Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 642 vistas

    Ti030 - Gestion y Seguridad de Redes

    Cargado por

    Fabian Castillo
    Este documento presenta un caso práctico sobre navegadores, phishing y diseño de interfaces de usuario. Se plantean 5 preguntas relacionadas con el phishing, incluyendo si el autor ha sido víctima, si la banca electrónica es segura, cómo comprobar la seguridad de sitios web, mecanismos de seguridad aplicables y cómo afecta el phishing al comercio electrónico. El autor responde cada pregunta detallando sus conocimientos sobre phishing y medidas de seguridad para usuarios.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Ti030 - Gestion y Seguridad de Redes

    Cargado por

    Fabian Castillo
    642 vistas6 páginas
    Este documento presenta un caso práctico sobre navegadores, phishing y diseño de interfaces de usuario. Se plantean 5 preguntas relacionadas con el phishing, incluyendo si el autor ha sido víctima, si la banca electrónica es segura, cómo comprobar la seguridad de sitios web, mecanismos de seguridad aplicables y cómo afecta el phishing al comercio electrónico. El autor responde cada pregunta detallando sus conocimientos sobre phishing y medidas de seguridad para usuarios.

    Descripción original:

    CASO PRACTICO

    Título original

    TI030- GESTION Y SEGURIDAD DE REDES

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta un caso práctico sobre navegadores, phishing y diseño de interfaces de usuario. Se plantean 5 preguntas relacionadas con el phishing, incluyendo si el autor ha sido víctima, si la banca electrónica es segura, cómo comprobar la seguridad de sitios web, mecanismos de seguridad aplicables y cómo afecta el phishing al comercio electrónico. El autor responde cada pregunta detallando sus conocimientos sobre phishing y medidas de seguridad para usuarios.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    642 vistas6 páginas

    Ti030 - Gestion y Seguridad de Redes

    Cargado por

    Fabian Castillo
    Este documento presenta un caso práctico sobre navegadores, phishing y diseño de interfaces de usuario. Se plantean 5 preguntas relacionadas con el phishing, incluyendo si el autor ha sido víctima, si la banca electrónica es segura, cómo comprobar la seguridad de sitios web, mecanismos de seguridad aplicables y cómo afecta el phishing al comercio electrónico. El autor responde cada pregunta detallando sus conocimientos sobre phishing y medidas de seguridad para usuarios.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 6

    TI030 – GESTION Y SEGURIDAD DE REDES 1

    TI030- GESTION Y SEGURIDAD DE REDES

    CASO PRACTICO

    Navegadores, phishing y diseño de interfaces

    de usuario

    Fabián Castillo Chaves

    Universidad FUNIBER

    3/5/2019
    TI030 – GESTION Y SEGURIDAD DE REDES 2

    I. Reflexione a partir de la Lectura y responda las siguientes


    cuestiones:

    1. ¿Ha sido alguna vez víctima de un ataque por phising? ¿Ha recibido algún correo
    solicitando información sobre su acceso a cuentas bancarias? ¿Cuál fue su reacción?

    Creo que todos los que somos usuarios del servicio de correo electrónico, hemos sido víctima del
    pishing, ya que esta técnica de engaño radica en enviar mensajes fraudulentos a miles de personas,
    esperando que una o varias de ellas caigan en la trampa.

    Haciendo memoria, no recuerdo un ejemplo específico de haber recibido un phishing email, por lo
    que fue a mi cuenta de Outlook a revisar si en este momento cuento con uno de estos correos. Al revisar
    todas mis carpetas, no me apareció encontrar ningunos, pero temo que esto sea, más bien, un signo de
    que no se detectarlos. Así que me di a la tarea de investigar como reconocerlos. He aquí lo que encontré
    tras leer varios recursos.

    - Intentar identificar quien es el remitente.


    - Desconfiar de los archivos adjuntos.
    - Desconfiar de los hipervínculos integrados. Cerciorarse que estos direccionan a una dirección
    fidedigna.
    - No dejarse engañar por amenazas, tales como que si no se responde el correo se desactivará la
    cuenta, si no se actualizan los datos la cuenta se cerrará, etc.
    - Tener en cuenta que los antivirus no son 100% efectivos, por lo que hay que tener mucho cuidado
    con los softwares a los que se van a acceder por medio de los correos.
    - No dejarse engañar por los correos que parecieran bien elaborados. Este es un aspecto que ha
    ido mejorando en los correos de phishing, por lo que encontrar correos con mala ortografía, solo
    texto, no es muy común.

    Luego de haber realizado la anterior búsqueda me di a la tarea de buscar de nuevo en mi correo y


    logré identificar varios correos que me direccionaban a correos que me direccionaban, por medio de un
    hipervínculo, a una pagina web que suplantaba la identidad de otra que si era real. Lógicamente no accedí
    a estos, pero asumo que “nada bueno” iba a resultar de accederlas.

    Expongo el siguiente ejemplo. Este correo estaba presente dentro de la carpeta de Junk. Encontré, en
    Internet, que Arriaga Asociados si es una compañía española real, a la cual se puede acceder por medio
    del siguiente URL. Si nos fijamos bien en Figura 1, el URL al que nos direcciona el correo inicia con
    http://pub.unitecix.com/t8u, lo cual es un indicio de ser un correo phishing.
    https://www.arriagaasociados.com/
    TI030 – GESTION Y SEGURIDAD DE REDES 3

    Figura 1. Phishing email

    2. ¿Cree que la banca electrónica actual es lo suficientemente segura para hacer


    frente a este tipo de ataques?

    Opino que la seguridad de cada plataforma web o apps especificas de cada entidad bancaria han
    ido mejorando, por lo que en estos momentos considero seguro el hacer una transacción bajo una de
    ellas. A modo de ejemplo, uso de huella digital, códigos aleatorios para logue y transacciones, son
    parte de las políticas de seguridad que se emplean para minimizar riesgos.

    El problema recae en que el phishing está direccionado a la persona que hace uso de estas
    herramientas, más que hacerle un daño a la herramienta en sí. Por esto mismo, es que la prevención
    debe de estar del lado del usuario, ya que, por más segura sea la banca electrónica, una página web
    puede homologarse y burlar al usuario. Este mismo debe de poner bastante en práctica los puntos
    expuestos en la pregunta 1. La irresponsabilidad del usuario al hacer uso de su información tiene que
    ser atacada por esa misma persona.
    TI030 – GESTION Y SEGURIDAD DE REDES 4

    3. ¿Comprueba habitualmente si los sitios web a los que accede están protegidos
    mediante certificado y encriptación?

    Empecemos por definir ambos conceptos.

    - Encriptación: Método utilizado para enviar información a través de la Red codificada en


    algoritmos únicamente inteligibles para el servidor y el visualizador que accede. (Ibeas et all 2000)
    - Certificado: Un certificado LLS, el más utilizado actualmente como método de seguridad en la
    web, permite controlar el acceso a clientes a través de certificado; de esta forma, los usuarios
    necesitarán autenticarse con su certificado para poder visualizar el contenido del sitio web. Para
    ello, el primer paso será generar el certificado de seguridad al cliente e instalarlo y
    posteriormente, el servidor se configura para utilizar SSL. (Carvajal 2016)

    La única comprobación de seguridad que realizo a la hora de ingresar a un sitio web es si estoy
    accediendo a ella por medio del protocolo HTTPS, sin en realidad saber a ciencia cierta lo que esto
    significa. Me di a la tarea de averiguar su significado y logré encontrar que HTTPS significa que una
    dirección URL está siendo encriptada y protegida por un certificado. En base a esto, mi respuesta a la
    interrogante es SI.

    4. ¿Qué mecanismos de seguridad de los estudiados en la signatura resultarían


    aplicables a este problema?

    Al ser el phishing una técnica de ingeniería social, su principal víctima no son los programas u
    equipos informáticos, sino el usuario en sí. Los mecanismos de seguridad que se vayan a emplear solo
    resultarán efectivos en la medida que se haga conciencia de lo que se hace y de tomar precauciones cada
    vez que accedemos la red (hago referencia a los mecanismos de seguridad que cada usuario debe realizar).

    Repasemos brevemente las herramientas de seguridad que se mencionaron en el texto.

    - Criptografía
    - Seguridad Perimetral
    o Firewalls
    o IDS
    o Servicio de autenticación
    o VPN
    o NAT
    o RADIUS y TACACS
    o Seguridad de redes inalámbricas
    - Seguridad http-smtp
    o Antivirus
    o Firma Digital
    o SSL y TLS
    TI030 – GESTION Y SEGURIDAD DE REDES 5

    o SSH
    o PEM
    o PGP

    Quise hacer mención de estos mecanismos de seguridad para hacer énfasis en que la mayoría de éstos
    intentan proteger el equipo o programa informático. El caso de SSL, TLS y firma digital si son aplicables al
    caso de phishing ya que pueden ser utilizados para corroborar la veracidad de un correo o URL.

    5. ¿Cómo puede afectar el riesgo de phising al desarrollo de negocio de la banca o el


    comercio electrónico? ¿Cómo se pueden paliar sus efectos negativos?

    Menciona Jimenez 2016 que alguno de los efectos del phishing son pérdida del acceso a una
    cuenta de correo, pérdida económica en caso de obtención de datos bancarios. Al ser el tema
    financiero un aspecto muy sensible, el cliente puede perder total credibilidad ante las centrales
    electrónicas, inclusive con la entidad en sí por, según ellos, falta de seguridad en sus plataformas.
    Igualmente puede suceder con cualquier otro tipo de comercio electrónico que, aunque pueda no
    tener consecuencias tan desastrosas como en el aspecto financiero, puede acarrear una falta de
    confianza en el negocio que a la postre repercutirá en las ganancias totales por pérdida de clientes.

    En cuanto al tema de disminuir los efectos negativos, el arma más letal es el educar al usuario en
    los peligros que este tipo de ataque acarrea y entrenarlo para que sea capaz de identificar un posible
    fraude.
    TI030 – GESTION Y SEGURIDAD DE REDES 6

    Referencias Bibliográficas

    1- Carvajal, F. (2016). Instalación y configuración del software de servidor web. Madrid, España:
    Editorial CEP S.L.

    2- Ibas, A. & J.M, Díaz & D, de la Hoz. (2000). e-Logistics (I): Nuevas Tecnologías de la Información (I-
    Net). Barcelona, España: Marge Design Editors, S.L.

    3- Jiménez, J. (2017). Temario para las oposiciones al cuerpo facultativo de Ingeniería Informática.
    España. Editorial Jesús Jimenez Herranz.

    También podría gustarte