SEGURIDAD

HACKING Y SEGURIDAD EN VEHÍCULOS

El uso de internet y de tecnología en los objetos de uso diario (IoT) también se ve reflejado en los automóviles, por ejemplo, incorporando funciones de encendido desde teléfonos inteligentes, de auto-parqueo o de geolocalización. Pero el uso de las tecnologías de la información en los automóviles incrementa las vulnerabilidades informáticas a las que está expuesto un vehículo, por ejemplo:

Las llaves: Las llaves de los vehículos ahora son chips electrónicos con códigos que pueden ser descifrados, por ejemplo, mediante una técnica llamada chip slicing, la cual consiste en analizar mediante un microscopio a los pequeños transistores que lo conforman, para así interferir con el algoritmo que programa el funcionamiento de la llave.

El motor: El motor de la mayoría de los vehículos incorpora el ECU (Unidades de Control Electrónico) y desde este dispositivo se controlan los aspectos funcionales del auto, incluyendo aceleración, frenado, dirección y bocina. A dicho dispositivo se le puede implementar un software que envía instrucciones a la computadora de la red del vehículo y reemplaza los comandos de los controladores reales de la unidad, alterando la funcionalidad del automóvil.

El tablero: En un tablero digital de un vehículo se pueden modificar los índices de combustible o velocidad. Interviniendo las redes inalámbricas del vehículo, es posible intervenir la radio, tocar la bocina, activar y desactivar limpiaparabrisas, controlar el aire acondicionado etc.

Estas son algunas marcas de automóviles y sus respectivas vulnerabilidades:

BMW X3: Es posible acceder al sistema BMW Connected Drive y sus conexiones Bluetooth y Wi-fi, permitiendo controlar las funciones del vehículo desde cualquier dispositivo móvil o computador, como por ejemplo conducción semiautomática, estacionamiento, ejecución de aplicaciones del tablero, etc.

Chrysler 300: El sistema de infoentretenimiento Uconnect permite acceso al control de funcionalidades del vehículo, como ejecución de aplicaciones, control de la navegación y geolocalización, administración de las comunicaciones a través del manos libres, control de voz con Siri,etc .

Land Rover Range Rover Evoque: Tiene implementado un sistema de infoentretenimiento InControl, que controla elementos multimedia, navegación y geolocalización. Adicionalmente tiene acceso sin llave, conexión Wi-Fi o Bluetooth.

Toyota Prius 2010: Cuenta con varios elementos inseguros: vulnerabilidad de la radio, conexión de Bluetooth, acceso sin llave, conectividad con el teléfono móvil y sistema Safety Connect, el cual mantiene conectado y geolocalizado el vehículo permanentemente.

Infiniti Q50: Cuenta con sistema de infoentretenimiento, la radio y demás componentes electrónicos están conectados con la dirección, el motor y los frenos. Un ataque al sistema de infoentretenimiento podría permitir el control de funciones principales del vehiculo.

Jeep Cherokee: Los frenos, el motor y la dirección son los elementos más expuestos en este modelo. El sistema Uconnect puede permitir interceptar la radio del Cherokee, e incluso apagar el motor del automóvil.

Cadillac Escalade 2015: El sistema OnStar, incluido en multitud de vehículos de General Motors, al conectarse mediante una red inalámbrica puede permitir la captura de comandos enviados desde un teléfono inteligente, permitiendo así posibles violaciones de privacidad o robo de información.

DERECHO INFORMÁTICO, SEGURIDAD

LOS RIESGOS EN REDES SOCIALES

Las redes sociales en la actualidad se han convertido en la principal herramienta y plataforma de comunicación a nivel global, siendo las más populares Facebook, Twitter, Google Plus, MySpace, WhatsApp y las emergentes SnapChat, Instagram, Pinterest entre otras. Estas redes conectan a más de dos mil quinientos millones de personas usuarias de todo el planeta, siendo una de las expresiones más claras de la tecnología y de su influencia en el comportamiento y los destinos de la sociedad actual.

socialmedia-pmSin embargo, de lo anterior se desprende la primera cuestión preliminar, “a mayor accesibilidad, mayor riesgo y a mayor riesgo, mayor necesidad de supervisión y control a nivel general.  Por eso a continuación nos permitimos enunciar algunos de los riesgos asociados a las redes sociales:

SUPLANTACIÓN DE IDENTIDAD

La suplantación de identidad en las redes sociales ocurre cuando alguien toma el nombre, cuentas o información personal de otra persona para hacerse pasar por ella. Para ellos utilizan perfiles falsos con el nombre y fotografía de la víctima.  La finalidad de esta puede asociarse a diversos delitos: estafas, extorsión, chantaje entre otros.

FRAUDE, PHISHING Y MALWARE

¿Cómo se realiza un fraude en una red social? Normalmente, los cibercriminales usan mensajes directos o publicaciones tentadoras con enlaces maliciosos o de phishing que a su vez contienen malware. Incluso teniendo las configuraciones de seguridad pertinentes, no estamos 100% seguro de estas amenazas: Si le han hackeado la cuenta a uno de sus amigos, dichos mensajes pueden provenir de alguna persona de confianza.

CIBERBULLYING O ACOSO CIBERNÉTICO

Las víctimas son en su mayoría adolescentes de entre 12 y 17 años, y las mujeres son más propensas a sufrir ataques. El Cyberbullying, maltrato o agresión a través de mensajes de texto, de voz, o de fotos, videos, audios, subidos a las redes sociales, afecta a millones de personas (especialmente a los jóvenes) alrededor del mundo, y preocupa a profesionales de la salud.

Las víctimas de acoso tienen más posibilidades de experimentar bajo rendimiento académico, depresión, ansiedad, sentimientos de soledad y cambios en los patrones de sueño y de alimentación, que podrían alterar su vida.

MIEDO A PERDERSE ALGO (FOMO, FEAR OF MISSING OUT)

FOMO o “miedo a perderse algo”. La expresión describe una nueva forma de ansiedad surgida con la popularización del móvil y las redes sociales, una necesidad compulsiva de estar conectados. En esencia, FOMO es la preocupación que los eventos sociales, o de cualquier otro tipo, puedan tener lugar sin que estemos presentes para disfrutar. FOMO se caracteriza por la necesidad de estar constantemente conectado con lo que hacen los demás, para no perderse nada. El intercambio de fotos y vídeos en las redes sociales significa que las personas experimentan una corriente prácticamente interminable de experiencias de otros, que potencialmente pueden alimentar los sentimientos de que se están perdiendo cosas.

VIOLACIONES, SECUESTROS O RAPTOS CON FINES DE EXPLOTACIÓN SEXUAL (GROOMING)

El grooming comprende todas aquellas conductas ejecutadas en línea por pedófilos o un pederasta (los groomers) para ganar la confianza de menores o adolescentes mediante la utilización de una identidad usurpada (generalmente de un “famoso”), fingiendo empatía, identidad de intereses o contención emocional, con la finalidad de concretar un abuso sexual.

Estos delincuentes utilizan las redes sociales como plataforma para tomar contacto con sus víctimas. Mediante mecanismos de seducción, buscan el intercambio de imágenes comprometedoras (de contenido sexual) que luego son utilizadas para extorsionar a las víctimas.

SUICIDIOS EN LOS JÓVENES

El principal factor que está ocasionando esta tendencia, tiene que ver con un aumento en el nivel de violencia, ciberbullying y acoso cibernético que se presentan en las redes sociales, así como la falta de regulación en el contenido de estos.

Las redes sociales más peligrosas para influir en los suicidios son Facebook y Twitter, debido a que los menores de edad tienen más facilidades para acceder a este tipo de redes dado que son las más populares.

PROBLEMAS LEGALES

Las personas no saben que todo lo que dice o se publica en las redes sociales puede tener repercusiones legales. Así que mucho cuidado con insultar, difamar o difundir rumores falsos. Tales contenidos pueden generar problemas relacionados con la protección de datos de carácter personal, la propiedad industrial e intelectual, el derecho penal y los derechos de la personalidad, el derecho laboral y la publicidad entre otros.

VIRUS INFORMÁTICOS MASIVOS

A través de redes de computadores infectadas (botnets), los ciberdelincuentes que usan las redes sociales infectadas pueden realizar diversas acciones, como el robo o secuestro de información, el control del sistema, la captura de contraseñas o sesiones activas e inclusive deteriorar el rendimiento del dispositivo infectado. Gusanos, troyanos y ransomware, son las variantes más conocidas en este campo.

PORNOGRAFÍA INFANTIL POR SEXTING, SECUESTRO Y TRATA DE PERSONAS

Cuando un menor se hace fotografías de carácter sexual puede provocar un deseo de encuentro a las personas a las que las llegue. Esto puede originar un abuso o corrupción del menor exponiéndole a chantajes sexuales o incluso generar encuentros pueden terminar en secuestro y trata de personas.

USO INDEBIDO DE FOTOGRAFÍAS

Los archivos de imagen capturados desde la cámara de un dispositivo moderno tienen un grupo de datos llamado Metadatos.  En cuanto publicas una imagen en las redes sociales, ésta escapa a tu control. Eso quiere decir que, si no tienes cuidado, cualquiera puede verlas y usarlas con fines delictivos.  De una simple foto compartida en redes sociales, los ciberdelincuentes pueden entre otras extraer:

Marca y modelo del equipo de donde la tomaron, fecha exacta cuando tomaron la foto, lugar exacto vía GPS donde tomaron la foto, número de tu tarjeta de crédito, nombre completo y empresa donde trabaja esta persona, el número de tu cedula.

FAKE NEWS (NOTICIAS FALSAS)

Las fake news se han puesto muy de moda en los últimos tiempos. Son noticias falsas que se difunden como la pólvora a través de las redes sociales. Que tienen dos características fundamentales: tener un objetivo claro y adquirir una apariencia de noticia real, precisamente para conseguir engañarnos.

El riesgo fundamental de las fake news, es que atacan a la reputación, ya sea de una empresa, una institución, o una persona concreta: “Una reputación que cuesta mucho crear, pero que con este tipo de prácticas es muy fácil destruir, y muy complicado volver a recuperarla”.

PROBLEMAS PARA ENCONTRAR TRABAJO

No es muy ético, pero no son pocos los departamentos de recursos humanos de compañías que buscan en las redes sociales más información sobre los candidatos a un puesto de trabajo. Es un filtro previo del que se habla poco, pero existe. Así que si eres de los que sube fotos personales a tu Facebook puedes descubrir que esa foto, borracho en la última cena de Navidad, no te beneficia mucho.

PÉRDIDA DE PRODUCTIVIDAD LABORAL

Las personas dependientes a las aplicaciones móviles pueden perder su productividad hasta un 25% por cuenta de la desconcentración en el trabajo u otras actividades.  Según estadísticas de estudios previos realizados, muestran que las personas dependientes a las aplicaciones móviles tienen 25% menos ingresos que aquellos que les dan un buen uso a las herramientas digitales y las aprovechan en su trabajo (App competentes).

De igual forma se comprobó en estudiantes que por cada hora de interacción en redes, se vio deteriorado el rendimiento académico en un 10%.

COMPARTIR TU UBICACIÓN DE FORMA INDEBIDA

Aunque a menudo no se le preste demasiada atención, la ubicación es una información sensible que mucha frecuencia se comparte públicamente en redes sociales e internet, con los riesgos que ello implica.

Los usuarios tienen que ser conscientes de que plataformas como Instagram, Facebook, Flickr o YouTube presentan textos, fotografías y videos que incluyen la posibilidad de añadir la localización del autor, una información que puede ser utilizada de forma ilícita.  Cuando compartes esa información:

  • Tu ubicación revela tu paradero en un momento concreto
  • También revela dónde no estás, poniendo las cosas muy fáciles a posibles ladrones
  • Puedes proporcionar datos sobre tus objetos de valor
  • Das información de otras personas o seres queridos que estén contigo

 

SEGURIDAD

DIFERENCIAS ENTRE SEGURIDAD INFORMÁTICA Y SEGURIDAD DE LA INFORMACIÓN

La diferencia más significativa entre estos dos términos se da en que la seguridad informática se refiere a la forma tradicional de asegurar activos relacionados con la infraestructura y tecnología que administra o gestiona la información de una organización. Básicamente este tipo de seguridad hace referencia al área de IT de una compañía la cuales la encargada de preservar equipos de cómputo, manteniendo el software y hardware actualizados con el fin de cumplir con los pilares de la información.

La seguridad de la información se refiere en la actualidad a un concepto mucho más amplio, ya que no solo tiene en cuenta la parte técnica, sino que compromete a toda la organización desde las altas gerencias, hasta el personal que realiza la parte operativa.

SEGURIDAD

CROSS-SITE REQUEST FORGERY

El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía. Esta vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil, ataque de un click, cabalgamiento de sesión, y ataque automático.

Un ataque CSRF fuerza al navegador web validado de una víctima a enviar una petición a una aplicación web vulnerable, la cual entonces realiza la acción elegida a través de la víctima. Al contrario que en los ataques XSS, los cuales explotan la confianza que un usuario tiene en un sitio en particular, el cross site request forgery explota la confianza que un sitio tiene en un usuario en particular.

SEGURIDAD

LAMERS ( WANNABES ): SCRIPT – KIDDIES O CLICK – KIDDIES

Los lamers, también conocidos por script kiddies o click kiddies, son aquellas personas que han obtenido determinados programas o herramientas para realizar ataques informáticos (descargándolos generalmente desde algún servidor de Internet) y que los utilizan sin tener conocimientos técnicos de cómo funcionan. A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, y que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos.

Vieites, Álvaro. Gestión de incidentes de seguridad informática, RA-MA Editorial, 2014.

SEGURIDAD

CREADORES DE VIRUS Y PROGRAMAS DAÑINOS

Se trata de expertos informáticos que pretenden demostrar sus conocimientos construyendo virus y otros programas dañinos, que distribuyen hoy en día a través de Internet para conseguir una propagación exponencial y alcanzar así una mayor notoriedad. En estos últimos años, además, han refinado sus técnicas para desarrollar virus con una clara actividad delictiva, ya que los utilizan para obtener datos sensibles de sus víctimas (como los números de cuentas bancarias y de las tarjetas de crédito, por ejemplo) que posteriormente emplearán para cometer estafas y operaciones fraudulentas. Así, por ejemplo, a principios de febrero de 2006 se daba a conocer la noticia de que tres expertos informáticos rusos habían desarrollado y posteriormente vendido por 4.000 dólares el código de un virus capaz de explotar la vulnerabilidad del sistema de archivos gráficos WMF de Windows. Este código se expandió rápidamente a través de Internet, al insertarse en comentarios de determinados foros o en algunos programas y utilidades muy populares. Estas aplicaciones infectadas provocaban la instalación de varios programas spyware y adware en el ordenador de la víctima, así como otros códigos maliciosos.

Gómez, Vieites, Álvaro. Gestión de incidentes de seguridad informática, RA-MA Editorial, 2014.