Algunos Mitos relacionados con la Seguridad Informática

En el foro argware me encuentro con un interesante post escrito por Nybolt en el que relata algunos mitos generalizados que actualmente se tienen sobre la seguridad informática. Como mitos se entienden las teorías e ideas generalizadas que a veces se toman como verdades absolutas, las cuales “no se pueden” debatir.
Veamos cómo algunos de estos mitos de la seguridad informática pueden ser confrontados con argumentos claros.

1. “Mi antivirus está al día, así que no puede entrar ningún virus.”
Actualizar el antivirus es una de las condiciones para mantener la PC saludable, pero está lejos de ser suficiente. Aun al día, el antivirus puede no detectar ciertos invasores que todavía están en “estado salvaje”. Es decir, su código no ha llegado todavía a los laboratorios de las compañías antivirus. Por añadidura, los antivirus ni son infalibles ni sirven para detectar otras amenazas, como el Phishing (estafas por email) y el spyware (software espía).

2. “Tengo un firewall, así que no corro peligro.”
Falso. Aunque los cortafuegos son esenciales, no son perfectos. ¿Qué hace un firewall? Fiscaliza lo que entra y sale de la PC desde y hacia Internet. Así que es tan sólo un programa de computadora que, como tal, puede (y suele) contener errores. Estos errores pueden ser explotados por los piratas para burlar esta defensa. Ataques de esta clase son raros contra una PC individual, pero consignan que el cortafuegos puede ser desactivado por un virus. Para nuestra modesta computadora personal, el firewall es sólo un buen arquero, pero hay penales que nunca podrá atajar.

3. “Uso dos antivirus a la vez, ¿qué puede salir mal?”
Si un solo antivirus no es una receta mágica, tampoco lo serán dos. Y, además, pueden interferirse mutuamente.

4. “Mi PC no le interesa a nadie, no hay peligro.”
Esto era relativamente cierto hasta hace cinco o diez años. Pero ahora nuestra humilde PC hogareña vale oro. ¿Por qué? Porque hay muchas. Si el pirata consigue, por medio de un virus, arrear unos cuantos miles de PC para que intenten conectarse simultáneamente con un sitio Web, éste caerá bajo el peso de la demanda. Además, nuestra PC puede usarse para enviar spam, phishing y otros virus.

5. “Mi backup está al día, así que si pasa algo, puedo restaurar el sistema.”
Uno de los mitos más difundidos; no contempla que también los virus pueden guardarse en un backup. Como otras medidas que se tienen por mágicas, el backup sin una política racional detrás no nos sacará de una emergencia.

6. “Nunca dejo mi mail en ningún sitio ni estoy registrado en páginas Web, así que es imposible que me roben la dirección.”
Falso. Este dato está inscripto en varias partes de la computadora, y en las computadoras de las personas con las que intercambia mensajes. Los virus y sitios maliciosos están diseñados para extraer nuestra dirección de allí.

7. “Después de que entró un virus, reinstalé Windows y listo.”
Si se reinstala Windows sin dar formato al disco, el virus seguirá ahí. El problema de dar formato es que luego habrá que volver a instalar todas las aplicaciones y, previamente, hacer un backup de nuestros documentos, y esta medida no debe darle al virus la oportunidad de escapar al formato.

8. “Tengo todos los parches de Windows instalados, no puede pasar nada.”
Sin duda, mantener el sistema actualizado es una gran medida de seguridad, como el firewall y el antivirus, pero no alcanza. No todos los ataques se producen por medio de errores del sistema.

9. “No uso Outlook Express ni Internet Explorer, así que estoy a salvo.”
Es cierto que estos programas son atacados con mayor frecuencia que otros y que han exhibido docenas de vulnerabilidades. Pero la inmensa mayoría de los virus infectará la PC independientemente del software que usemos para recibir mail o bajar archivos de la Web.

10. “No abro ningún adjunto, los virus no pueden entrar.”
Falso. Hay virus, como el Blaster, que ingresan a la PC sólo por estar conectadas con Internet, si Windows no está debidamente actualizado.

¿Creías en alguno de estos mitos? ahí te va otro:

11. “Mi Equipo tiene GNU/Linux y no soy vulnerable”
Aunque bien es cierto que no hay muchos virus para este sistema operativo, podrías estar entre los desafortunados usuarios que caigan infectados ante una nueva prueba de concepto, también hay otras amenazas que no dependen del sistema operativo como el Phishing.

La solución para tener un equipo más seguro es usar una combinación de herramientas que aunque solas harían poco o nada, juntas pondrán una barrera entre tu equipo e internet:

1. Tener un Software Antivirus acompañado de un Firewall y un Anti Spyware (aunque esto no es garantía de nada es mejor tenerlo a no tenerlo)
2. Instalar siempre los últimos parches de seguridad para tu sistema operativo (cualquiera que sea) y de tus aplicaciones (muchas personas piensan que con parchear el sistema operativo es suficiente y dejan de lado la actualización de las aplicaciones que utilizan)
3. Reemplazar el uso de software con un historial alto de vulnerabilidades en el pasado como lo es el Internet Explorer o el Outlook por alternativas más seguras (por ejemplo Mozilla Firefox y Thunderbird)

Me gustaría conocer algunas de las creencias “mitos” que tiene cada uno de nuestros usuarios, para que entre todos miremos que tan ciertos o valederos pueden ser.

Yo personalmente agrego:

Mi sistema (red, servidor, web) es seguro por que ejecuto constantemente algún escaner de vulnerabilidades (nessus, fluxay, acunetix, SSS, etc.) y no encuentra fallas

Si bien es cierto que las herramientas de escaneo de vulnerabilidades automatizadas pueden encontrar fallas de seguridad, estas no pueden convertirse en la panacea de la seguridad, pues estas herramientas están auditando con base a un registro establecido y estandar para la mayoría de servicios, pero afortunadamente cada programa, servicio web o aplicativo web es diferente desde el momento de su concepción hasta su puesta en marcha.

Es por esto que al auditar un sistema (web, servidor, red), debe complementarse con la auditoría manual y dado el caso crear su propia herramienta para automatizar la tarea.

¿Cúales son los tuyos?


Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES