Upload
pwc-venezuela
View
219
Download
0
Embed Size (px)
Citation preview
8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela
1/9
Boletn de Consultora GerencialAtaques sobre cuentas de redes sociales
Boletn DigitalNo. 16 - 2011
www.pwc.com/ve
Espieira, Sheldon y Asociados
Inicio
8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela
2/9
Pginasiguiente
PginaanteriorCerrar ImprimirContenido
ContenidoHaga click en los enlaces para navegar a travs del documento
Boletn de Consultora Gerencial - No. 16 - 2011
4Introduccin
Principales medios de ataques a las cuentas en redessociales
Deduccin de contraseas
Ingeniera social/ Phishing
Instalacin de sotware malicioso
Captura de trco
Debilidades de la plataormaConclusiones
4Crditos / Suscribirse
http://nextpage/http://prevpage/http://print/http://close/8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela
3/9
Boletn de Consultora GerencialAtaques sobre cuentas de redes sociales
No. 16 - 2011Pgina
siguientePginaanteriorCerrar ImprimirContenido
Introduccin
Los ataques a cuentas de usuarios en las redessociales ha sido un tema recurrente en las
noticias, al punto que se ha hecho cotidiano elacceso no autorizado a cuentas depersonalidades como Sarah Palin1, Paris Hilton2,
Ashton Kutcher3, Alvaro Uribe y Juan ManuelSantos4, Daniel Samper5, etc.
Otro ejemplo: el 9 de Septiembre del 2011 lacuenta de Twitter de la cadena de NBC News ueatacada6, logrando los agresores publicarnoticias reerentes a atentados terroristassimilares a los del 11 de Septiembre del 2001.
Venezuela no escapa tampoco a esta realidad. Acomienzos del mes de Septiembre de 2011 sepudo observar una oleada de intrusiones a lascuentas de redes sociales de varios personajespblicos en Venezuela. Las cuentas se usaronluego para enviar mensajes oensivos, aectandola imagen pblica de estas personas.
Al margen de los ataques notorios que hemosmencionado, y que usualmente slo sirven como
un mecanismo para incrementar la reputacinde algn grupo de Hackers, la realidad es quemuchos otros casos ocurren y las consecuenciasson el acceso a la inormacin condencial delas personas, pudiendo servir luego como puntode partida para otras modalidades criminalescomo chantajes, robo de identidad, raudes,secuestros, etc.
La pregunta ahora es: Cmo logran losatacantes obtener el acceso a estas cuentas?, y
ms importante an: Qu puedo hacer comousuario para protegerme?
En una reciente encuesta realizada por HarrisInteractive entre el 31 de Mayo y el 2 de Juniode 20117, el 10% de los usuario respondi habersido vctimas de ataques a sus cuentas en lasredes sociales y un 13% no est seguro si ueatacado o no.
Adicionalmente, el 69% de los usuarios de redessociales respondieron que estn preocupados
por la seguridad de sus perles, sin embargo,slo el 55% actualiza el perl de seguridad desus cuentas al menos una vez cada seis (6)meses.
1http://www.thetechherald.com/article.php/200839/2083/Palin-hack-highlights-important-e-mail-risks2http://www.oreillynet.com/pub/a/mac/2005/01/01/paris.html3http://news.cnet.com/8301-17852_3-20038602-71.html4http://www.elespectador.com/noticias/politica/articulo-285824-anonymous-hackea-cuenta-de-twitter-de-uribe5http://www.vanguardia.com/actualidad/colombia/117112-hackearon-cuenta-de-twitter-del-periodista-daniel-samper-ospina6 http://news.cnet.com/8301-27080_3-20104165-245/nbc-news-twitter-account-hacked/7http://blog.eset.com/2011/06/22/the-social-networkingcybersaety-disconnect
Slo el 55% de los usuarios actualiza
su perfl de seguridad al menos una vez
cada seis meses 55%Fuente: Eset Survey, Junio 2011
http://nextpage/http://prevpage/http://print/http://close/8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela
4/9
Boletn de Consultora GerencialAtaques sobre cuentas de redes sociales
No. 16 - 2011Pgina
siguientePginaanteriorCerrar ImprimirContenido
Principales medios de ataques alas cuentas en redes sociales
Deduccin de contraseas
Cualquier atacante intentar la va ms sencilla,antes de recurrir a modalidades de ataques mscomplejas. La deduccin de una contrasea esun ataque sencillo y con un grado de xitoaceptable.
La estrategia comnmente utilizada por losatacantes consiste en realizar una pequeainvestigacin sobre la persona a ser atacadabuscando obtener datos que tradicionalmente seutilizan para crear sus contraseas, comonombres de amiliares y allegados, echasimportantes, nombres de mascotas, ciudadesdonde ha vivido, etc.
Con estos datos se conorma una lista depalabras o diccionario que luego puede serintroducida a una herramienta que se dedica aintentar varias combinaciones de estas, conligeras alteraciones, hasta agotar las
posibilidades o lograr el acceso a la cuenta.
Una variante de este ataque consiste en atacar
los mecanismos de recuperacin de contraseasde las pginas: muchas redes sociales o sitios decorreo electrnico, permiten al usuariorecuperar o reiniciar su contrasea, a travs deluso de preguntas secretas, cuya respuestanicamente el usuario debera conocer. Sinembargo, muchas de las preguntas predenidascomo: Apellido de soltera de la madre?, Coloravorito?, Ciudad donde naci?, Nombre desu primera mascota?, etc., pueden ser deducidascon una investigacin previa sobre la persona.
La principal contramedida contra estos ataqueses tan sencilla como el ataque mismo, denircontraseas seguras no relacionadasdirectamente con nuestra persona.
Una buena gua se encuentra en nuestro boletn2011-15 El Password: Factor crtico de xitopara proteger la inormacin contra losHackers.
Figura N1. Modelo de ataque de diccionario
Para ampliar, haga click sobre el cuadro
Diccionario
de Palabras
Atacante
Intentos
de Acceso
Internet
Pgina Web
http://nextpage/http://prevpage/http://print/http://close/8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela
5/9
Boletn de Consultora GerencialAtaques sobre cuentas de redes sociales
No. 16 - 2011Pgina
siguientePginaanteriorCerrar ImprimirContenido
Principales medios de ataques acuentas en redes sociales (cont.)
De igual manera, con las preguntas secretas, se
pueden implementar mecanismos sencillos,tales como, elegir palabras que recordemos yque no sean relacionables con la pregunta, porejemplo: Color avorito?, respuesta: Caracas.
Ingeniera social/ Phishing
Otra premisa importante para un atacante es elhecho que el ser humano tiene la naturaleza deconar en otras personas. El mtodo por el cualun atacante busca explotar esta caractersticapara obtener un acceso es conocido comoIngeniera Social.
Existen diversos mecanismos para realizarataques de Ingeniera Social, que van desdellamadas telenicas donde el atacante de hacepasar por personal de soporte tcnico otelemercadeo para obtener datos del usuario,hasta mecanismos ms complejos como guiar alos usuarios a sitios Web idnticos al original
para obtener su inormacin de autenticacin. Figura N2. Modelo de ataque de Phishing
Para ampliar, haga click sobre el cuadro
La principal deensa contra la Ingeniera Social
consiste en mantener una buena cultura enSeguridad de Inormacin, teniendo siemprepresente el no revelar inormacin condencial,como por ejemplo las contraseas.
De igual manera, el vericar las direcciones ycaractersticas de seguridad (Candado decirado, URL, etc.) de cualquier sitio al quenaveguemos, buscando tener como costumbreingresar siempre la direccin manualmente y noutilizar enlaces enviado por terceras partes.
Instalacin de sotware malicioso
Un tercer vector de ataque, cuando losanteriores no han sido exitosos, consiste en eluso de sotware malicioso. En este escenario, elatacante busca inectar a su vctima con unprograma con el cual pudiese tener acceso a losdocumentos almacenados en el equipo, capturade teclado y pantalla y ejecucin de programas
remotos.
Vctima
Inicio de Sesin
Inicio de Sesin
Pgina Web
Ficticia
Pgina Web
RealAtacante
Envo
de link
Envo
de usuario /contrasea
2
3
4
1
http://nextpage/http://prevpage/http://print/http://close/8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela
6/9
Boletn de Consultora GerencialAtaques sobre cuentas de redes sociales
No. 16 - 2011Pgina
siguientePginaanteriorCerrar ImprimirContenido
Principales medios de ataques acuentas en redes sociales (cont.)
Los mtodos ms comunes para inectar al
usuario consisten en hacer llegar al usuarioarchivos troyanos, que al ejecutarse instalen elsotware malicioso. Estos troyanos sonusualmente enviados por correos electrnicos,memorias USB o CD-ROMs, donde se busqueexplotar la curiosidad del usuario para ejecutarla aplicacin maliciosa.
La mejor deensa para estos ataques consiste encontar con sotware antivirus actualizado, quedetecte y elimine cualquier sotware maliciosopresente en el equipo.
De igual manera, se recomienda tener cuidadode programas que sean enviados por correos oque se descarguen por Internet, as comotambin el insertar medios removibles noconables en los equipos.
Captura de trfco
Otro mecanismo utilizado para obtener lainormacin de los usuarios consiste en lacaptura del trco de red (snifng) por parte delatacante. Para poder ejecutar este tipo deataques, el usuario debe encontrarse en lamisma red que el atacante, esto puede darse,por ejemplo, al usar redes inalmbricas (Wi-Fi)pblicas, tales como: aeropuertos, hoteles,restaurants, o en algunos casos el mismoproveedor de Internet (ISP).
Una vez que el atacante identica que la victimaesta en la misma red, procede a utilizarherramientas especializadas para obtener losdatos de autenticacin (Password y Contrasea)o la inormacin de sesin de la pgina Web(Cookies). Una vez que el atacante posee estainormacin, puede proceder a suplantar laidentidad o robar la sesin del usuario. EnInternet existen numerosas herramientas como
el plugin resheep para Fireox, que hacen muysencillo este tipo de ataque.Figura N3. Modelo de ataque por ineccin de tr oyano
Para ampliar, haga click sobre el cuadro
Pgina Web
Inicio de Sesin
4
Vctima
Inicio de Sesin
Atacante
Envo detroyano
Envo
de usuario /
contrasea
2
3
1
http://nextpage/http://prevpage/http://print/http://close/8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela
7/9
Boletn de Consultora GerencialAtaques sobre cuentas de redes sociales
No. 16 - 2011Pgina
siguientePginaanteriorCerrar ImprimirContenido
Principales medios de ataques acuentas en redes sociales (cont.)
En algunos casos, el trco de red puede
encontrarse cirado, como por ejemplo, cuandola pgina utiliza conexiones Web seguras(HTTPS). En estos casos, el atacante deberealizar ataques para orzar que el trco de la
victima sea enviado primero a su equipo, antesde ir al sitio nal. Estos tipos son conocidoscomo Hombre en el Medio. Normalmente algenerarse este tipo de ataques, los navegadoresgeneran mensajes de error del certicadodigital, sin embargo muchos usuarios tienden aignorar estos errores, hacindole ms sencillo eltrabajo al atacante.La manera de deenderse contra este tipo deataques consiste en evitar acceder a las cuentasde redes sociales desde redes pblicas y en casode requerirlo asegurarse de ingresar a lasmismas por las versiones ciradas (HTTPS) y
validar y revisar cualquier mensaje de error decerticados digitales que se presenten al iniciarsesin y en caso de duda no ingresar al sitio.
Debilidades de la plataorma
Otro recurso que el atacante puede buscar conhechos, son vulnerabilidades presentes en laplataorma de la pgina de la red social oservicio de correo electrnico.
An cuando no son comunes y normalmente sondel conocimiento de pocos, estas
vulnerabilidades pueden ser muy poderosaspermitiendo al atacante obtener acceso a lainormacin de las vctimas.
Estas debilidades tienden a ser detectadas ycorregidas rpidamente por los proveedores delservicio, por lo cual la ventana de exposicintiende a ser muy corta. Sin embargo, el usuarional no tiene ninguna deensa para este tipo deataque.
Figura N4. Modelo de ataque por redireccin de trco
Para ampliar, haga click sobre el cuadro
Pgina Web
Inicio de Sesin
4
Vctima
Atacante
Intercepcindel trfico
Inicio de Sesin
2
3
1
Ataque deredireccin del
trfico
http://nextpage/http://prevpage/http://print/http://close/8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela
8/9
Boletn de Consultora GerencialAtaques sobre cuentas de redes sociales
No. 16 - 2011Pgina
siguientePginaanteriorCerrar ImprimirContenido
Conclusiones
Despus de analizar los principales mtodos porlos cuales un atacante puede obtener los datos
de las redes sociales para ingresar a las cuentasde sus vctimas, se puede observar que muchosde estos ataques pueden ser evitados contandocon una buena cultura de Seguridad deInormacin, donde el usuario busque protegersus datos a travs de contraseas robustas,accediendo a sus cuentas desde redes conocidas
y seguras y desconando de uentes externasque hagan envo de archivos desconocidos o queindaguen datos personales del usuario.
http://nextpage/http://prevpage/http://print/http://close/8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela
9/9
Pginasiguiente
PginaanteriorCerrar ImprimirContenido
Crditos
2011 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refere a Espieira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede reerirse a la
red de frmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada frma miembro es una entidad separada e independiente y Espieira,
Sheldon y Asociados no ser responsable por los actos u omisiones de cualquiera de sus frmas miembro ni podr ejercer control sobre su juicio proesional ni tampoco podr comprometerlas de manera alguna. Ninguna frmamiembro ser responsable por los actos u omisiones de cualquier otra frma miembro ni podr ejercer control sobre el juicio proesional de otra frma miembro ni tampoco podr comprometer de manera alguna a otra frma
miembro o a PwCIL. R.I.F.: J-00029977-3
Editado por Espieira, Sheldon y AsociadosDepsito Legal pp 1999-03CS141
Telono master: (58-212) 700 6666
El presente boletn es publicado por la Lnea de Servicios deConsultora Gerencial (Advisory) de Espieira, Sheldon yAsociados, Firma miembro de PwC.
Este boletn es de carcter inormativo y no expresa opinin de laFirma. Si bien se han tomado todas las precauciones del caso en lapreparacin de este material, Espieira, Sheldon y Asociados noasume ninguna responsabilidad por errores u omisiones; tampocoasume ninguna responsabilidad por daos y perjuicios resultantesdel uso de la inormacin contenida en el presente documento. Lasmarcas mencionadas son propiedad de sus respectivos dueos. PwCniega cualquier derecho sobre estas marcas
No. 16 - 2011
Sganos enPara suscribirse al Boletn
Consultora Gerencial
mailto:[email protected]://twitter.com/pwc_venezuelahttp://www.facebook.com/pwcVenezuelahttp://linkedin.com/company/pwc-venezuelamailto:[email protected]://prevpage/http://print/http://close/