El mayor punto débil de tu seguridad eres tú: así te pueden atacar con la ....

Iniciado por wolfbcn, 22 Diciembre 2016, 02:08 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Cuando pensamos en la gente que suele realizar ataques informáticos, lo primero que nos viene a la mente suele ser un experto informático capaz de descifrar la mejor de las contraseñas o aprovecharse de vulnerabilidades desconocidas para el común de los mortales. Pero por lo general, para robarte la cuenta de Facebook o Gmail ni siquiera hay que tener grandes conocimientos informáticos, vale con esperar a que tú se la des amablemente.

Es lo que se conoce como la ingeniería social, una técnica de ataque muy utilizada debido a su alto nivel de eficacia. Parte de la base de que las personas somos el eslabón más débil de un sistema de seguridad, y ya sea mediante labia o automatismos intenta engañarnos para que acabemos relevando datos clave para comprometer nuestros sistemas.

Muchos atacantes deciden estudiar informática para acceder a los sistemas aprovechándose de los bugs de un software, pero hay quienes prefieren especializarse en engañar y manipulara los propios usuarios. Para ello no hacen falta ni vulnerabilidades ni hackeos increíbles, sino conocer muy bien la mente humana y la forma de pensar de tu víctima, y aprovecharlo para que te de los datos necesarios para acceder a su ordenador, a los servidores de su empresa o por qué no, a sus correos electrónicos o cuentas de redes sociales.

Imagínate que para proteger una cuenta habilitas como pregunta secreta cual es el nombre de tu primera mascota. Pues bien, aplicando la ingeniería social, un atacante que ya haya intentado acceder a tu cuenta y sepa cual es la pregunta puede intentar ganarse tu confianza y llegar disimuladamente hasta la respuesta. Después de todo, una conversación sobre mascotas no tiene por qué hacerte sospechar de que te vayan a hackear una cuenta personal.

Otros atacantes simplemente recurren a la vía rápida del phishing para engañarte haciéndose pasar por un servicio, y enviarte un correo con un enlace fraudulento mediante el que intentar que escribas tu contraseña. Imagínate que te envío un correo electrónico diciéndote que soy el señor Paypal, que he detectado un error y que necesito que te identifiques inmediatamente mediante un enlace que adjunto, y que lleva a una web falsa en la que guardar todo lo que escribes.

LEER MAS: https://www.genbeta.com/a-fondo/el-mayor-punto-debil-de-tu-seguridad-eres-tu-asi-te-pueden-atacar-con-la-ingenieria-social
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

QuieroSerAnonimo

Si, cierto lo que dices, pero si tu por ejemplo alguien  que tenga la contraseña de su perro,  y le preguntas, puede que el te lo diga de verdad, pero puede que a la hora de poner la contraseña haya mentido, no se si me entiendes porque tampoco me e explicado muy bien, pero me imagino que lo entenderás >:D

B3D3Z3

Estoy de acuerdisimo con tigo y por eso muchisimas empresas grandes se han puesto las pilas para darles cursos de formacion de seguridad básica a sus empleados. La ingenieria social es algo a tener muuuy en cuenta. :P

Cecile4TheKill

Hola!! Aprovecho este hilo para plantear una duda que tengo desde hace tiempo. Mi socia y yo, hemos creado una tienda online de moda con artículos hechos a mano en España. No tenemos tienda física y todo nuestro presupuesto se nos ha ido en el producto y en la creación de la página web (qué caras pero como vale la pena cuando ves la calidad de un trabajo bien hecho :D) La cuestión es que hemos estado leyendo mucho en Internet sobre seguridad informática y aunque la empresa que nos ha hecho la web se encarga de todas los aspectos de seguridad también (suponemos) nos gustaría saber qué nos recomendarían como expertos para proteger a nuestros clientes de posibles robos cuando realicen compras a través de nuestra web. Somos dos chicas jóvenes y hemos puesto todo nuestro esfuerzo en nuestro primer proyecto como autónomas y no nos gustaría que nuestro producto perdiera credibilidad por un fallo en la seguridad de nuestra tienda online. Hemos encontrado en la digital guide de una web un artículo sobre cómo conseguir una página segura, nos ha sido fácil entender los aspectos que debemos cuidar...pero queríamos saber por su propia experiencia que aspectos sobre la seguridad son imprescindibles y cuáles podemos posponer para un momento en el que nuestro presupuesto esté un poco mejor ;) Muchas gracias de antemano
"He aprendido a no intentar convencer a nadie. El trabajo de convencer es una falta de respeto, es un intento de colonización del otro" Saramago

Orubatosu

Normalmente los aspectos de pago no los realiza la página que hace la venta. Estos servicios se realizan mediante pasarelas de terceros, generalmente de bancos o de empresas dedicadas a transacciones como PayPal y otros.

Por así decirlo, cuando un cliente compra algo en tu página durante ese proceso deja de estar en tu página, y está en realidad operando en esa pasarela de pago, que es la responsable de la seguridad y suelen estar muy preparados en ese aspecto

Por otro lado, ten en cuenta que si mantienes un fichero en algún lugar con datos de tus clientes (nombres, direcciones, teléfonos, etc...) esos datos si que son responsabilidad tuya, y si que son los que deben de "preocuparte". Así como cumplir con las leyes de protección de datos de tu país
"When People called me freak, i close my eyes and laughed, because they are blinded to happiness"
Hideto Matsumoto 1964-1998

Avispon99

Cita de: Cecile4TheKill en 25 Enero 2018, 11:42 AM
Hola!! Aprovecho este hilo para plantear una duda que tengo desde hace tiempo. Mi socia y yo, hemos creado una tienda online de moda con artículos hechos a mano en España. No tenemos tienda física y todo nuestro presupuesto se nos ha ido en el producto y en la creación de la página web (qué caras pero como vale la pena cuando ves la calidad de un trabajo bien hecho :D) La cuestión es que hemos estado leyendo mucho en Internet sobre seguridad informática y aunque la empresa que nos ha hecho la web se encarga de todas los aspectos de seguridad también (suponemos) nos gustaría saber qué nos recomendarían como expertos para proteger a nuestros clientes de posibles robos cuando realicen compras a través de nuestra web. Somos dos chicas jóvenes y hemos puesto todo nuestro esfuerzo en nuestro primer proyecto como autónomas y no nos gustaría que nuestro producto perdiera credibilidad por un fallo en la seguridad de nuestra tienda online. Hemos encontrado en la digital guide de una web un artículo sobre cómo conseguir una página segura, nos ha sido fácil entender los aspectos que debemos cuidar...pero queríamos saber por su propia experiencia que aspectos sobre la seguridad son imprescindibles y cuáles podemos posponer para un momento en el que nuestro presupuesto esté un poco mejor ;) Muchas gracias de antemano

Para eso se requeriria saber varios detalles adicionales, no es simplemente decir "¿como protejo mi web?", ya que depende de como este construida la web..

Por ejemplo si manejas bases de datos, sistemas de validación de usuarios etc.. ya con eso tendrias que verificar que no sea vulnerable por ejemplo a un SQL injectión, problemas de exposición de datos, peticiones HTTP falsificadas, Ataques URL de tipo semántico, etc,,

Serapis

Cita de: Cecile4TheKill en 25 Enero 2018, 11:42 AM
...pero queríamos saber por su propia experiencia que aspectos sobre la seguridad son imprescindibles y cuáles podemos posponer para un momento en el que nuestro presupuesto esté un poco mejor ;) Muchas gracias de antemano
En realidad, el control de la seguridad y lo que puedes hacer acaba cuando usas el software de otros, los dominios de otros, el hardware de otros... Si una librería del propio sistema tiene un fallo, tú nada puedes hacer...
Es como las cerraduras de las cajas fuertes de los bancos. El banquero confia en el fabricante, pero si la cerradura tuviera un defecto de diseño que alguien lo descubre, el banquero nada puede hacer, porque no lo sabe (acaso ni el fabricante lo sabe).

Como ya te dicen, el pago es siempre a cargo de terceros.

Vuestra seguridad podría entonces limitarse a:
- Cifrar la base de datos de los clientes (si guardais sus datos).
- Complicar la posibilidad de que emulen vuestra página web, para cazar a incautos, o dicho de otra manera, facilitar que si un cliente tiene dudas sobre si la página web que está viendo sea la vuestra, tenga alguna opción de demostrar ser cierto o falso. Por ejemplo añadiendo un correo de autorespuesta, tal que el cliente acuda a su cuenta de correo, escriba a una dirección de vuestra web, y en respuesta (automática), devuelva la dirección IP, que tiene la página. Así el cliente puede acceder a través de esa IP, o consultar la dirección de la página que aparece ante sus ojos para ver si en efecto, es la vuestra o una suplantada cuidando los detalles...
- Advertir a los clientes que nunca les mandareis correos pidiendo sus contraseñas, por x cosas banales (pica mucha gente, hay que seguir insisitiendo en eso).

Saltimbanquioua

Mi computador al parecer ha sido atacado por múltiples formas de vulnerabilidad, no he intentado comprar antivirus y anti malware.... porque no se si es por exploits phishing... si es por la red, router, si es una vulnerabilidad instalada directamente como una máquina virtual o una red .... el caso es que se que me obstaculizan la comunicación con otras redes y personas, se que boicotean mi PC, para que funcione mal etc..... lo único que buscan es mi desesperación emocional.... después me arreglan y parece que me facilitaran otras cosas..... es como un grupo de narcisistas....y aveces parece el síndrome de Estocolmo la situación cuando no encuentro salida ni certeza. Necesito ayuda. -.-    Mi sistema operativo no es licencia original, tampoco tengo seguridad básica.... en fin... debería buscar un experto. Gracias

r32

Cita de: Saltimbanquioua en  4 Julio 2020, 17:38 PM
Mi computador al parecer ha sido atacado por múltiples formas de vulnerabilidad, no he intentado comprar antivirus y anti malware.... porque no se si es por exploits phishing... si es por la red, router, si es una vulnerabilidad instalada directamente como una máquina virtual o una red .... el caso es que se que me obstaculizan la comunicación con otras redes y personas, se que boicotean mi PC, para que funcione mal etc..... lo único que buscan es mi desesperación emocional.... después me arreglan y parece que me facilitaran otras cosas..... es como un grupo de narcisistas....y aveces parece el síndrome de Estocolmo la situación cuando no encuentro salida ni certeza. Necesito ayuda. -.-    Mi sistema operativo no es licencia original, tampoco tengo seguridad básica.... en fin... debería buscar un experto. Gracias

Hola Saltimbanquioua, deberías crear un tema nuevo en éste mismo foro para poder ayudarte y no desvirtuar el tema original.
Si eres tan amable de exponer mejor tu caso, incluyendo sistema operativo, incidencias, etc te podremos ayudar mejor.

Saludos.

pedro11

buenos dias estimados dsesearia su ayuda, cuando realizo un chequeo por medio cmd utilizo el netstat -a veo apararece una pagina que no he abierto es el sgte: h3 -c03 -s : http y como detectar de donde viene agradecere su respuesta