos para reforzar la reputación el cuadro de mando reputacionalEvitar riesgos para reforzar la reputación el cuadro de mando reputacional
Evitar riesgos para reforzar la reputación el cuadro de mando reputacional
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
 
Resumen nelson manaure
Resumen nelson manaureResumen nelson manaure
Resumen nelson manaure
 
Profesiones con futuro
Profesiones con futuroProfesiones con futuro
Profesiones con futuro
 
Riesgo operativo
Riesgo operativoRiesgo operativo
Riesgo operativo
 

Malware en redes sociales

  • 1. Malware en Redes Sociales Néstor Santos Vidales Aurelio Benítez Camacho Maestría en Ingeniería de Sistemas y Computación Maestría en Ingeniería de Sistemas y Computación Pontifícia Universidad Javeriana Pontifícia Universidad Javeriana Bogotá, Colombia Bogotá, Colombia santosn@javeriana.edu.co aurelio.benitez@javeriana.edu.co Resumen—Este artículo analiza las amenazas, vulnerabilidades proporciona un control de acceso basado en credenciales, y y los riesgos que estas con llevan dentro del entorno empresarial, proporciona herramientas de logs de auditoria. Si se analiza basándose en la norma ISO 31000:2009 y en el marco de trabajo cada una de las características mencionadas, se puede observar de COSO 2, bajo un modelo de Gobierno, Riesgo y que las RSL cumplen cada una de estas; y si se puede Cumplimiento (GRC). administrar la identidad por una RSL, esta identidad por lo Index Terms—Riesgo, malware, GRC, Redes sociales, COSO tanto puede ser robada y suplantada, e información personal y II, ISO 31000. corporativa puede ser extraída [3]. A pesar que el robo de identidad no es la amenaza tratada en este artículo, si sirve de I. INTRODUCCIÓN medio para que los atacantes puedan introducir Malwares a sus víctimas, por este motivo estará presente en algunas de las secciones siguientes del artículo. En la actualidad, las personas utilizan las redes sociales para compartir fotos, videos, mantenerse en contacto con otras El objetivo principal de este artículo consiste en analizar las personas y por diversión; estas redes sociales son vistas como amenazas, vulnerabilidades y los riesgos que estas conllevan un medio virtual de comunicación, en el cual una persona dentro del entorno empresarial, basándose en la norma ISO ingresa y busca otros usuarios que compartan los mismos 31000:2009 y en el marco de trabajo de COSO 2, bajo un intereses [1]. La popularidad de las redes sociales en línea modelo de Gobierno, Riesgo y Cumplimiento (GRC). Para el (RSL) ha crecido en los últimos años, redes como Facebook, modelo de GRC, en este artículo se utilizarán los principios Twiter y Orkut han multiplicado la cantidad de usuarios; las propuestos por Deloitte [4]: personas utilizan las redes sociales, en sus casas, en la calle y en sus empresas, y este aumento en el uso y en la cantidad de • Principio 1: Una definición común de riesgo usuarios, hace que los riegos de seguridad asociados a las RSL enfoca a la preservación y creación del valor, es se vuelvan una preocupación para la industria, la academia y el usada consistentemente a través de la organización gobierno [2]. • Principio 2: Un marco común de riesgo soportado por estándares apropiados (ej., COSO ERM, ISO, Algunas estadísticas sobre el tipo de información que las etc.) es usado a través de la organización para personas comparten en las redes sociales, fueron gestionar el riesgo proporcionadas por Ralph Gross y Alesandro Acquisti, quienes • Principio 3: Roles claves, responsabilidades y estudiaron a los usuarios de Facebook en la universidad autoridades relacionadas para gestionar el riesgo Carnegie Mellon, ellos descubrieron que el 90.8 por ciento de son claramente delimitadas dentro de la los usuarios subía sus fotos, el 87.8 por ciento revelaba su organización fecha de nacimiento, el 39.9 compartía su número telefónico y • Principio 4: órganos del gobierno (ej., Consejos de el 50.8 por ciento publicaba su dirección actual [2]; dicha Accionistas , comités de auditoría, etc.) tienen información se vuelve un insumo para el tipo de ataques que apropiada transparencia y visibilidad en las trata este artículo, "Ataques por Malware", el cual será prácticas de la organización en la gestión de explicado en detalle en las próximas secciones. riesgos para cumplir con sus responsabilidades • Principio 5: La dirección ejecutiva tiene la Otra manera de ver a las RSL, es como un espacio en el responsabilidad de diseñar, implementar y cual las personas administran su identidad, es decir, como un mantener un programa eficaz de los riesgos Sistema de Gestión de Identidad (SGI). Las principales • Principio 6: Una infraestructura de gestión de características de los SGI son: permiten guardar información riesgo común se utiliza para apoyar las unidades personal, proporcionan herramientas para gestionar esta información personal y definir como esta es presentada,
  • 2. de negocio y funciones en el desempeño de sus cada organización gestiona sus riesgos en cierta medida y de responsabilidades de riesgo cierta manera; sin embargo, lo que propone esta norma, son • Principio 7: Ciertas funciones (Ej., Auditoría una serie de principios (directrices) que deben ser satisfechos interna, gestión del riesgo, conformidad, etc.) para hacer una gestión eficaz del riesgo. Esta norma establece ofrecen garantías objetivas, así como supervisan e un marco de trabajo, y como tal es abierta a cualquier sector informan sobre la eficacia del programa de riesgo empresarial, a cualquier tipo de riesgo, dentro de cualquier de la organización Propiedad del Riesgo. alcance y contexto [6]. • Principio 8: Las unidades de negocio (departamentos, agencias etc.) son responsables C. COSO II: Gestión de Riesgos Empresariales por el desempeño de sus negocios y la gestión del riesgo de acuerdo al marco del riesgo establecido Coso II es un marco de referencia para gestionar los riesgos por la dirección ejecutiva. empresariales [7], ha ganado influencia debido a que está • Principio 9: Ciertas funciones (Ej., finanzas, relacionado a los requerimientos expuestos en la ley Sarbanes- gestión del riesgo, TI, conformidad, etc.) tienen un Oxley [8]. Coso II establece una serie de componentes para la impacto penetrante sobre el negocio y proveen administración de los riesgos [7]. soporte a las unidades del negocio de acuerdo al • Ambiente interno: establece cómo el personal de la programa de riesgos de la organización. organización percibe y trata los riegos. • Establecimiento de los objetivos: objetivos organizacionales que deben ser consecuentes con el A. Un primer acercamiento: Malwares en Redes Sociales riego aceptado. Un malware es un tipo de software malicioso que tiene • Identificación de los riesgos: eventos internos y como objetivo infiltrarse en una computadora sin el externos que afectan los objetivos de la organización. consentimiento de su propietario; el primer malware conocido • Evaluación de los riesgos: análisis de los riesgos en las redes sociales fue Samy, el cual atacó a la red social considerando su impacto y probabilidad. MySpace. Samy inició con la infección de una sola persona; después de 20 horas, más de un millón de personas se • Respuesta al riesgo: posibles respuestas a los eventos encontraban infectadas; después de dos días, MySpace tuvo que afectan los objetivos organizacionales (evitar, que ser apagado para poder arreglar el problema [5]. aceptar, reducir o compartir el riesgo). • Actividades de control: actividades para asegurar Samy, utilizaba un tipo de tecnología denominada “Cross que las respuestas a los riesgos se lleven a cabo site scripting (XSS)”, el cual es una falla de seguridad a la que efectivamente. las aplicaciones Web son vulnerables; algunas redes sociales se • Información y comunicación: captura de han fortalecido para evitar que sus aplicaciones Web sean información y comunicación a los responsables. atacadas mediante XSS, sin embargo, nuevos tipos de Malware • Monitoreo: se monitorea toda la gestión de los han aparecido, y mediante el uso de mensajes automáticos y de riesgos (componentes anteriores). ingeniería social son capaces de infectar a sus víctimas. Los mensajes son enviados a través de una red social, como Facebook, y pide a las víctimas bajar una actualización de un D. Gobierno, Riesgo y Cumplimiento software para poder ver este mensaje, una vez el usuario Es un marco de referencia para la integración del Gobierno acepta, este queda infectado [5]. Corporativo, la Administración de Riesgos y el Cumplimiento regulatorio; para lograr esto, se basa en los siguientes A pesar de que las redes sociales han dicho que sus sitios principios: La integración de los órganos/responsables del están protegidos contra XSS, este sigue siendo el método más gobierno, la administración y gestión de riesgos, el control utilizado en cuanto a Malware en Redes Sociales; existen dos interno y el cumplimiento, la asignación puntual de roles y tipos de ataques XSS, el ataque Persistente y el No Persistente. responsabilidades del personal clave, la formalización de los El Persistente, inyecta el código malicioso directamente en el canales de comunicación, la aplicación de un enfoque basado servidor como texto HTML, como por ejemplo en el campo de en riesgos, y la implementación de un programa de comentario de un foro, cuando el visitante accede al foro, cumplimiento [4]. queda entonces infectado. El método no Persistente, es el más utilizado, en este tipo de ataque el código malicioso es enviado a través de un mensaje de error o cualquier otro mensaje [5]. II. AMBIENTE INTERNO Para poder detectar la percepción de los riesgos relacionados al Malware en las Redes Sociales, se debe B. ISO 31000: Gestión de Riesgos establecer si existen campañas educativas, si el lenguaje Este estándar tiene como objetivo ayudar a las utilizado en estas es accesible a todos los usuarios y si el uso de organizaciones a gestionar sus riesgos de manera efectiva. Si se las RSL está restringido. En caso de que las campañas analiza cada organización en particular, es posible concluir que educativas no existan y que el uso de las RSL no esté
  • 3. restringido; las campañas deben ser creadas y algunas de las • Robo de información sensible, cómo datos de directrices que se deben establecer son [9]: clientes • Todas las personas que acepten cómo amigos • Robo de activos físicos deben tener una imagen reconocible. • Información personal sólo debe ser mostrada a un círculo cercano de amigos. V. EVALUACIÓN DE RIESGOS • No se deben aceptar ningún tipo de archivos, La evaluación de los riesgos depende del entorno incluyendo imágenes. corporativo; sin embargo, este artículo pretende ser una guía • No publicar información laboral en las RSL. metodológica general sobre la gestión de los riesgos asociados • No abrir mensajes de spam. a los malwares en las RSL, por lo tanto, se presentarán unas directrices para la evaluación preliminar de los mismos. • No acordar encontrarse con una persona que se haya conocido a través de la RSL. Se deben establecer una escala de impacto de los riesgos y una escala de probabilidad de los mismos; una vez realizado En este punto, es recomendable tener en cuenta el noveno esto, se debe establecer una matriz de impacto vs probabilidad, principio del modelo de GRC definido por Deloitte, ya que en donde se identifiquen riegos críticos que la organización existen áreas de la compañía con mayor impacto a la hora de deba mitigar o evitar, y riesgos que la organización deba materialización de los riesgos. aceptar. Con la matriz anterior se debe proceder a asociar los riesgos identificados [10]; la anterior es sólo un tipo de método III. ESTABLECIMIENTO DE OBJETIVOS que puede ser utilizado, existen varias metodologías que se pueden utilizar y que caben en la siguiente clasificación [11]: A pesar de que los objetivos de la organización ya deberían estar creados, estos se deben utilizar para establecer el riesgo • Evaluación cualitativa aceptado [9]. • Evaluación semicuantitativa IV. IDENTIFICACIÓN DE RIESGOS • Evaluación cuantitativa Al identificar los riesgos, es recomendable tener en cuenta el primer principio del modelo de GRC definido por Deloitte. Existen diferentes métodos para cada una de estas Las principales amenazas en las RSL relacionadas con los evaluaciones, los cuales se salen del alcance de este artículo. Malwares son las que tienen que ver con "Cross Site Scripting (XSS), virus y gusanos", estas amenazas tienen En este punto, es recomendable tener en cuenta el noveno unas vulnerabilidades y unos riesgos asociados [9]. principio del modelo de GRC definido por Deloitte, ya que existen áreas de la compañía con mayor impacto a la hora de materialización de los riesgos, se debe evaluar si esta A. Vulnerabilidades evaluación de impacto y probabilidad es necesario hacerla por Algunas RSL permiten a los usuarios publicar código cada área por separado. HTML dentro de sus perfiles y dentro de sus mensajes, estas RSL son vulnerables a ataques XSS, estos ataques permiten VI. RESPUESTA AL RIESGO inyectar código malicioso en el computador de la víctima de Se debe definir cuál será la acción o la respuesta a tomar una forma relativamente fácil, es por este motivo, que esta para cada riego de acuerdo con su evaluación, las posibles forma de ataque es muy utilizada; este tipo de virus tiene la respuestas son [7]: particularidad de poder expandirse rápidamente. Ataques de ingeniería social pueden ser usados para inyectar malwares que • Evitar: no se realizan las actividades que generan posteriormente pueden robar información valiosa para las el riesgo. organizaciones, usuarios, contraseñas, datos bancarios, entre • Reducir: se toman acciones para mitigar el riesgo. otro tipo de información. [9]. • Compartir: se toman acciones para transferir o compartir el riesgo, por ejemplo, una póliza de B. Riesgos seguros. Los efectos de la vulnerabilidad asociada son [9]: • Aceptar: no se toman acciones. • Denegación de servicio. • Pishing VII. ACTIVIDADES DE CONTROL • Envío y recepción de contenido no solicitado Se establecen políticas y procedimientos para ayudar a que • Robo de identidad las respuestas a los riesgos se den de manera adecuada • Espionaje corporativo [7].Estas políticas se centran en la creación de actividades de • Daño a redes corporativa. control enmarcadas en las redes sociales para este documento
  • 4. y bajo un modelo de Gobierno, Riesgo y Cumplimiento a) Provisión de servicios: Se debe garantizar los (GRC) , las cuales podemos definir como las siguientes[8], controles de seguridad, políticas de servicio y niveles de [13],[14] : entrega sean gestionados, implementados y mantenidos por los terceros. • Control de acceso a la red b) Supervisión y revisión de los servicios prestados • Control de acceso al sistema operativo por terceros: Las actividades realizadas por terceros deben • Control de acceso a aplicaciones y a la ser monitoreados y auditadas regularmente para asegurar que información no incumplan con las políticas de seguridad del negocio. Cada una de estas actividades tiene sus respectivos c) Gestión de cambio en los servicios prestados por controles los cuales se han enfocado en las redes sociales para terceros: Se deben planificar los cambios en el suministro mitigar los riesgos que con llevan, algunos de los controles del servicio, incluyendo mantenimiento, actualizaciones y son: revisiones de estado, con el fin de poder adecuar importancia 1) Control de acceso a la red a los riesgos y adecuar las políticas de seguridad a estos cambios. a) Políticas de uso para los servicios de red: Se debe proveer de servicios específicos a los usuarios según su rol. 5) Planificación y aceptación del sistema b) Control de la conexión a la red: Se debe bloquear a) Gestión de capacidades: Se debe monitorizar el uso redes compartidas, según la política de acceso a la red y las de recursos así como también establecer límites de uso de necesidades de negocio que necesiten suplirse por usuarios. recursos con el fin de asegurar el funcionamiento requerido c) Control de enrutamiento de la red: Se debe del sistema. controlar el enrutamiento de las redes para asegurar que las b) Aceptación del sistema: Se deben establecer criterios conexiones y la transmisión de la información no incumplen de aceptación para cualquier tipo de modificación a los con las políticas de control de acceso a las aplicaciones de sistemas. negocio. 6) Protección contra el código malicioso y descargable a) Controles contra el código malicioso: Se deben 2) Control de acceso al sistema operativo establecer controles de detección, prevención y recuperación contra el código malicioso. Para este caso de las redes a) Sistema de gestión de contraseñas: Los sistemas de sociales, se debe establecer mecanismos de protección contra gestión de contraseñas deben garantizar la calidad de la código originado desde a web. contraseña y generar cada contraseña sin ningún patrón VIII. INFORMACIÓN Y COMUNICACIÓN específico. Se deben establecer responsables de cada actividad a) Uso de los recursos del sistema: Se deben controlar relacionada con los riesgos y mecanismos de comunicación[7]. las aplicaciones del sistema que puedan hacer un uso La gestión de actividades y mecanismos de comunicación indebido de los recursos del sistema , como también ser son los siguientes [13][14][15]: verificar si no se han quebrado los controles de seguridad puestos en los sistemas y aplicaciones . 7) Intercambio de información b) Desconexión automática de sesión: En el caso en que a) Intercambio de información y software: Se deben se estén incumpliendo las políticas de seguridad, se debe establecer controles y políticas de intercambio de información descontar de la red con el fin de prevenir alteraciones al con objetivo de salvaguardar la información por medio de sistema o un uso indebido, así como también se debe cualquier tipo de comunicación. descontar del sistema luego de un tiempo determinado de b) Acuerdos de intercambio: Se deben inactividad. establecer acuerdos para el intercambio de información entre c) Tiempo de conexión: Para las redes compartidas o la organización y organizaciones externas. que posiblemente sean más inseguras, se debe establecer un c) Soportes físicos en transito: Se deben controlar los tiempo de conexión que permita tener una capa adicionar de medios que contienen información sensible de la organización seguridad al no permitir conexiones permanentes externas. cuando se disponen a salir de los límites físicos de la organización. 3) Control de acceso al sistema operativo d) Mensajería electrónica: Se debe controlar el flujo de información de la mensajería electrónica de uso de la a) Procedimientos seguros de inicio de sesión: Se debe organización, con el fin de supervisar si está cumpliendo con restringir el acceso a usuarios sobre la información y los controles de uso y medidas de protección. funcionamiento de las aplicaciones del negocio, en relación a e) Sistemas de información empresariales: Se deben la política de control de accesos definida para cada uno de implementar políticas y procedimientos para proteger la estos. información asociada a los sistemas de información del 4) Gestión de provisión de servicios por terceros negocio.
  • 5. IX. MONITOREO XI. TRABAJO FUTURO Se establecen mecanismos para auditor y monitorear el Este trabajo trató individualmente uno de los principales riesgo [7],[12],[13],[14],[15]. problemas de seguridad de las redes sociales, el Malware; sin embargo, este no es el único problema que estas redes poseen, 8) Supervisión y en trabajos futuros se pueden llegar a tratar otros problemas importantes como son: a) Registros de auditoria: Se deben mantener durante un periodo de tiempo determinado todos los registros de • Borrado de cuentas auditoria con las grabaciones de las actividades de los • Spam empleados, con anormalidades y eventos que se hayan • Agregadores causado y que involucren a la seguridad de información, con • Phishing el fin de facilitar el monitoreo de los controles de acceso y las • Infiltración investigaciones que se lleven a cabo sobre este. • Robo de identidad b) Supervisión del uso del sistema: Se debe establecer políticas de control de monitoreo para determinar las actividades de monitoreo y las acciones que se deben realizar en el caso de encontrar anormalidades o usos indebidos del sistema. c) Registro de administración y operación: Se deben REFERENCIAS registrar las actividades de los usuarios del sistema, con el fin de tener datos que indiquen posibles infracciones en las [1] W. Luo, J. Liu, J. Liu, and C. Fan, “An Analysis of Security políticas de seguridad. in Social Networks,” 2009 Eighth IEEE International X. CONCLUSIONES Conference on Dependable, Autonomic and Secure Computing, pp. 648–651, 2009. Los Malwares en las redes sociales son un tipo de amenaza que puede permitir desde el robo de la información personal de [2] H. Gao, J. Hu, T. Huang, J. Wang, Y. Chen, and A. Osns, las personas, hasta el robo de información sensible en las “Security Issues in Online Social Networks,” IEEE - Social organizaciones. El Malware puede ser combinado con otro tipo Network Security, 2011. de amenazas y herramientas para potenciar sus consecuencias, [3] E. P. Paper, S. N. Author, G. Hogben, S. Issues, O. S. por ejemplo, con el robo de identidad para lograr robar un Networks, S. Networks, S. Networks, S. Networks, F. I. activo físico de la organización. Providers, S. Networking, and S. Networks, “Security issues Con una adecuada gestión de riesgos, basada en in the future of social networking,” W3C Workshop on the metodologías y marcos de referencia existentes, como COSO II Future of Social Networking, pp. 3–7, 2012. y la norma ISO 31000, además usando un modelo GRC, es posible minimizar los riesgos asociados y en lugar de evitarlos. [4] ISACA, “Uniendo al Gobierno, Riesgo y Cumplimiento Es importante tener en cuenta que no importa el tipo de (GRC),” ISACA, 2010. [Online]. Available: riesgo a tratar, estos marcos de referencia ayudan de forma http://www.isacamty.org.mx. efectiva a gestionar cualquier tipo d riesgos. [5] A. Makridakis, E. Athanasopoulos, S. Antonatos, D. A la hora de realizar la evaluación de los riesgos, es Antoniades, S. Ioannidis, and E. P. Markatos, necesario considerar los factores ambientales de la empresa, “Understanding the Behavior of Malicious Applications in como sus objetivos organizacionales, sector económico, y Social Networks,” IEEE Network - September/October 2010 factores normativos. 19, no. October, pp. 14–19, 2010. El clima organizacional de la empresa es un factor determinante a la hora de evaluar los riesgos asociados al [6] M. Castro, “El Nuevo Estándar ISO para la Gestión del Riesgo,” pp. 1–4, 2009. malware en las redes sociales, es necesario hacer visible los riesgos que conllevan la imprudencia e ignorancia, con un [7] M. A. P. R. P. Arte, “COSO II : Enterprise Risk clima organizacional saludable, los empleados podrán Management – Primera Parte,” 2009. identificar de buena manera y por propia voluntad, los riesgos que existen al llevar a cabo acciones imprudentes dentro de [8] The Public Risk Management Asociation, “A structured estas redes sociales. approach to Enterprise Risk Management ( ERM ) and the Es importante establecer el uso adecuado de los servicios requirements of ISO 31000 Contents,” AIRMIC, Alarm, con el fin de hacer monitoreos y revisiones que no incumplan IRM: 2010, 2010. con la protección de datos y la privacidad de la información de [9] E. Position and P. No, “Security Issues and carácter personal. Recommendations for Online Social Networks,” ENISA, no. 1, 2007.
  • 6. [10] S. y S. en el Trabajo., “Método de evaluación general de [14] Diapic, M.Popovic, P.Lukic," Integration of the technical riesgos,” 2013. [Online]. Available: http://norma- product risk assessment within the ISO 31000 enterprise ohsas18001.blogspot.com/. risk management concept", IEEE Network , 2010. [11] M. Robertson, Y. Pan, B. Yuan, and A. Background, “A Social Approach to Security : Using Social Networks to [15] Cisco"Evaluating Application Service Provider Help Detect Malicious Web Content,” IEEE Security for Enterprises", [Online]. Available: COMMUNICATIONS LETTERS, 2012. http://www.cisco.com/web/about/security/intelligence/asp- eval.html, 2011 [12] AirMic Alarm," A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000,” The Public Risk Management Association, 2010. [13] John Shortreed, “ISO 31000 – Risk Management Standard”, University of Waterloo, 2008.