SlideShare una empresa de Scribd logo

Seguridad web -articulo completo-español

Descargar como DOCX, PDF
isidro luna beltran
isidro luna beltran
Educación
1 de 24
Seguridad web. Seguridad web. Isidro luna Beltrán Ismael Velasco miguel Instituto tecnológico de Tuxtepec Febrero 2014
Seguridad web. RESUMEN Al igual que muchas otras áreas relacionadas con la seguridad la World Wide web presenta dos tipos de problemas muy diferentes con soluciones muy distintas. De una parte, la mayoría de nosotros usamos un navegador web de manera habitual y deseamos evitar que nuestros clientes web ejecuten código de un ataque que le permita hacerse con el control de nuestra máquina. Por otra parte están los servidores web, a los que no deseamos que se vean comprometidos por ataques constantes. Así que ¿Cuál es la respuesta? Pues bien no existe una única respuesta. Necesitamos seguir una serie de pasos para proteger tanto a los clientes como a los servidores. Como administrador de servidores no puedes forzar a tus clientes a asegurarse, pero puedes proteger tu propio servidor y aplicaciones basadas en web de ataques. Protegiendo el servidor también puedes evitar los clientes rotos o usuarios que hayan visitado sitios hostiles de acciones de ataque que pudieran dañar sus cuentas o datos alojados en nuestro sitio, saboteándolo; por ejemplo, un ataque de scripting multisitio que interactúa con la cuenta del usuario para cambiar la contraseña de su cuenta en nuestro sitio.
Seguridad web. Palabras claves World Wide web Scripting Servidores
Seguridad web. INTRODUCCION La seguridad absoluta es indemostrable, Mantener un sistema seguro consiste en garantizar tres aspectos fundamentales tales como: confidencialidad en donde solo pueden acceder a los recursos de nuestro sistema agentes autorizados, integridad dentro de ella los recursos de nuestro sistema solo pueden ser modificadas por nuestro agente y disponibilidad en donde los recursos de nuestros sistemas estarán a disposición de nuestro agente autorizado. Hoy en día la seguridad es un aspecto muy importante en cualquier tipo de empresas u organizaciones en donde se manejen información de suma importancia, con este motivo hemos decidido realizar nuestra investigación en este ámbito debido a que cada vez hay más personas dedicadas al robo de la información para sacarle provecho o bien vendérselas a la competencia. Con nuestra investigación lograremos que todos y cada uno de los lectores se prevengan a ciertos ataques que dañen la integridad ya sea personal o de su propia empresa perdiendo así información de gran utilidad.
Seguridad web. METODOLOGÍA La metodología que utilizamos fue prácticamente una gran búsqueda de información en libros, revistas, así como en distintos sitios web en donde obtuvimos información de gran relevancia para nuestro trabajo. CAPITULO 1. SEGURIDAD WEB 1.1. ¿QUE ES LA SEGURIDAD WEB? La red mundial Internet y sus elementos asociados son mecanismos ágiles que proveen una alta gama de posibilidades de comunicación, interacción y entretenimiento, tales como elementos de multimedia, foros, chat, correo, comunidades, bibliotecas virtuales entre otros que pueden ser accedidos por todo tipo de público. Sin embargo estos elementos deben contener mecanismos que protejan y reduzcan los riesgos de seguridad alojados, distribuidos y potencializados a través del mismo servicio de Internet. La seguridad debe establecer normas que minimicen los riesgos a la información o infraestructura dentro de cualquier organización. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores. La seguridad está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes: • La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la
Seguridad web. infraestructura. • Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable. • La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios. Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. Ilustración 1: el servicio de seguridad y filtrado permite a las organizaciones protegerse de las amenaza. 1.2. CONCEPTOS GENERALES DE SEGURIDAD. • Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos
Seguridad web. autorizados. • Integridad: Se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen. •Disponibilidad: Se refiere a que la información pueda ser recuperada o esté disponible en el momento que se necesite. • Seguridad de la Información: Son aquellas acciones que están encaminadas al establecimiento de directrices que permitan alcanzar la confidencialidad, integridad y disponibilidad de la información, así como la continuidad de las operaciones ante un evento que las interrumpa. •Activo: Recursos con los que cuenta la empresa y que tiene valor, pueden ser tangibles (servidores, desktop, equipos de comunicación) o intangibles (Información, políticas, normas, procedimientos). •Vulnerabilidad: Exposición a un riesgo, fallo o hueco de seguridad detectado en algún programa o sistema informático. • Amenaza: Cualquier situación o evento posible con potencial de daño, que pueda presentarse en un sistema. • Riesgo: Es un hecho potencial, que en el evento de ocurrir puede impactar negativamente la seguridad, los costos, la programación o el alcance de un proceso de negocio o de un proyecto. • Correo electrónico: El correo electrónico es un servicio de red que permite que los usuarios envíen y reciban mensajes incluyendo textos, imágenes, videos, audio, programas, etc., mediante sistemas de comunicación electrónicos.
Seguridad web. Ilustración 2: es importante señalar que existen ataques en distintos tipos de navegadores. 1.3. TECNICAS PARA ASEGURAR EL SISTEMA. El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para hacerlo. Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en la mayoría de los casos es una combinación de varios de ellos) A continuación se enumeran una serie de medidas que se consideran básicas para asegurar un sistema tipo, si bien para necesidades específicas se requieren medidas extraordinarias y de mayor profundidad: Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad al uso para todo el software que se implante en los sistemas, partiendo de estándares y de personal suficientemente formado y concienciado con la seguridad.
Seguridad web. • Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de los centros de proceso de datos, sistemas de protección contra inundaciones, protecciones eléctricas contra apagones y sobretensiones, sistemas de control de accesos, etc. • Codificar la información: criptología, criptografía y criptociencia. Esto se debe realizar en todos aquellos trayectos por los que circule la información que se quiere proteger, no solo en aquellos más vulnerables. Por ejemplo, si los datos de una base muy confidencial se han protegido con dos niveles de firewall, se ha cifrado todo el trayecto entre los clientes y los servidores y entre los propios servidores, se utilizan certificados y sin embargo se dejan sin cifrar las impresiones enviadas a la impresora de red, tendríamos un punto de vulnerabilidad. • Contraseñas difíciles de averiguar que, por ejemplo, no puedan ser deducidas a partir de los datos personales del individuo o por comparación con un diccionario, y que se cambien con la suficiente periodicidad. Las contraseñas, además, deben tener la suficiente complejidad como para que un atacante no pueda deducirla por medio de programas informáticos. El uso de certificados digitales mejora la seguridad frente al simple uso de contraseñas. • Vigilancia de red. Las redes transportan toda la información, por lo que además de ser el medio habitual de acceso de los atacantes, también son un buen lugar para obtener la información sin tener que acceder a las fuentes de la misma. Por la red no solo circula la información de ficheros informáticos como tal, también se transportan por ella: correo electrónico, conversaciones telefónicas (VoIP), mensajería instantánea, navegación Internet, lecturas y escrituras a bases de datos, etc. Por todo ello, proteger la red es una de las principales tareas para evitar robo de información. Existen medidas que abarcan desde la seguridad física de los puntos de entrada hasta el control de equipos conectados, por ejemplo 802.1x. En el caso de redes inalámbricas la posibilidad de vulnerar la seguridad es mayor y deben adoptarse medidas adicionales. • Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso fuertes entre los usuarios y servidores no públicos y los equipos publicados. De esta forma, las reglas más débiles solo permiten el acceso a ciertos equipos y nunca a los datos, que quedarán tras dos niveles de seguridad. • Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos -
Seguridad web. antispyware, antivirus, llaves para protección de software, etc. • Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad. • Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener la información en dos ubicaciones de forma asíncrona. • Controlar el acceso a la información por medio de permisos centralizados y mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los medios para conseguirlo son: • Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. • Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). • Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. • Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. y que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. • Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. • Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo, como se ha indicado más arriba, e incluso utilizando programa que ayuden a los usuarios a la gestión de la gran cantidad de contraseñas que tienen gestionar en los entornos actuales, conocidos habitualmente como gestores de identidad. • Redundancia y descentralización.
Seguridad web. Ilustración 3: para asegurar el sistema existen diferentes técnicas como las mencionadas anteriormente. 1.4. TIPS DE SEGURIDAD. • Pornografía Infantil: Evite Alojar, publicar o trasmitir información, mensajes, gráficos, dibujos, archivos de sonido, imágenes, fotografías, grabaciones o software que en forma indirecta o directa se encuentren actividades sexuales con menores de edad, en los términos de la legislación internacional o nacional, tales como la Ley 679 de 2001 y el Decreto 1524 de 2002 o aquella que la aclare, modifique o adicione o todas las leyes que lo prohíban. • Control de virus y códigos maliciosos: Mantenga siempre un antivirus actualizado en su equipo(s), procure correr éste periódicamente, de la misma manera, tenga en su equipo elementos como anti-spyware y bloqueadores de pop-up (ventanas emergentes). • Evite visitar páginas no confiables o instalar software de dudosa procedencia. • La mayoría de las aplicaciones peer-to-peer contiene programas espías que se instalan sin usted darse cuenta. Asegúrese que se aplican las actualizaciones en sistemas operativos y navegadores Web de manera regular. • Si sus programas o el trabajo que realiza en su computador no requieren de Java support, ActiveX, Multimedia Autoplay o auto ejecución de programas, deshabilite estos. Si así lo requiere, obtenga y configure el firewall personal, esto reducirá el riesgo de exposición.
Seguridad web. Correo electrónico: • No publique su cuenta de correo en sitios no confiables. • No preste su cuenta de correo ya que cualquier acción será su responsabilidad. • No divulgue información confidencial o personal a través del correo. • Si un usuario recibe un correo con una advertencia sobre su cuenta bancaria, no debe contestarlo • Nunca responda a un correo HTML con formularios embebidos. • Si ingresa la clave en un sitio no confiable, procure cambiarla en forma inmediata para su seguridad y en cumplimiento del deber de diligencia que le asiste como titular de la misma. Control de Spam: • Nunca hacer clic en enlaces dentro del correo electrónico aun si parecen legítimos. Digite directamente la URL del sitio en una nueva ventana del browser • Para los sitios que indican ser seguros, revise su certificado SSL. • No reenvié los correos cadenas, esto evita congestiones en las redes y el correo, además del robo de información contenidos en los encabezados. • Control de la Ingeniería social. • No divulgue información confidencial suya o de las personas que lo rodean. • No hable con personas extrañas de asuntos laborales o personales que puedan comprometer información. • Utilice los canales de comunicación adecuados para divulgar la información. Control de phishing: • Si un usuario recibe un correo, llamada o mensaje de texto con una advertencia sobre su cuenta bancaria, no debe contestarlo. • Para los sitios que indican ser seguros, revise su certificado SSL. • Valide con la entidad con quien posee un servicio, si el mensaje recibido por correo es
Seguridad web. válido. Robo de contraseñas: • Cambie sus contraseñas frecuentemente, mínimo cada 30 días. • Use contraseñas fuertes: Fácil de recordar y difícil de adivinar. • Evite fijar contraseñas muy pequeñas, se recomienda que sea mínimo de una longitud de 10 caracteres, combinada con números y caracteres especiales. • No envié información de claves a través del correo u otro medio que no esté encriptado. Ilustración 4: para que nuestra información no se vea amenazada evitar páginas inseguras.
Seguridad web. CAPITULO 2. ATAQUES Y VULNERABILIDADES. 2.1. ATAQUE INFORMATICO Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera). Hay diversos tipos de ataques informáticos. Algunos son: • Ataque de denegación de servicio, también llamado ataque DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. • Man in the middle, a veces abreviado MitM, es una situación donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas. • Ataques de REPLAY, una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado. • Ataque de día cero, ataque realizado contra un ordenador, a partir del cual se explotan ciertas vulnerabilidades, o agujeros de seguridad de algún programa o programas antes de que se conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el ataque antes de la publicación del parche que la solvente. • Ataque por fuerza bruta. No es necesariamente un procedimiento que se deba realizar por procesos informáticos, aunque este sistema ahorraría tiempos, energías y esfuerzos. El sistema de ataque por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en estudio.
Seguridad web. 2.2. INGENIERIA SOCIAL. Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio
Seguridad web. de un bolígrafo barato. Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de Spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima? La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas. Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios: 1. Todos queremos ayudar. 2. El primer movimiento es siempre de confianza hacia el otro. 3. No nos gusta decir No. 4. A todos nos gusta que nos alaben. 2.3. INYECCION SQL Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error
Seguridad web. de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro. Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado. Se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos. Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el programador de la aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema (base de datos) podrá quedar eventualmente comprometida. La intrusión ocurre durante la ejecución del programa vulnerable, ya sea, en computadores de escritorio o bien en sitios Web, en éste último caso obviamente ejecutándose en el servidor que los aloja. La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una sentencia SQL en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia SQL a ejecutar en forma desprotegida. En cualquier caso, siempre que el programador necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una base de datos; ya que, justamente, dentro de los parámetros es donde se puede incorporar el código SQL intruso. Al ejecutarse la consulta en la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar otro tipo de código malicioso en el computador. Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y que existe un parámetro "nombreUsuario" que contiene el nombre de usuario a consultar, una inyección SQL se podría provocar de la siguiente forma:
Seguridad web. El código SQL original y vulnerable es: Consulta:= "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';" Ilustración 5: el proceso de la inyección SQL 2.4 SPOOFING. Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
Seguridad web. Ilustración 6: a través de la dirección ip podemos atacar a nuestra victima IP Spoofing Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo ReQuest") suplantado, la respuesta será recibida por el host al que pertenece la IP legalmente. Este tipo de spoofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood conocido como ataque Smurf. Para poder realizar Suplantación de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su SYN específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos solicitado. También hay que tener en cuenta que los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarán el enrutador).
Seguridad web. ARP Spoofing Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor de la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla local con la relación IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARP-REPLY indicando su MAC como destino válido para una IP específica, como por ejemplo la de un enrutador, de esta manera la información dirigida al enrutador pasaría por el ordenador atacante quien podrá escanear dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta técnica sólo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda antes del primer enrutador. Una manera de protegerse de esta técnica es mediante tablas ARP estática (siempre que las IP de red sean fijas), lo cual puede ser difícil en redes grandes. Otras formas de protegerse incluyen el usar programas de detección de cambios de las tablas ARP (como Arpwatch) y el usar la seguridad de puerto de los switches para evitar cambios en las direcciones MAC. DNS Spoofing Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache
Seguridad web. DNS de otro servidor diferente (DNS Poisoning). Web Spoofing Suplantación de una página web real (no confundir con phishing). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas web vistas, información de formularios, contraseñas etc.). La página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple enlace. El web spoofing es difícilmente detectable; quizá la mejor medida es algún plugin del navegador que muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque. Este ataque se realiza mediante una implantación de código el cual nos robará la información. Usualmente se realizan páginas fantasmas en las cuales se inyectan estos códigos para poder sacar información de las víctimas. Mail Spoofing Suplantación en correo electrónico de la dirección de correo electrónico de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de mensajes de correo electrónico hoax como suplemento perfecto para el uso de suplantación de identidad y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. GPS Spoofing Un ataque de GPS spoofing intenta engañar a un receptor de GPS transmitiendo una señal ligeramente más poderosa que la recibida desde los satélites del sistema GPS, estructurada para parecerse a un conjunto normal de señales GPS. Sin embargo estas señales están
Seguridad web. modificadas de tal forma de que causarán que el receptor determine una posición diferente a la real, específicamente algún lugar determinado por la señal atacante. Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una señal el viajar entre el satélite y el receptor, un spoofing exitoso requiere que el atacante conozca con precisión donde se encuentra el blanco de tal forma que la señal falsa pueda ser estructurada con el retraso apropiado. Un ataque de GPS spoofing comienza con la transmisión de una señal ligeramente más poderosa que la que entrega la posición correcta, y luego se comienza a desviar lentamente hacia la posición deseada por el atacante, ya que si esto se hace demasiado rápido el receptor atacado perderá la fijación en la señal, en cuyo momento el ataque de spoofing sólo funcionaría como un ataque de perturbación.
Seguridad web. Resultados Al concluir la investigación de nuestro artículo obtuvimos toda la información así como el conocimiento necesario para que cualquier persona que navegue por la web este enterado de los peligros que existen al navegar. De la misma manera les hicimos llegar un conjunto de indicaciones para que su información personal no sea utilizada para fines de lucro y tenga en cuenta las indicaciones para navegar por la web.
Seguridad web. REFERENCIAS lockhart. (2011) security hacks. Jean paul garcia muran. (2011). Hacking y seguridad en internet. Mikel gastesi. (2010). Fraude online. Misha glenny. (2008). El lado oscuro de la red. Sebastien baudru. (2005). Seguridad informatica ethical hacking.

Recomendados

Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
pachiuss
 
Presentación1
Presentación1Presentación1
Presentación1
Darwin Calva L
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
batuvaps
 
Informatica slideshare
Informatica slideshareInformatica slideshare
Informatica slideshare
juancarlosvivanco998
 
Monografía sobre Seguridad Informática
Monografía sobre Seguridad InformáticaMonografía sobre Seguridad Informática
Monografía sobre Seguridad Informática
Yelitza Romero
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidad
Diego Ramos
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
Neila Rincon
 
Trabajo
TrabajoTrabajo
Trabajo
Bryan Pilamunga
 

Recomendados

Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
pachiuss
 
Presentación1
Presentación1Presentación1
Presentación1
Darwin Calva L
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
batuvaps
 
Informatica slideshare
Informatica slideshareInformatica slideshare
Informatica slideshare
juancarlosvivanco998
 
Monografía sobre Seguridad Informática
Monografía sobre Seguridad InformáticaMonografía sobre Seguridad Informática
Monografía sobre Seguridad Informática
Yelitza Romero
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidad
Diego Ramos
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
Neila Rincon
 
Trabajo
TrabajoTrabajo
Trabajo
Bryan Pilamunga
 
trabajo
trabajotrabajo
trabajo
Bryan Pilamunga
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
JoeDiaz66
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Abel Caín Rodríguez Rodríguez
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
linda gonzalez
 
8. Seguridad Informatica
8. Seguridad Informatica8. Seguridad Informatica
8. Seguridad Informatica
Harol Ivanov
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
lamugre
 
Resumen seguridad informática
Resumen seguridad informáticaResumen seguridad informática
Resumen seguridad informática
SaraDevies
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
alexaloaiza
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Jeaneth Calderon
 
ENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
ENSAYO - Seguridad informatica por Adeluz Cayllahua MamaniENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
ENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
RoggerArmas
 
Segu
SeguSegu
Segu
alu4leal
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información
David Antonio Rapri Mendoza
 
Unidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaUnidad 3: Seguridad informatica
Unidad 3: Seguridad informatica
TheNexuss
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Neris Alfonzo
 
1a seguridad informatica
1a seguridad informatica1a seguridad informatica
1a seguridad informatica
Jorge Victor Velasquez Roque
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Luzyrr
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Universidad de Los Andes (ULA)
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Pedro Trelles Araujo
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
Jeovany Serna
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
contiforense
 
Portada del equipo
Portada del equipoPortada del equipo
Portada del equipo
isidro luna beltran
 
Programacion logica y funcional ejer1
Programacion logica y funcional ejer1Programacion logica y funcional ejer1
Programacion logica y funcional ejer1
isidro luna beltran
 

Más contenido relacionado

La actualidad más candente

La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
linda gonzalez
 
8. Seguridad Informatica
8. Seguridad Informatica8. Seguridad Informatica
8. Seguridad Informatica
Harol Ivanov
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
lamugre
 
Resumen seguridad informática
Resumen seguridad informáticaResumen seguridad informática
Resumen seguridad informática
SaraDevies
 
Unidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaUnidad 3: Seguridad informatica
Unidad 3: Seguridad informatica
TheNexuss
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Luzyrr
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
Jeovany Serna
 

La actualidad más candente (20)

trabajo
trabajotrabajo
trabajo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
 
8. Seguridad Informatica
8. Seguridad Informatica8. Seguridad Informatica
8. Seguridad Informatica
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Resumen seguridad informática
Resumen seguridad informáticaResumen seguridad informática
Resumen seguridad informática
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
ENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
ENSAYO - Seguridad informatica por Adeluz Cayllahua MamaniENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
ENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
 
Segu
SeguSegu
Segu
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información
 
Unidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaUnidad 3: Seguridad informatica
Unidad 3: Seguridad informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
1a seguridad informatica
1a seguridad informatica1a seguridad informatica
1a seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
 

Destacado

Programacion logica y funcional ejer1
Programacion logica y funcional ejer1Programacion logica y funcional ejer1
Programacion logica y funcional ejer1
isidro luna beltran
 
Seguridad web -articulo completo- ingles
Seguridad web -articulo completo- inglesSeguridad web -articulo completo- ingles
Seguridad web -articulo completo- ingles
isidro luna beltran
 
Ingeniería de requisitos
Ingeniería de requisitosIngeniería de requisitos
Ingeniería de requisitos
kelyquinayas
 
Ingeniería de requisitos(ir)
Ingeniería de requisitos(ir)Ingeniería de requisitos(ir)
Ingeniería de requisitos(ir)
Kleo Jorgee
 

Destacado (8)

Portada del equipo
Portada del equipoPortada del equipo
Portada del equipo
 
Programacion logica y funcional ejer1
Programacion logica y funcional ejer1Programacion logica y funcional ejer1
Programacion logica y funcional ejer1
 
Preguntas ejer1
Preguntas ejer1Preguntas ejer1
Preguntas ejer1
 
Seguridad web -articulo completo- ingles
Seguridad web -articulo completo- inglesSeguridad web -articulo completo- ingles
Seguridad web -articulo completo- ingles
 
Glosario
GlosarioGlosario
Glosario
 
Ingeniería de requisitos
Ingeniería de requisitosIngeniería de requisitos
Ingeniería de requisitos
 
Ingeniería de requisitos(ir)
Ingeniería de requisitos(ir)Ingeniería de requisitos(ir)
Ingeniería de requisitos(ir)
 
Ingeniería De Requisitos
Ingeniería De RequisitosIngeniería De Requisitos
Ingeniería De Requisitos
 

Similar a Seguridad web -articulo completo-español

Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
sandruitus
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
sandruitus
 
Trabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informaticaTrabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informatica
Jessy Lopez
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
marlenis carrion
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
MBouvier2
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
MBouvier2
 

Similar a Seguridad web -articulo completo-español (20)

Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Trabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informaticaTrabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Power blogger
Power bloggerPower blogger
Power blogger
 
Laseguridadinformtica ivan
Laseguridadinformtica ivanLaseguridadinformtica ivan
Laseguridadinformtica ivan
 
Power point informatica
Power point informaticaPower point informatica
Power point informatica
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
POLITICAS Y SEGURIDAD DE LA INFORMACION SEMANA 7.pdf
POLITICAS Y SEGURIDAD DE LA INFORMACION SEMANA 7.pdfPOLITICAS Y SEGURIDAD DE LA INFORMACION SEMANA 7.pdf
POLITICAS Y SEGURIDAD DE LA INFORMACION SEMANA 7.pdf
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Seguridad informatica y amenazas
Seguridad informatica y amenazasSeguridad informatica y amenazas
Seguridad informatica y amenazas
 
Marco
MarcoMarco
Marco
 
Marco
Marco Marco
Marco
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
Tarea.....c.
Tarea.....c.Tarea.....c.
Tarea.....c.
 
Tarea.....c.
Tarea.....c.Tarea.....c.
Tarea.....c.
 
Marco
MarcoMarco
Marco
 

Más de isidro luna beltran

Ensayo de isidrotelecomunicconess
Ensayo de isidrotelecomunicconessEnsayo de isidrotelecomunicconess
Ensayo de isidrotelecomunicconess
isidro luna beltran
 
Taxonomia de las herramientas case
Taxonomia de las herramientas caseTaxonomia de las herramientas case
Taxonomia de las herramientas case
isidro luna beltran
 
Función derivada y derivadas sucesivas
Función derivada y derivadas sucesivasFunción derivada y derivadas sucesivas
Función derivada y derivadas sucesivas
isidro luna beltran
 

Más de isidro luna beltran (20)

Ensayo ingenieria de requisitos
Ensayo ingenieria de requisitosEnsayo ingenieria de requisitos
Ensayo ingenieria de requisitos
 
Ensayo de isidrotelecomunicconess
Ensayo de isidrotelecomunicconessEnsayo de isidrotelecomunicconess
Ensayo de isidrotelecomunicconess
 
Taxonomia de las herramientas case
Taxonomia de las herramientas caseTaxonomia de las herramientas case
Taxonomia de las herramientas case
 
Herramientas case
Herramientas caseHerramientas case
Herramientas case
 
Función derivada y derivadas sucesivas
Función derivada y derivadas sucesivasFunción derivada y derivadas sucesivas
Función derivada y derivadas sucesivas
 
Expo..tema...3.1 expoo
Expo..tema...3.1 expooExpo..tema...3.1 expoo
Expo..tema...3.1 expoo
 
Expo..tema...3.1 expoo
Expo..tema...3.1 expooExpo..tema...3.1 expoo
Expo..tema...3.1 expoo
 
Protocolo
ProtocoloProtocolo
Protocolo
 
Protocolo
ProtocoloProtocolo
Protocolo
 
Reseñas+c..
Reseñas+c..Reseñas+c..
Reseñas+c..
 
Los seis sombreros para pensar
Los seis sombreros para pensarLos seis sombreros para pensar
Los seis sombreros para pensar
 
Los seis sombreros para pensar
Los seis sombreros para pensarLos seis sombreros para pensar
Los seis sombreros para pensar
 
éTica para amador resumen
éTica para amador resumenéTica para amador resumen
éTica para amador resumen
 
Autobiografia
AutobiografiaAutobiografia
Autobiografia
 
Autobiografia
AutobiografiaAutobiografia
Autobiografia
 
Calaveritas
CalaveritasCalaveritas
Calaveritas
 
Calaveritas
CalaveritasCalaveritas
Calaveritas
 
Calaveritas
CalaveritasCalaveritas
Calaveritas
 
Calaveritas
CalaveritasCalaveritas
Calaveritas
 
Calaveritas
CalaveritasCalaveritas
Calaveritas
 

Último

6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
Wilian24
 
Lineamientos de la Escuela de la Confianza SJA Ccesa.pptx
Lineamientos de la Escuela de la Confianza SJA Ccesa.pptxLineamientos de la Escuela de la Confianza SJA Ccesa.pptx
Lineamientos de la Escuela de la Confianza SJA Ccesa.pptx
Demetrio Ccesa Rayme
 
COMPENDIO ECE 5 GRADO MATEMÁTICAS DE PRIMARIA
COMPENDIO ECE 5 GRADO MATEMÁTICAS DE PRIMARIACOMPENDIO ECE 5 GRADO MATEMÁTICAS DE PRIMARIA
COMPENDIO ECE 5 GRADO MATEMÁTICAS DE PRIMARIA
Wilian24
 
ACERTIJO EL NÚMERO PI COLOREA EMBLEMA OLÍMPICO DE PARÍS. Por JAVIER SOLIS NOYOLA
ACERTIJO EL NÚMERO PI COLOREA EMBLEMA OLÍMPICO DE PARÍS. Por JAVIER SOLIS NOYOLAACERTIJO EL NÚMERO PI COLOREA EMBLEMA OLÍMPICO DE PARÍS. Por JAVIER SOLIS NOYOLA
ACERTIJO EL NÚMERO PI COLOREA EMBLEMA OLÍMPICO DE PARÍS. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdfLas Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Demetrio Ccesa Rayme
 

Último (20)

Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
El liderazgo en la empresa sostenible, introducción, definición y ejemplo.
El liderazgo en la empresa sostenible, introducción, definición y ejemplo.El liderazgo en la empresa sostenible, introducción, definición y ejemplo.
El liderazgo en la empresa sostenible, introducción, definición y ejemplo.
 
animalesdelaproincia de beunos aires.pdf
animalesdelaproincia de beunos aires.pdfanimalesdelaproincia de beunos aires.pdf
animalesdelaproincia de beunos aires.pdf
 
GRUPO 2 - LA GRAN TRIBULACIÓN 25-03-2024 vf.pdf
GRUPO 2 - LA GRAN TRIBULACIÓN 25-03-2024 vf.pdfGRUPO 2 - LA GRAN TRIBULACIÓN 25-03-2024 vf.pdf
GRUPO 2 - LA GRAN TRIBULACIÓN 25-03-2024 vf.pdf
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 
Lineamientos de la Escuela de la Confianza SJA Ccesa.pptx
Lineamientos de la Escuela de la Confianza SJA Ccesa.pptxLineamientos de la Escuela de la Confianza SJA Ccesa.pptx
Lineamientos de la Escuela de la Confianza SJA Ccesa.pptx
 
Educacion Basada en Evidencias SM5 Ccesa007.pdf
Educacion Basada en Evidencias SM5 Ccesa007.pdfEducacion Basada en Evidencias SM5 Ccesa007.pdf
Educacion Basada en Evidencias SM5 Ccesa007.pdf
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
Planeacion para 1er Grado - (2023-2024)-1.docx
Planeacion para 1er Grado - (2023-2024)-1.docxPlaneacion para 1er Grado - (2023-2024)-1.docx
Planeacion para 1er Grado - (2023-2024)-1.docx
 
AEC2. Egipto Antiguo. Adivina, Adivinanza.pptx
AEC2. Egipto Antiguo. Adivina, Adivinanza.pptxAEC2. Egipto Antiguo. Adivina, Adivinanza.pptx
AEC2. Egipto Antiguo. Adivina, Adivinanza.pptx
 
Actividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docxActividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docx
 
TÉCNICAS OBSERVACIONALES Y TEXTUALES.pdf
TÉCNICAS OBSERVACIONALES Y TEXTUALES.pdfTÉCNICAS OBSERVACIONALES Y TEXTUALES.pdf
TÉCNICAS OBSERVACIONALES Y TEXTUALES.pdf
 
Sesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdfSesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdf
 
Lecciones 06 Esc. Sabática. Los dos testigos
Lecciones 06 Esc. Sabática. Los dos testigosLecciones 06 Esc. Sabática. Los dos testigos
Lecciones 06 Esc. Sabática. Los dos testigos
 
UNIDAD 3 -MAYO - IV CICLO para cuarto grado
UNIDAD 3 -MAYO - IV CICLO para cuarto gradoUNIDAD 3 -MAYO - IV CICLO para cuarto grado
UNIDAD 3 -MAYO - IV CICLO para cuarto grado
 
COMPENDIO ECE 5 GRADO MATEMÁTICAS DE PRIMARIA
COMPENDIO ECE 5 GRADO MATEMÁTICAS DE PRIMARIACOMPENDIO ECE 5 GRADO MATEMÁTICAS DE PRIMARIA
COMPENDIO ECE 5 GRADO MATEMÁTICAS DE PRIMARIA
 
ACERTIJO EL NÚMERO PI COLOREA EMBLEMA OLÍMPICO DE PARÍS. Por JAVIER SOLIS NOYOLA
ACERTIJO EL NÚMERO PI COLOREA EMBLEMA OLÍMPICO DE PARÍS. Por JAVIER SOLIS NOYOLAACERTIJO EL NÚMERO PI COLOREA EMBLEMA OLÍMPICO DE PARÍS. Por JAVIER SOLIS NOYOLA
ACERTIJO EL NÚMERO PI COLOREA EMBLEMA OLÍMPICO DE PARÍS. Por JAVIER SOLIS NOYOLA
 
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdfLas Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
 

Seguridad web -articulo completo-español

  • 1. Seguridad web. Seguridad web. Isidro luna Beltrán Ismael Velasco miguel Instituto tecnológico de Tuxtepec Febrero 2014
  • 2. Seguridad web. RESUMEN Al igual que muchas otras áreas relacionadas con la seguridad la World Wide web presenta dos tipos de problemas muy diferentes con soluciones muy distintas. De una parte, la mayoría de nosotros usamos un navegador web de manera habitual y deseamos evitar que nuestros clientes web ejecuten código de un ataque que le permita hacerse con el control de nuestra máquina. Por otra parte están los servidores web, a los que no deseamos que se vean comprometidos por ataques constantes. Así que ¿Cuál es la respuesta? Pues bien no existe una única respuesta. Necesitamos seguir una serie de pasos para proteger tanto a los clientes como a los servidores. Como administrador de servidores no puedes forzar a tus clientes a asegurarse, pero puedes proteger tu propio servidor y aplicaciones basadas en web de ataques. Protegiendo el servidor también puedes evitar los clientes rotos o usuarios que hayan visitado sitios hostiles de acciones de ataque que pudieran dañar sus cuentas o datos alojados en nuestro sitio, saboteándolo; por ejemplo, un ataque de scripting multisitio que interactúa con la cuenta del usuario para cambiar la contraseña de su cuenta en nuestro sitio.
  • 3. Seguridad web. Palabras claves World Wide web Scripting Servidores
  • 4. Seguridad web. INTRODUCCION La seguridad absoluta es indemostrable, Mantener un sistema seguro consiste en garantizar tres aspectos fundamentales tales como: confidencialidad en donde solo pueden acceder a los recursos de nuestro sistema agentes autorizados, integridad dentro de ella los recursos de nuestro sistema solo pueden ser modificadas por nuestro agente y disponibilidad en donde los recursos de nuestros sistemas estarán a disposición de nuestro agente autorizado. Hoy en día la seguridad es un aspecto muy importante en cualquier tipo de empresas u organizaciones en donde se manejen información de suma importancia, con este motivo hemos decidido realizar nuestra investigación en este ámbito debido a que cada vez hay más personas dedicadas al robo de la información para sacarle provecho o bien vendérselas a la competencia. Con nuestra investigación lograremos que todos y cada uno de los lectores se prevengan a ciertos ataques que dañen la integridad ya sea personal o de su propia empresa perdiendo así información de gran utilidad.
  • 5. Seguridad web. METODOLOGÍA La metodología que utilizamos fue prácticamente una gran búsqueda de información en libros, revistas, así como en distintos sitios web en donde obtuvimos información de gran relevancia para nuestro trabajo. CAPITULO 1. SEGURIDAD WEB 1.1. ¿QUE ES LA SEGURIDAD WEB? La red mundial Internet y sus elementos asociados son mecanismos ágiles que proveen una alta gama de posibilidades de comunicación, interacción y entretenimiento, tales como elementos de multimedia, foros, chat, correo, comunidades, bibliotecas virtuales entre otros que pueden ser accedidos por todo tipo de público. Sin embargo estos elementos deben contener mecanismos que protejan y reduzcan los riesgos de seguridad alojados, distribuidos y potencializados a través del mismo servicio de Internet. La seguridad debe establecer normas que minimicen los riesgos a la información o infraestructura dentro de cualquier organización. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores. La seguridad está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes: • La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la
  • 6. Seguridad web. infraestructura. • Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable. • La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios. Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. Ilustración 1: el servicio de seguridad y filtrado permite a las organizaciones protegerse de las amenaza. 1.2. CONCEPTOS GENERALES DE SEGURIDAD. • Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos
  • 7. Seguridad web. autorizados. • Integridad: Se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen. •Disponibilidad: Se refiere a que la información pueda ser recuperada o esté disponible en el momento que se necesite. • Seguridad de la Información: Son aquellas acciones que están encaminadas al establecimiento de directrices que permitan alcanzar la confidencialidad, integridad y disponibilidad de la información, así como la continuidad de las operaciones ante un evento que las interrumpa. •Activo: Recursos con los que cuenta la empresa y que tiene valor, pueden ser tangibles (servidores, desktop, equipos de comunicación) o intangibles (Información, políticas, normas, procedimientos). •Vulnerabilidad: Exposición a un riesgo, fallo o hueco de seguridad detectado en algún programa o sistema informático. • Amenaza: Cualquier situación o evento posible con potencial de daño, que pueda presentarse en un sistema. • Riesgo: Es un hecho potencial, que en el evento de ocurrir puede impactar negativamente la seguridad, los costos, la programación o el alcance de un proceso de negocio o de un proyecto. • Correo electrónico: El correo electrónico es un servicio de red que permite que los usuarios envíen y reciban mensajes incluyendo textos, imágenes, videos, audio, programas, etc., mediante sistemas de comunicación electrónicos.
  • 8. Seguridad web. Ilustración 2: es importante señalar que existen ataques en distintos tipos de navegadores. 1.3. TECNICAS PARA ASEGURAR EL SISTEMA. El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para hacerlo. Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en la mayoría de los casos es una combinación de varios de ellos) A continuación se enumeran una serie de medidas que se consideran básicas para asegurar un sistema tipo, si bien para necesidades específicas se requieren medidas extraordinarias y de mayor profundidad: Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad al uso para todo el software que se implante en los sistemas, partiendo de estándares y de personal suficientemente formado y concienciado con la seguridad.
  • 9. Seguridad web. • Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de los centros de proceso de datos, sistemas de protección contra inundaciones, protecciones eléctricas contra apagones y sobretensiones, sistemas de control de accesos, etc. • Codificar la información: criptología, criptografía y criptociencia. Esto se debe realizar en todos aquellos trayectos por los que circule la información que se quiere proteger, no solo en aquellos más vulnerables. Por ejemplo, si los datos de una base muy confidencial se han protegido con dos niveles de firewall, se ha cifrado todo el trayecto entre los clientes y los servidores y entre los propios servidores, se utilizan certificados y sin embargo se dejan sin cifrar las impresiones enviadas a la impresora de red, tendríamos un punto de vulnerabilidad. • Contraseñas difíciles de averiguar que, por ejemplo, no puedan ser deducidas a partir de los datos personales del individuo o por comparación con un diccionario, y que se cambien con la suficiente periodicidad. Las contraseñas, además, deben tener la suficiente complejidad como para que un atacante no pueda deducirla por medio de programas informáticos. El uso de certificados digitales mejora la seguridad frente al simple uso de contraseñas. • Vigilancia de red. Las redes transportan toda la información, por lo que además de ser el medio habitual de acceso de los atacantes, también son un buen lugar para obtener la información sin tener que acceder a las fuentes de la misma. Por la red no solo circula la información de ficheros informáticos como tal, también se transportan por ella: correo electrónico, conversaciones telefónicas (VoIP), mensajería instantánea, navegación Internet, lecturas y escrituras a bases de datos, etc. Por todo ello, proteger la red es una de las principales tareas para evitar robo de información. Existen medidas que abarcan desde la seguridad física de los puntos de entrada hasta el control de equipos conectados, por ejemplo 802.1x. En el caso de redes inalámbricas la posibilidad de vulnerar la seguridad es mayor y deben adoptarse medidas adicionales. • Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso fuertes entre los usuarios y servidores no públicos y los equipos publicados. De esta forma, las reglas más débiles solo permiten el acceso a ciertos equipos y nunca a los datos, que quedarán tras dos niveles de seguridad. • Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos -
  • 10. Seguridad web. antispyware, antivirus, llaves para protección de software, etc. • Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad. • Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener la información en dos ubicaciones de forma asíncrona. • Controlar el acceso a la información por medio de permisos centralizados y mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los medios para conseguirlo son: • Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. • Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). • Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. • Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. y que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. • Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. • Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo, como se ha indicado más arriba, e incluso utilizando programa que ayuden a los usuarios a la gestión de la gran cantidad de contraseñas que tienen gestionar en los entornos actuales, conocidos habitualmente como gestores de identidad. • Redundancia y descentralización.
  • 11. Seguridad web. Ilustración 3: para asegurar el sistema existen diferentes técnicas como las mencionadas anteriormente. 1.4. TIPS DE SEGURIDAD. • Pornografía Infantil: Evite Alojar, publicar o trasmitir información, mensajes, gráficos, dibujos, archivos de sonido, imágenes, fotografías, grabaciones o software que en forma indirecta o directa se encuentren actividades sexuales con menores de edad, en los términos de la legislación internacional o nacional, tales como la Ley 679 de 2001 y el Decreto 1524 de 2002 o aquella que la aclare, modifique o adicione o todas las leyes que lo prohíban. • Control de virus y códigos maliciosos: Mantenga siempre un antivirus actualizado en su equipo(s), procure correr éste periódicamente, de la misma manera, tenga en su equipo elementos como anti-spyware y bloqueadores de pop-up (ventanas emergentes). • Evite visitar páginas no confiables o instalar software de dudosa procedencia. • La mayoría de las aplicaciones peer-to-peer contiene programas espías que se instalan sin usted darse cuenta. Asegúrese que se aplican las actualizaciones en sistemas operativos y navegadores Web de manera regular. • Si sus programas o el trabajo que realiza en su computador no requieren de Java support, ActiveX, Multimedia Autoplay o auto ejecución de programas, deshabilite estos. Si así lo requiere, obtenga y configure el firewall personal, esto reducirá el riesgo de exposición.
  • 12. Seguridad web. Correo electrónico: • No publique su cuenta de correo en sitios no confiables. • No preste su cuenta de correo ya que cualquier acción será su responsabilidad. • No divulgue información confidencial o personal a través del correo. • Si un usuario recibe un correo con una advertencia sobre su cuenta bancaria, no debe contestarlo • Nunca responda a un correo HTML con formularios embebidos. • Si ingresa la clave en un sitio no confiable, procure cambiarla en forma inmediata para su seguridad y en cumplimiento del deber de diligencia que le asiste como titular de la misma. Control de Spam: • Nunca hacer clic en enlaces dentro del correo electrónico aun si parecen legítimos. Digite directamente la URL del sitio en una nueva ventana del browser • Para los sitios que indican ser seguros, revise su certificado SSL. • No reenvié los correos cadenas, esto evita congestiones en las redes y el correo, además del robo de información contenidos en los encabezados. • Control de la Ingeniería social. • No divulgue información confidencial suya o de las personas que lo rodean. • No hable con personas extrañas de asuntos laborales o personales que puedan comprometer información. • Utilice los canales de comunicación adecuados para divulgar la información. Control de phishing: • Si un usuario recibe un correo, llamada o mensaje de texto con una advertencia sobre su cuenta bancaria, no debe contestarlo. • Para los sitios que indican ser seguros, revise su certificado SSL. • Valide con la entidad con quien posee un servicio, si el mensaje recibido por correo es
  • 13. Seguridad web. válido. Robo de contraseñas: • Cambie sus contraseñas frecuentemente, mínimo cada 30 días. • Use contraseñas fuertes: Fácil de recordar y difícil de adivinar. • Evite fijar contraseñas muy pequeñas, se recomienda que sea mínimo de una longitud de 10 caracteres, combinada con números y caracteres especiales. • No envié información de claves a través del correo u otro medio que no esté encriptado. Ilustración 4: para que nuestra información no se vea amenazada evitar páginas inseguras.
  • 14. Seguridad web. CAPITULO 2. ATAQUES Y VULNERABILIDADES. 2.1. ATAQUE INFORMATICO Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera). Hay diversos tipos de ataques informáticos. Algunos son: • Ataque de denegación de servicio, también llamado ataque DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. • Man in the middle, a veces abreviado MitM, es una situación donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas. • Ataques de REPLAY, una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado. • Ataque de día cero, ataque realizado contra un ordenador, a partir del cual se explotan ciertas vulnerabilidades, o agujeros de seguridad de algún programa o programas antes de que se conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el ataque antes de la publicación del parche que la solvente. • Ataque por fuerza bruta. No es necesariamente un procedimiento que se deba realizar por procesos informáticos, aunque este sistema ahorraría tiempos, energías y esfuerzos. El sistema de ataque por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en estudio.
  • 15. Seguridad web. 2.2. INGENIERIA SOCIAL. Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio
  • 16. Seguridad web. de un bolígrafo barato. Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de Spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima? La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas. Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios: 1. Todos queremos ayudar. 2. El primer movimiento es siempre de confianza hacia el otro. 3. No nos gusta decir No. 4. A todos nos gusta que nos alaben. 2.3. INYECCION SQL Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error
  • 17. Seguridad web. de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro. Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado. Se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos. Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el programador de la aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema (base de datos) podrá quedar eventualmente comprometida. La intrusión ocurre durante la ejecución del programa vulnerable, ya sea, en computadores de escritorio o bien en sitios Web, en éste último caso obviamente ejecutándose en el servidor que los aloja. La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una sentencia SQL en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia SQL a ejecutar en forma desprotegida. En cualquier caso, siempre que el programador necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una base de datos; ya que, justamente, dentro de los parámetros es donde se puede incorporar el código SQL intruso. Al ejecutarse la consulta en la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar otro tipo de código malicioso en el computador. Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y que existe un parámetro "nombreUsuario" que contiene el nombre de usuario a consultar, una inyección SQL se podría provocar de la siguiente forma:
  • 18. Seguridad web. El código SQL original y vulnerable es: Consulta:= "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';" Ilustración 5: el proceso de la inyección SQL 2.4 SPOOFING. Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
  • 19. Seguridad web. Ilustración 6: a través de la dirección ip podemos atacar a nuestra victima IP Spoofing Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo ReQuest") suplantado, la respuesta será recibida por el host al que pertenece la IP legalmente. Este tipo de spoofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood conocido como ataque Smurf. Para poder realizar Suplantación de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su SYN específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos solicitado. También hay que tener en cuenta que los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarán el enrutador).
  • 20. Seguridad web. ARP Spoofing Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor de la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla local con la relación IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARP-REPLY indicando su MAC como destino válido para una IP específica, como por ejemplo la de un enrutador, de esta manera la información dirigida al enrutador pasaría por el ordenador atacante quien podrá escanear dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta técnica sólo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda antes del primer enrutador. Una manera de protegerse de esta técnica es mediante tablas ARP estática (siempre que las IP de red sean fijas), lo cual puede ser difícil en redes grandes. Otras formas de protegerse incluyen el usar programas de detección de cambios de las tablas ARP (como Arpwatch) y el usar la seguridad de puerto de los switches para evitar cambios en las direcciones MAC. DNS Spoofing Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache
  • 21. Seguridad web. DNS de otro servidor diferente (DNS Poisoning). Web Spoofing Suplantación de una página web real (no confundir con phishing). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas web vistas, información de formularios, contraseñas etc.). La página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple enlace. El web spoofing es difícilmente detectable; quizá la mejor medida es algún plugin del navegador que muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque. Este ataque se realiza mediante una implantación de código el cual nos robará la información. Usualmente se realizan páginas fantasmas en las cuales se inyectan estos códigos para poder sacar información de las víctimas. Mail Spoofing Suplantación en correo electrónico de la dirección de correo electrónico de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de mensajes de correo electrónico hoax como suplemento perfecto para el uso de suplantación de identidad y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. GPS Spoofing Un ataque de GPS spoofing intenta engañar a un receptor de GPS transmitiendo una señal ligeramente más poderosa que la recibida desde los satélites del sistema GPS, estructurada para parecerse a un conjunto normal de señales GPS. Sin embargo estas señales están
  • 22. Seguridad web. modificadas de tal forma de que causarán que el receptor determine una posición diferente a la real, específicamente algún lugar determinado por la señal atacante. Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una señal el viajar entre el satélite y el receptor, un spoofing exitoso requiere que el atacante conozca con precisión donde se encuentra el blanco de tal forma que la señal falsa pueda ser estructurada con el retraso apropiado. Un ataque de GPS spoofing comienza con la transmisión de una señal ligeramente más poderosa que la que entrega la posición correcta, y luego se comienza a desviar lentamente hacia la posición deseada por el atacante, ya que si esto se hace demasiado rápido el receptor atacado perderá la fijación en la señal, en cuyo momento el ataque de spoofing sólo funcionaría como un ataque de perturbación.
  • 23. Seguridad web. Resultados Al concluir la investigación de nuestro artículo obtuvimos toda la información así como el conocimiento necesario para que cualquier persona que navegue por la web este enterado de los peligros que existen al navegar. De la misma manera les hicimos llegar un conjunto de indicaciones para que su información personal no sea utilizada para fines de lucro y tenga en cuenta las indicaciones para navegar por la web.
  • 24. Seguridad web. REFERENCIAS lockhart. (2011) security hacks. Jean paul garcia muran. (2011). Hacking y seguridad en internet. Mikel gastesi. (2010). Fraude online. Misha glenny. (2008). El lado oscuro de la red. Sebastien baudru. (2005). Seguridad informatica ethical hacking.