Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Buenas prcticas
de seguridad
EN NC IA L]
CIAIALL]
FIDIDEENC CIA
L] ]
ON NF ID EN
[C COONFNFID
[C O
[ C
[
Desarrollo de una
UNAM CERT
cultura de prevencin
Recomendaciones Consejos Recomendaciones
Tendencias de Sanitizacin de Cowrie
seguridad para 2017
en el uso de la prcticas al
Honeypot
1
para liberar tu
tecnologa comprar en lnea informacin
pgina web
Contenido
Sanitizacin de informacin 17
Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de Informacin y Comunicacin. Coordinacin
de Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI M.R., revista especializada en temas de
seguridad del UNAM-CERT. Se autoriza la reproduccin total o parcial de este contenido con fines de difusin y divulgacin de los conoci- 2
mientos aqu expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.
Editorial
Buenas prcticas de .Seguridad Cultura de prevencin para TI, revista
bimestral, abril-mayo 2017 / Certificado de Reser-
seguridad va (en trmite), Certificado de Licitud de Ttulo (en
trmite), Certificado de Licitud de Contenido (en
Desarrollo de una cultura de prevencin trmite), Nmero ISSN (en trmite), Registro de
Marca 1298292 | 1298293 / Universidad Nacional
El avance de la tecnologa, as como la gama Autnoma de Mxico, Circuito Exterior s/n edificio
de dispositivos que se ofrecen en el mercado, de la Direccin General de Cmputo y de Tecnolo-
han facilitado que las personas accedan a su gas de Informacin y Comunicacin, Coordinacin
de Seguridad de la Informacin, Cd. Universitaria,
informacin en cualquier lugar y momento.
Coyoacn Ciudad de Mxico, Mxico, C.P. 04510,
Telfono: 56228169
La Asociacin de Internet.MX en su Estudio
sobre los Hbitos de los Usuarios de DIRECCIN GENERAL DE CMPUTO Y
Internet en Mxico 2016 revela que 77% de DE TECNOLOGAS DE INFORMACIN Y
las personas se conectaron a travs de un COMUNICACIN
telfono inteligente y 23% a travs de aparatos
electrnicos (tendencia relacionada con el DIRECTOR GENERAL
aumento de los dispositivos del Internet de Dr. Felipe Bracho Carpizo
las Cosas). La mayor parte de las actividades
realizadas se relacionan con el ocio y el DIRECTOR DE SISTEMAS Y SERVICIOS
trabajo, pero la Asociacin proyecta que INSTITUCIONALES
actividades como la banca, la realizacin de Act. Jos Fabin Romo Zamudio
trmites gubernamentales y las compras en
lnea aumentarn en Mxico. COORDINADOR DE SEGURIDAD DE LA
INFORMACIN/ UNAM-CERT
Lo anterior se vuelve un atractivo para los ci- M. en C. Jos Roberto Snchez Soledad
bercriminales. Las recientes amenazas se es-
tn enfocando a tomar control de los dispositi-
vos o recurrir a la ingeniera social para obtener
DIRECTORA EDITORIAL
datos de los usuarios; estos ltimos se vuelven L.A. Clica Martnez Aponte
una puerta de acceso a los crculos sociales,
familiares, de trabajo y estudio. EDICIN REALIZADA POR
Katia Rodrguez Rodrguez
Nuestra vida digital no est desligada de
nuestra vida diaria. Por ello es importante co- ASISTENTES EDITORIALES
nocer los riesgos y las amenazas a las que es- Ral Abraham Gonzlez Ponce
tamos expuestos, llevar a cabo buenas prcti- Abigail Anayeli Vergara Varas
cas de seguridad y saber qu hacer en caso de
que se vea comprometida nuestra informacin ARTE Y DISEO
personal. L.D.C.V. Alicia M. Manjarrez Ceron
3
Tendencias de seguridad para
2017, ests preparado?
Camilo Gutirrez Amaya
4
a nuestras actividades cotidianas, lo que Adicionalmente, a estos errores involunta-
se traduce en la aplicacin de medidas de rios en el proceso de desarrollo tambin se
proteccin en distintos niveles y en dife- suman aquellas creaciones maliciosas cuya
rentes mbitos. propagacin en ocasiones es favorecida
por las polticas poco restrictivas en repo-
sitorios de aplicaciones, que encubren in-
Mobile: el malware y su voluntariamente a los cibercriminales bajo
la fiabilidad de las tiendas de aplicaciones
realidad aumentada? oficiales. Ante la gran cantidad de poten-
ciales vctimas, los mercados oficiales de
En un principio se esperaba que los dispo- aplicaciones sucumben frente a las nue-
sitivos mviles evolucionaran hasta con- vas campaas de cdigos maliciosos que
vertirse en computadoras de bolsillo tan se cuelan en sus repositorios, disponibles
capaces como cualquier equipo de escri- para ser descargada por los usuarios.
torio. Es claro que hoy nuestros telfonos
y tabletas inteligentes han trascendido En suma, el crecimiento del malware mvil es
este propsito, generando nuevas mane- una realidad innegable que venamos pre-
ras de interaccin tecnolgica antes im- viendo desde hace algunos aos y actual-
pensadas. En el contexto de la revolucin mente se consolida ante nuestros ojos. Du-
socio-tecnolgica, los nuevos desarrollos rante 2015, la cantidad de nuevas variantes
incorporan nuevos riesgos de seguridad de cdigos maliciosos creados para Android
que afectan la informacin digital e incluso promediaba las 200 variantes mensuales;
al bienestar de los usuarios. en 2016 este nmero ascendi a 300 nue-
vas variantes mensuales (en iOS el nmero
En la actualidad, el malware mvil va en es de dos mensuales), por lo que no debera
aumento y cada vez es ms complejo. Ante sorprendernos que este incremento conti-
esta situacin, en el desarrollo de softwa- ne durante los prximos meses y aos.
re debe implementarse medidas de segu-
ridad desde etapas tempranas y no como Adems del aumento en la cantidad de
hoy en da, que se aplaza hasta etapas tar- nuevas variantes de cdigos maliciosos,
das del proyecto, en el mejor de los casos, una gran preocupacin para los usuarios
o bien cuando se encuentran en produc- mviles sern las vulnerabilidades no solo
cin. Dejando de lado las aplicaciones que del sistema operativo sino tambin de las
deben cumplir estndares de seguridad, aplicaciones que utilizan. La reciente li-
pocos desarrolladores se preocupan por beracin de iOS 10 y Android 7.0 Nougat
realizar exhaustivos controles sobre sus plantea algunas mejoras en el estado de la
productos antes de liberarlos al pblico. seguridad mvil, especialmente para este
ltimo sistema.
En conjunto con el desarrollo seguro de
aplicaciones, las bibliotecas de anun- Por parte de Google comienzan a vislum-
cios publicitarios tambin tendrn un rol brarse esfuerzos por unificar aspectos de
importante en la seguridad, ya que son seguridad a travs de los distintos mode-
utilizadas por los desarrolladores en pla- los de telfonos y tabletas disponibles en
taformas como una forma de ingresos, el mercado. Adems, la firma continuar
donde los usuarios no suelen estar dis- depositando esperanzas en su continuo
puestos a pagar por conseguir la funcio- programa de recompensa por errores como
nalidad de las aplicaciones. Usualmente un medio para el descubrimiento de vulne-
encontramos al menos una de ellas por rabilidades. Otra caracterstica de Android
UNAM CERT
aplicacin y muchas veces contienen al- 7.0 Nougat es que ha introducido diferen-
gn tipo de API insegura que podra ser tes mejoras en el manejo de permisos y
explotada para la instalacin de malware aplicaciones que dificultarn la instalacin
o el robo de informacin. de malware dentro del equipo y limitarn el
control que estas aplicaciones posean.
5
En este contexto, a medida que los usua- pasado, los juegos generaban ingresos
rios desconozcan el peligro de instalar principalmente por la venta de software
aplicaciones desde fuentes no confiables, empaquetado, en los cuales los usuarios
la falta de implementacin de prcticas de pagaban una licencia por adelantado y te-
seguridad en el desarrollo de ellas y que los nan el derecho a jugar todo el tiempo que
cibercriminales apuesten a nuevas campa- quisieran. Actualmente, los modelos invo-
as de Ingeniera Social a travs de merca- lucran una mayor cantidad de transaccio-
dos oficiales, durante este ao podremos nes monetarias, a travs de la integracin
observar ms casos de malware mvil, apli- de consolas con computadoras y dispositi-
caciones falsas y una tendencia crecien- vos mviles, lo que podra tener un impacto
te a encontrar estafas mviles a travs de significativo para la seguridad de la infor-
WhatsApp y las redes sociales. En general, macin en los prximos aos.
se presentarn riesgos de seguridad en
las plataformas mviles, que requerirn la A medida que el modelo de negocio va evo-
atencin de todas las partes involucradas. lucionando, tambin atrae nuevos tipos de
amenazas. Los juegos online se ven ante la
necesidad de hacer frente a las amenazas
Plataformas de juego: comunes del mundo ciberntico, como el
malware oculto en los programas de insta-
los riesgos potenciales lacin, que incluyen troyanos en el softwa-
de consolas integradas a re del juego, o las campaas maliciosas,
que se hacen pasar por juegos populares
computadoras para distribuir cdigos maliciosos o robar
las cuentas de los jugadores. Sin embar-
go, tambin hay otros tipos de conductas
ilegales que se aprovechan de los juegos
online.
que buscan obtener fama, beneficios eco- vado en incidentes como la prdida finan-
nmicos o simplemente por diversin. Por ciera para la empresa y sus clientes, robo de
esta razn, la seguridad es un elemento tarjetas de crdito e informacin personal,
clave para la industria de los videojuegos. entre otros. Adems de los riesgos cono-
cidos, se identifican otro tipo de amenazas
El modelo de negocio de esta industria ha que se relacionan con el uso popular de los
evolucionado en los ltimos aos. En el videojuegos.
6
Tanto hogares como empresas (especial- aumentado en cantidad, frecuencia o im-
mente hoy en da con la tendencia a permitir pacto. Por lo tanto, la trascendencia de la
los videojuegos en el lugar de trabajo como tecnologa para las sociedades actuales y
estrategia para aumentar la productividad) los riesgos asociados a su uso, muestran
pueden quedar expuestos a las amenazas la necesidad de proteger la informacin y
informticas solo por habilitar el uso de otros bienes a distintos niveles y mbitos.
juegos en sus redes. El simple hecho de
tener una consola de juegos dentro de la Ya sea que hablemos de las infraestruc-
oficina puede exponer a toda la empresa a turas crticas, el Internet de las Cosas, los
ataques dirigidos, los cuales utilizan la pla- dispositivos mviles o los videojuegos, la
taforma de juego como puerta de entrada a seguridad de la informacin adquiere ma-
la red corporativa. yor relevancia. Diferentes sectores son
requeridos para la mejora y el aumento
Como se observa, existe un panorama am- de la seguridad, desde la iniciativa priva-
plio de amenazas que atentan contra los da con productos y servicios seguros, los
gamers, al igual que los dispositivos mvi- gobiernos con normas y legislaciones, el
les, resulta necesario que las partes intere- sector acadmico con investigaciones y
sadas que van desde los desarrolladores de educacin, hasta usuarios conscientes de
videojuegos y consolas hasta los jugadores la seguridad. Todo lo anterior para lograr
continen aplicando medidas de seguridad un objetivo de mayor alcance: desarrollar y
con el propsito de minimizar los riesgos divulgar la cultura de ciberseguridad.
asociados a esta forma de entretenimiento.
7
Amenazas y recomendaciones
para menores de edad en el uso
de la tecnologa
Hctor Jess Prez Mancilla
8
Los que son ms atentos en sus res- formacin del dispositivo electrnico, ms
puestas, son mejor catalogados por all de la toma de imgenes, en ocasiones
los adultos en las que el usuario no est utilizando la
Deben ser agradecidos y corresponder cmara fotogrfica de su dispositivo. Una
a los adultos por educacin (Rosas, fotografa de un menor de edad desnudo
Florentina, 2010). en el mercado negro no puede valer ms
all de un dlar americano y un video en la
Estas vulnerabilidades son buenas costum- misma situacin no valdr ms all de cinco
bres que ensean los padres o familiares a dlares americanos (Garca, Colmenares,
los menores y las organizaciones delictivas 2015), pero la problemtica a combatir es
hacen uso de ellas, explotndolas y con- que las fotografas y los videos se conver-
virtiendo el riesgo en una amenaza latente tirn en parte de bibliotecas con un amplio
contra los menores, porque hay una cla- repertorio que diferentes organizaciones
ra falta de concientizacin en cmo deben criminales comercializarn en todo el mun-
manejar estos la informacin que saben. do, propagando los datos, las imgenes y
los videos de los menores, pudiendo haber
El Programa de Inclusin y Alfabetizacin prevenido la captura de estos con una co-
Digital del gobierno federal mexicano es rrecta concientizacin por parte de los pa-
una gran campaa que otorga tabletas dres, los maestros y los adultos.
inteligentes a los nios para dar un acer-
camiento tecnolgico a las diferentes es- Los delitos informticos ms utilizados por
cuelas en diferentes grados escolares. Sin organizaciones criminales son:
embargo, el nico problema que se debe-
ra contraatacar es la falta de implemen- Sexting: es el uso de dispositivos m-
tacin de un programa de concientizacin viles y computadoras para el intercam-
para los maestros, los padres de familia y bio de mensajes o contenido sexual.
los estudiantes a los cuales se les entre- Este contenido debe considerarse ina-
gan estas tecnologas de la informacin, propiado en el momento en que el ca-
ya que corren el riesgo de revelar infor- nal de conversacin es abordado por
macin y datos personales en un nivel de menores de edad y existe una revela-
exposicin peligrosa, que va desde con- cin inadecuada de la informacin por
ceder permisos excesivos a aplicaciones parte de algn integrante del canal de
gratuitas o con costo. conversacin.
Ciberbullying: acoso, amenazas y agre-
Por ejemplo, existen casos bien docu- sin son algunos de los componentes
mentados y muy conocidos (Trend Micro, de este delito a travs de Internet. Esta
2011) de aplicaciones que solicitan acceso situacin entre menores de edad se-
a muchas caractersticas cuando el nico mejante es ms compleja por la impo-
recurso al que deberan acceder en un dis- tencia que experimentan los jvenes al
positivo mvil como un smartphone o una no poder ejercer ninguna accin o tener
tableta es a la linterna, pero se le asignan miedo a lo que puedan realizar los pa-
permisos excesivos tales como la localiza- dres de familia al conocer la situacin.
cin, acceso a la cmara fotogrfica y de Grooming: es la accin de desnudar a
video, a los contactos y a las modificacio- menores de edad por medio de enga-
nes al sistema del dispositivo; el usuario, os y recopilar sus imgenes por una
con la finalidad de utilizar la aplicacin, ac- webcam. La mayora de los atacantes
cede a la concesin de los permisos sin una que realizan este delito son adultos
previa concientizacin. Cualquier persona, adoptando la falsa identidad de meno-
UNAM CERT
9
crementado el grooming ya que, con la
utilizacin de estos mismos, no existe Contramedidas a los
la supervisin o vigilancia continua de delitos informticos
los padres o un adulto responsable. En
muchas ocasiones, ya no se requie- La prevencin concreta al sexting es indicar
re la interaccin directa del atacante a los menores de edad que la informacin
al poder establecer una interaccin que se proporciona por medio de dispositi-
por medio de aplicaciones maliciosas, vos mviles, equipos de cmputo o a travs
programadas para la recoleccin de de la distribucin a pedimento de conteni-
imgenes. do es sensible y podra poner en riesgo su
Pornografa: aunque en algunos pases integridad o afectar su imagen.
es un entretenimiento legal, siempre
y cuando los participantes o actores Para el ciberbullying la forma de prevencin
sean considerados mayores de edad es a travs de la concientizacin sobre el
y las relaciones sexuales se lleven a uso correcto de los dispositivos mviles
cabo con consentimiento, la pornogra- con los menores, as como el abordar
fa de menores de edad es muy recu- a tiempo el acoso verbal y fsico que es
rrente y existe la distribucin de este muy frecuente en los centros de estudio,
material sin autorizacin. evitando que el acoso se convierta en
Ciberbaiting: Esta prctica es una forma formas fsicas de agresin.
de ciberbullying, con la diferencia de
que son los menores quienes acosan El grooming es inversamente proporcional a
a sus maestros por medio de Internet. la supervisin de padres de familia, por lo
En estas prcticas se burlan de los que se debe vigilar la instalacin de apli-
docentes, los violentan verbalmente y caciones en los dispositivos mviles de los
humillan pblicamente. menores y monitorear recurrentemente a
los contactos en redes sociales.
10
cin de ellos en forma que les d pena 6. Concientizar de forma constante so-
contar? bre los delitos ms comunes a los que
Sabemos que no incurren en algn estn expuestos, cmo cuidarse de
delito a travs de sus dispositivos estos y cmo no generar los mismos.
electrnicos? 7. Formar grupos integrados por padres
Sabemos si son generadores de ci- de familia, maestros y autoridades en
berbaiting, sexting y ciberbullying? los cuales se puedan concientizar so-
bre los delitos a los que estn expues-
tos los menores de edad.
Conclusiones 8. Mantener un contacto constante con
autoridades especializadas en temas
de ciberdelincuencia enfocados a me-
Entre las recomendaciones que deben dar-
nores de edad, para que apoyen en el
se a los padres de familia, maestros y per-
desarrollo correcto de un programa de
sonas que interactan de alguna forma con
vigilancia permanente a maestros y
menores de edad o nios que hacen uso de
alumnos. Aunado a esto, seguir cual-
dispositivos mviles se encuentran:
quier comunicado de fuentes con-
fiables sobre amenazas y vulnerabi-
1. La responsabilidad de un dispositivo
lidades detectadas en dispositivos
electrnico no termina con la entrega o
electrnicos y aplicaciones que nos
regalo de uno, esta apenas comienza y
afecten de forma directa.
debe darse un seguimiento constante
9. Tener una comunicacin clara, sincera
de su uso correcto.
y abierta entre padres, maestros y me-
2. Ensear al menor a utilizar el dispositi-
nores de edad para atender cualquier
vo correctamente e indicarle para qu
duda o inters.
fue diseado, con el fin de evitar un
10. El ms importante es que la respon-
mal uso del smartphone o tableta que
sabilidad de la educacin no es ni-
conlleve al menor a un delito cibern-
camente de los maestros y directivos
tico.
escolares, conlleva un compromiso
3. Concientizar al menor para que no
de todos los adultos involucrados en
proporcione informacin a personas
la sana convivencia en el medio del
desconocidas o que conoci en algu-
menor de edad. Ellos deben de atri-
na red social.
buirse y asumir la responsabilidad y
4. Educar al menor de edad a no compar-
compromiso del buen uso de los dis-
tir imgenes o fotografas de s mis-
positivos mviles y de cmputo a los
mos en ninguna red social. Ensearles
cuales tenga acceso.
a que las personas pueden compar-
tir fotografas de l o ella siempre y
cuando no involucren imgenes des-
honrosas o que lo hagan sentir en un Referencias
estado incmodo.
5. Los padres pueden realizar una Garca, J.C., Colmenares, L.E. (Abril-Junio
revisin peridica de los dispositivos 2015). Pornografa y explotacin sexual in-
electrnicos del menor de edad, fantil, efectos sociales y la tecnologa. Porno-
como las computadoras, los telfonos graphy and child explotation. Revista Visin
inteligentes y las tabletas, a las criminolgica-criminalstica. Ao 2 nmero
listas de contactos, a los accesos a 10 Abril-Junio 2015. Recuperado de: http://
redes sociales, el uso de la cmara revista.cleu.edu.mx/new/descargas/1503/
UNAM CERT
11
Rosas, RF.; Florentina, R. (2010). As-
pectos Generales y Jurdicos de la Pe-
derastia. Recuperado de: http://
reposital.cuaed.unam.mx:8080/jspui/bits-
tream/123456789/880/1/Pederastia.pdf
12
Consejos prcticos de seguridad
para proteger los datos bancarios
al comprar en lnea
Israel Andrade Canales
13
en lnea. En Mxico, los mtodos de pago compra menos riesgosa y su buen funcio-
ms populares durante 2016 fueron Paypal namiento tambin es tu responsabilidad.
y las tarjetas de crdito y dbito (AMIPCI, Por ello:
2016). Los datos bancarios de inters en
estos tres mtodos son (Ali, Arief, Emms, & 1. Nunca instales software pirata, de
van Moorsel, 2016): escasa reputacin o de fuentes no
confiables en los dispositivos donde
Las credenciales de acceso a las car- realices las compras, estos deben
teras digitales como Paypal. ser de tu absoluta confianza! Tu na-
El nmero de tarjeta bancaria, el cual vegador cuenta con mecanismos para
es una cifra nica de 16 dgitos que identificar si los sitios que visitas son
vincula una tarjeta bancaria con el tar- confiables y si modificas su configura-
jetahabiente. cin, podras afectar esta proteccin.
El cdigo verificador de tarjeta (CVV, 2. Es muy importante actualizar el siste-
por sus siglas en ingls), el cual es un ma operativo, tu navegador web y la
nmero de tres dgitos impreso en el aplicacin de la tienda. De esta ma-
reverso de la tarjeta. Este dato se su- nera reparas las posibles debilidades
pone secreto y no debe ser almacena- de este software, adems de agregarle
do por ningn sistema de compra en nuevas funcionalidades que mejoren
lnea legtimo. la experiencia de compra.
La fecha de vencimiento de la tarjeta
de crdito/dbito. Adicionalmente, no debes realizar com-
El cdigo postal que registr el tarje- pras desde dispositivos en los cuales no
tahabiente. tengas pleno control o que varios usua-
rios comparten. Existe software capaz de
La informacin mencionada anteriormente registrar lo que tecleas o envas por In-
es el objetivo principal que tiene un defrau- ternet. En este sentido:
dador electrnico, el cual intentar obte-
nerla desde cualquier lugar donde se in- 3. No utilices computadoras de sitios
grese, almacene, procese y transfiera. como salas de Internet pblicas o de
renta. Del mismo modo, no te conectes
desde redes pblicas o compartidas,
Cmo proteger los datos ya que la red informtica debe ser de
plena confianza. Esto ayudar a reducir
bancarios mientras estn los riesgos asociados a la intercepcin
en tu computadora? de los datos bancarios sobre la red.
Al comprar productos o servicios por In- Finalmente, si almacenas tus datos banca-
ternet requerimos varias tecnologas que rios en tu computadora o dispositivo mvil,
se interconectan para realizar las mismas asegrate de lo siguiente:
acciones que un cliente realizara en una
tienda fsica, esto es: solicitar el producto o 4. Utiliza llaveros[1] que cifren tus datos
servicio y realizar el pago. bancarios y evita que estos se encuen-
tren almacenados en texto claro. Si los
De manera simplificada, para que un clien- datos bancarios estn en tu dispositi-
te indique a la tienda lo que desea comprar vo porttil, asegura que tu dispositivo
requerir de un programa que ser su inter- cuente con mecanismos de autenti-
UNAM CERT
locutor con la tienda: en los equipos de es- cacin. Debes estar consciente del
critorio, el navegador web; y en los disposi- lugar donde tienes almacenados tus
tivos mviles, la aplicacin de la tienda. datos bancarios y asegurarte de re-
ducir estos sitios al mnimo necesa-
Por lo anterior, el sistema operativo de tu rio.
dispositivo, el navegador web y las apli-
caciones son herramientas clave para una
14
Cmo proteger tus datos Sin embargo, lo anterior no es suficiente.
Los ataques informticos ocurren en casi
bancarios cuando estn cualquier tipo de servicio electrnico (co-
en la tienda digital? rreo electrnico, almacenamiento en la
nube, comercio electrnico, entre otros).
Hoy en da, la mayora de los negocios Empresas importantes como Yahoo! y
apuestan al comercio electrnico (Lpez, Dropbox han sufrido ataques informticos
2016) y por ello existe una gran variedad de escandalosos (puedes consultar aqu al-
tiendas en lnea. No todas son confiables. gunos casos). Por tal motivo, no podemos
Hay sitios creados intencionalmente para la confiar en que los datos que almacenan se-
obtencin de los datos bancarios a travs rn resguardados de manera segura.
del engao, y por tal motivo, la tienda don-
de realizas la compra debe tener una buena 3. Preferentemente, elige comercios que
reputacin; por lo anterior se recomienda no almacenen los datos de tu tarjeta
hacer un poco de investigacin sobre la de crdito o dbito (lo anterior pue-
tienda antes de comprar: des consultarlo en las polticas de
privacidad del sitio), o bien, prefiere
1. Verifica que la URL del comercio sea las tiendas que cuenten con sistemas
legtima. Tambin revisa la fecha de de pago administrado por terceros de
creacin del sitio web; prefiere aque- confianza (como el caso de Paypal y
llos que tengan algn tiempo conside- otras carteras virtuales[2]).
rable en el mercado.
2. Una tienda electrnica de buena re- Otra opcin interesante es contar
putacin invertir en su plataforma con una tarjeta virtual, la cual es una
de venta, por lo tanto, si el sitio que tarjeta de crdito o dbito ofrecida por
visitas es de poca calidad, con con- algunos bancos, cuyo CVV u otro dato
tenido desactualizado o generado bancario, cambia en cada transaccin,
automticamente, evtalo. hacindola temporal y de un solo uso
(Rubenking, 2014). De esta manera, si
la tienda es comprometida, tus datos
bancarios no pueden ser aprovechados por
cibercriminales.
15
Conclusiones Lpez, J. (7 de abril de 2016). Sitios de
e-commerce en Mxico aumentan y abando-
De la misma manera que tomamos me- nan tiendas fsicas. El Economista. Recupera-
didas de seguridad para comprar en una do de http://www.elfinanciero.com.mx/tech/
tienda fsica, es necesario hacerlo en lnea. aumentan-sitios-de-e-commerce-que-es-
En este artculo se presentaron algunas re- tan-dejando-el-mundo-offline.html
comendaciones que los usuarios pueden
seguir al pagar productos o servicios por Pagnota, S. (28 de diciembre de 2016). El
Internet. Estos consejos de seguridad van 41,3% cree que las compras online son al-
desde buenas prcticas en el uso de dispo- tamente peligrosas. WeLiveSecurity en
sitivos electrnicos, hasta el manejo menos Espaol. Recuperado de: http://www.weli-
riesgoso de los datos bancarios durante el vesecurity.com/la-es/2016/12/28/com-
pago mediante tecnologas de seguridad pras-online-peligrosas/
bancaria.
Rubenking, N. (17 de septiembre de 2014).
La adopcin de mejores prcticas durante 5 Things You Should Know About Vir-
la compra por Internet reducir el riesgo tual Credit Cards. PC Magazine. Recu-
de ser vctima de fraudes por esta va, lo perado de: http://www.pcmag.com/arti-
que favorecer la confianza y el uso fre- cle2/0,2817,2468612,00.asp
cuente de las tecnologas de comercio
electrnico.
Si quieres saber ms, consulta:
16
Sanitizacin de informacin
Edgar Ros Clemente
17
Fuga de datos privados o personales de baja el dispositivo.
que deriven en grandes multas y ac- Destruir: Cuando se cuenta con infor-
ciones legales para las organizacio- macin confidencial, la cual requiere
nes, por no cumplir con las leyes de que sean destruidos fsicamente los
proteccin de datos personales. dispositivos.
La propiedad intelectual puede ser Regulatorio: Por cumplimiento de re-
recuperada y publicada, derivando en gulaciones como la Ley Federal de
prdida de reputacin y/o ganancias. Proteccin de Datos Personales en
Posesin de los Particulares (LFPDP-
La clasificacin contribuye en la valuacin PP) o la Ley General de Proteccin de
y proteccin de los activos de informacin; Datos Personales en Posesin de Su-
esto incluye tambin los procesos y proce- jetos Obligados (LGPDPPSO).
dimientos para reclasificarla, porque des-
pus de un periodo la informacin conside- Actualmente existen diversas organizacio-
rada como sensible puede declinar en valor nes que cuentan con programas de dona-
o criticidad (de esta forma se evita que haya cin o reciclaje de dispositivos electrnicos
controles de proteccin excesivos). Por que incluyen celulares, computadoras por-
lo anterior, dentro de las polticas de cla- ttiles, servidores, consolas de videojue-
sificacin de informacin, deber tambin gos y tabletas.
incluirse la reclasificacin de informacin
fsica y digital. Empresas como Microsoft sugieren con-
tactar a sus socios comerciales para apo-
Por otra parte, en Mxico el robo de iden- yarse en la eliminacin de informacin per-
tidad es un tema importante. Segn datos sonal identificable; desafortunadamente,
del Banco de Mxico, nuestro pas ocup en en Mxico no se cuenta con partners que
2015 el octavo lugar a nivel mundial en este realicen este servicio de acuerdo con su
delito; debido a esto, como una medida de sitio web pero, por otra parte, existen em-
control, el Instituto Nacional de Transpa- presas nacionales que realizan esta labor.
rencia, Acceso a la Informacin y Protec-
cin de Datos Personales (INAI) ha creado En el pas, los servicios ms comunes que
una gua completa para prevenir el robo de se ofrecen para la destruccin fsica de los
identidad, la cual se puede consultar en documentos y los dispositivos fsicos (dis-
el siguiente enlace, que hace referencia a cos magnticos) son la desmagnetizacin,
mtodos para sanitizar la informacin. la trituracin y la incineracin.
18
Contar con una poltica de reutilizacin dard 5 (IS5) para destruccin de datos; en
y eliminacin, con roles clave entendi- Europa se tiene el estndar de destruccin
dos por todos en la organizacin. de la informacin EN15713; en Alemania
Conocer las tecnologas que se estn cuentan con el estndar DIN-66399; mien-
empleando. tras que en los Estados Unidos de Amrica
Conservar los manuales de fabrican- se pueden seguir las guas de sanitizacin
tes para conocer cmo desechar y sa- de medios del Instituto Nacional de Estn-
nitizar. dares y Tecnologa NIST-800-88.
Establecer el ciclo de vida del medio
de almacenamiento (qu se almacena, En Mxico an no contamos con una norma
dnde y por cunto tiempo). o estndar, pero una propuesta es la gua
Usar terceros confiables que se ape- para el Borrado Seguro de Datos Persona-
guen a estndares internacionales. les desarrollada por el Instituto Nacional
Obtener certificados de destruccin de Transparencia, Acceso a la Informacin
de los servicios de terceros (algunos y Proteccin de Datos Personales (INAI), la
proveedores adicionalmente propor- cual es muy completa.
cionan el video de la destruccin).
Supervisar que los procesos de des- Actualmente, las organizaciones lderes
truccin y equipo son probados peri- de ciberseguridad, como el NIST, ya no
dicamente. cuentan con una lista de herramientas
Verificar que los datos son sanitizados aprobadas, tal vez debido a la existencia
apropiadamente. de mtodos ms sofisticados para
Remover las etiquetas o marcas indi- recuperacin de informacin, al grado de
cando pertenencia del dispositivo o de que ya no es recomendable nicamente la
los datos contenidos. sobreescritura en los discos magnticos
Clasificar y etiquetar la informacin (aunque en la prctica es mejor siempre
para que tenga el proceso adecuado y hacerlo). Sin embargo, el equipo de
reducir posibles fugas o prdidas. ciberseguridad de la Organizacin del
Tratado del Atlntico Norte (OTAN)
cuenta con un catlogo de productos para
eliminacin de discos magnticos que
puede ser de utilidad cuando se buscan
opciones de eliminacin ms robustas.
Conclusiones
Los medios de almacenamiento evolucio-
nan muy rpido, por lo cual habr que iden-
tificar las nuevas tecnologas y los mtodos
de sanitizacin de datos ms actuales para
proteger los datos de las organizaciones.
Debido a estos escenarios, se requiere el
uso de diferentes tecnologas y/o mtodos Es importante mencionar que el contar con
para que se elimine la informacin de forma los procesos y el presupuesto para la sani-
segura. tizacin de informacin ayudar a adminis-
trar diversos riesgos asociados a la falta de
UNAM CERT
19
la informacin pueden apoyarse en ellos National Cyber Security Centre. (24 de sep-
para la generacin de polticas, procesos y tiembre de 2016). Secure sanitisation of
estndares que mejor se adapten a las ne- storage media. Guidance. Recuperado de:
cesidades de cada organizacin. https://www.ncsc.gov.uk/guidance/secu-
re-sanitisation-storage-media
Es importante que al finalizar el ciclo de
vida de la informacin, se aplique alguna National Institute of Standards and Techno-
(o varias) de las tcnicas de sanitizacin de logy. (Diciembre 2014). Guidelines for Media
datos, de acuerdo con el tipo de informa- Sanitization. Recuperado de: http://nvlpubs.
cin. De este modo se minimizar el riesgo nist.gov/nistpubs/SpecialPublications/NIST.
de que dicha informacin sea reutilizada SP.800-88r1.pdf
con otros fines.
North Atlantic Treaty Organization. (2014).
Para organizaciones que requieran contra- Disk Erasure. Information Assurance Product
tar servicios de destruccin de datos (in- Catalogue. Recuperado de: http://www.ia.
cluyendo medios magnticos e informacin nato.int/niapc/Category/Disk-Erasure_11
fsica) en el pas, una opcin es elegir una
empresa que pertenezca a una asociacin Rothke, B. (24 de febrero de 2009). Why
internacional como la National Association Information Must Be Destroyed. CSO. Re-
for Information Destruction (NAID) de los cuperado de: http://www.csoonline.com/
Estados Unidos de Amrica. article/2123705/privacy/why-informa-
tion-must-be-destroyed.html
Microsoft. (2017). How to more safely dispo- Gua de sanitizacin segura de medios
se of computers and other devices. Microsoft. de almacenamiento del Centro Nacio-
Recuperado de: https://www.microsoft.com/ nal de CiberSeguridad del Reino Unido
en-us/safety/online-privacy/safely-dispo- (NCSC)
se-computers-and-devices.aspx Gua para el Borrado Seguro de Datos
UNAM CERT
20
Transparencia, Acceso a la Informa-
cin y Proteccin de Datos Personales
(INAI)
Gua de destruccin de informacin
EN15713:2009 de la british security in-
dustry association (BSIA)
Directrices para sanitizacin de me-
dios del Instituto Nacional de Estnda-
res y Tecnologa de los Estados Unidos
de Amrica (NIST)
UNAM CERT
21
Cowrie Honeypot: Ataques de
fuerza bruta
Sergio Anduin Tovar Balderas
Telnet y SSH, por lo tanto son susceptibles rsticas con las que Kippo no contaba o te-
a ataques de fuerza bruta. Este artculo tie- na deficiencias, tales como mejoras en el
ne como objetivo presentar la instalacin, registro de bitcoras de algunos ataques,
configuracin y una prueba de concepto soporte para comandos y herramientas
de Cowrie, un honeypot Telnet y SSH de adicionales que son parte del protocolo
interaccin media, diseado para registrar SSH. Algunas de las nuevas caractersti-
22
cpu, reboot, entre otras), uso de * y ! Instalacin
para la autenticacin de usuarios (userdb),
bitcoras en texto, una base de datos, el Es posible instalar Cowrie en diversos sis-
formato JSON, entre otras. Las caracters- temas operativos como Debian, Ubuntu,
ticas antes mencionadas permiten mejorar entre otros. Para esta prueba de concep-
la emulacin y ampliar la interaccin del to se utilizar Debian; primero se debern
honeypot, hacindole pensar a los atacan- configurar los parmetros de red y tener los
tes que es un servicio real; esto posibilita repositorios actualizados para instalar las
una mayor ejecucin de comandos de los dependencias que requiere para su funcio-
atacantes logrando obtener mayor infor- namiento.
macin y mejores resultados al procesar y
analizar las bitcoras. Los requisitos para la instalacin son:
Cuando un atacante, malware o intruso in- Sistema Operativo Linux Debian 8.7.1
tenta entrar a un equipo a travs del servi- Jessie
cio (SSH o Telnet) y no cuenta con los datos Conexin a Internet
de acceso (usuario y contrasea), intentar Cowrie
realizar un ataque de fuerza bruta o de dic-
cionario para identificar las credenciales El archivo /etc/apt/sources.list contiene la
vlidas. Posteriormente ingresar al sis- lista de los repositorios donde se pueden
tema e intentar realizar otras actividades obtener los paquetes necesarios para la
como la infeccin del equipo, ataques de instalacin de Cowrie. Se recomienda uti-
denegacin de servicio o la identificacin lizar la rplica de Debian ms cercana para
de equipos para efectuar un movimiento descargar ms rpido los paquetes.
lateral. Una vez iniciada la sesin, los m-
dulos del honeypot identifican, controlan y
procesan el comando ejecutado para ge-
nerar una respuesta adecuada simulan-
do ser un sistema real. Por ejemplo: si el
comando ejecutado es cat/etc/shadow,
Cowrie verificar que existe el comando, Figura 2. Configuracin de los repositorios
consultar el archivo shadow en su siste-
ma de archivos y lo desplegar en pantalla.
Todo este proceso es registrado en las bi- Cowrie necesita los siguientes paquetes.
tcoras y los archivos descargados (gene-
ralmente malware) desde el honeypot son
almacenados para su anlisis posterior. El
siguiente diagrama muestra el panorama
general del funcionamiento de Cowrie. Figura 3. Instalacin de paquetes para Cowrie
24
el usuario y contrasea vlido para ingresar
al honeypot. El atacante iniciar sesin y
ejecutar comandos (interaccin) creyen-
do que se trata de un equipo real, cuando
en realidad toda actividad est siendo re-
gistrada y controlada por el honeypot para
Figura 7. Iniciar Cowrie su anlisis posterior.
Bitcoras
Es posible configurar Cowrie para registrar Figura 10. Registro de los comandos ejecutados
los eventos en archivos de texto, JSON,
base de datos, entre otros. En la ruta de
instalacin se encuentra la carpeta log La informacin generada y almacenada en
que contiene las bitcoras, una de ellas las diferentes bitcoras por Cowrie es de
es cowrie.log. Este archivo contiene el re- vital importancia ya que puede ser utilizada
gistro de la actividad, configuraciones ha- para generar ciberinteligencia en nuestra
bilitadas, errores e inicio de los servicios organizacin.
indicando el puerto y la interaccin de los
atacantes con el honeypot. Una de las principales ventajas de Cowrie
es el uso de JSON, esto posibilita procesar
todos los datos obtenidos por el honeypot
en un SIEM o en herramientas que permitan
este formato como entrada.
Figura 8. Bitcora cowrie.log
El archivo de registro cowrie.json muestra
los eventos de la interaccin con cada uno
de los comandos ejecutados en formato
Prueba de concepto JSON.
25
1649f7f2, shasum: tos e integracin con otras herramientas.
05b08f11a7073248fb29cfedb0ac4d4e- La prueba de concepto muestra cmo se
050356b83eeaec8d7bbcd9f25b79fdbb, registran en dos bitcoras diferentes los
url: http://172.16.16.100/bin8, times- eventos de un ataque de fuerza bruta y los
tamp: 2017-02-10T10:06:59.916566Z, comandos ejecutados cuando ingresan al
outfile: honeypot.
dl/05b08f11a7073248fb29cfedb0ac4d4e-
050356b83eeaec8d7bbcd9f25b79fdbb, A travs del procesamiento, anlisis e
sensor: honeypot, message: Down- interpretacin de la informacin generada
loaded URL (http://172.16.16.100/bin8) with por Cowrie se puede identificar equipos
SHA-256 que estn distribuyendo malware o
05b08f11a7073248fb29cfedb0ac4d4e- realizando ataques de fuerza bruta y poder
050356b83eeaec8d7bbcd9f25b79fdbb to mitigar actividades maliciosas para mejorar
dl/05b08f11a7073248fb29cfedb0ac4d4e- la seguridad en una organizacin.
050356b83eeaec8d7bbcd9f25b79fdbb} Antes de desplegar un sistema con ser-
vicios de Telnet o SSH, es recomendable
Este evento muestra la descarga del cambiar las contraseas preestablecidas
archivo bin8 desde el servidor web por unas seguras, utilizar una red de admi-
http://172.16.16.100. El honeypot es ca- nistracin, crear reglas de firewall y/o listas
paz de almacenar el archivo en la carpeta de control de acceso (ACL), complementar
dl dentro del directorio de instalacin de con TCPwrapper, firewall de host y progra-
Cowrie renombrando el archivo bin8 con su mas como fail2ban o SSHGuard en los dis-
firma SHA256. positivos.
26
Referencias Si quieres saber ms:
VirusTotal. (s.f.). VirusTotal - Free Online Vi- Cuenta con la certificacin IPS-ESE (IPS
rus, Malware and URL Scanner. Recuperado Express Security for Engineers) de Cisco.
de https://www.virustotal.com/
UNAM CERT
27
Recomendaciones antes de liberar
tu pgina web
Jess Mauricio Andrade Guzmn
Proteger tu pgina web y los datos de tus que sea una pgina pblica a travs de un
usuarios es una tarea cada vez ms com- servidor web como Apache, Ngnix, IIS, en-
plicada. El desarrollo de pginas web se ha tre otros.
convertido en un gran negocio, pero la alta
demanda implica una oferta en aumento Las consideraciones de administracin
que, desafortunadamente, baja la calidad de sistemas o desarrollo de aplicaciones
del producto final. La presin de entregar dependen en gran medida de los recursos
una pgina web en tiempo y forma hace que los actores involucrados tengan a la
que los desarrolladores cada vez inviertan mano. Un estudio independiente de diseo
menos tiempo en cuestiones que perciben web o incluso desarrolladores indepen-
menos crticas, como la seguridad o el dientes (freelancers), no tienen acceso
rendimiento del sitio. a los mismos recursos que una universi-
dad o una empresa de mayor tamao. La
El propsito de este artculo es proporcio- tendencia del mercado es la reduccin de
nar consejos generales de rendimiento y costos y tiempos, pero es importante te-
UNAM CERT
defensa para aplicaciones web. Estas re- ner en cuenta los riesgos e implicaciones
comendaciones aplican para cualquier tipo de las decisiones que se toman. Incluso si
de proyecto web, ya sea que est basada hablamos de una universidad o empresa
en un gestor de contenidos o en otro tipo grande, los equipos de desarrollo web no
de desarrollo. Quizs el nico requisito es estn necesariamente en contacto directo
28
con los administradores de sistemas. Para caractersticas de seguridad y rendimien-
estos equipos de desarrollo, las siguientes to a tus proyectos con una inversin mni-
recomendaciones pueden ser de utilidad. ma de tiempo, conocimientos o de dinero.
Es posible que ests a punto de liberar tu
A modo de ejemplo, hoy en da los servi- siguiente proyecto web y esta lista puede
cios de hospedaje web ya incluyen muchas serte til como gua por si no has conside-
opciones de proteccin, como servicios de rado estas tres opciones en tu proyecto.
firewall de red, firewall de aplicaciones, Recuerda que sin importar si el proyecto es
proteccin para DDoS, entre otros; sin em- un desarrollo propio, una aplicacin web
bargo, los equipos de desarrollo no tienen basada en gestores de contenido o cual-
acceso a la configuracin de estas funcio- quier otro tipo de servicio en lnea que utili-
nes, las opciones disponibles se reducen a ce Internet, puedes aplicar alguna de estas
encendido y apagado. recomendaciones con relativa facilidad.
1. Cach
La utilizacin de sistemas de cach en un
proyecto debe estar acompaada de un
entendimiento, al menos en trminos ge-
Figura 1. No siempre es posible acceder a la tabla de nerales, de las implicaciones de seguridad
reglas de ModSecurity que debe tener disponible una seccin del
contenido de esta manera.[1] Sin embargo,
a veces es inevitable el uso de estos siste-
El servicio de hospedaje es un material de mas porque el rendimiento del servidor es
trabajo, ms que parte de un proyecto en s; insuficiente, la carga de peticiones es ma-
y no es posible acceder a configuraciones yor a la esperada o el presupuesto de ancho
como las que se comentan en artculos de banda es limitado. Esta recomendacin
previos de la revista .Seguridad [1] y [2], asume que existe alguna justificacin para
porque los desarrolladores son tambin utilizar servicios de cach en un proyecto
clientes del proveedor de servicios de web, por ejemplo, que la tecnologa en la
hosting. Esta situacin se complica un poco que se desarrolla un proyecto web incluye
ms con servicios de hosting compartido estas funciones y desactivarlas afectara el
en los que nicamente se tiene acceso a la rendimiento del sistema.
consola del gestor de contenido, y si hay
suerte, a la base de datos. En la mayora de Las funciones de cach para aplicaciones
los casos, hay que trabajar con versiones de web muchas veces estn ya incluidas en
software no actualizado o configuraciones la configuracin de tu servidor web o son
de rendimiento sin optimizacin. una funcin automtica del lenguaje que
utilizas para servir contenido dinmico.
Otra manera de utilizar cach en una pgina
web es aprovechando las funciones de los
navegadores, que pueden guardar datos
en la computadora de tus usuarios para
Figura 2. A veces la versin ms reciente de PHP evitar la consulta remota lo ms posible.
disponible es 5.6.X En Caching Tutorial for Web Authors and
UNAM CERT
29
archivos de tu pgina. Este tipo de cach <script src=https://ajax.google-
almacena las secciones de tu sitio en un apis.com/ajax/libs/jquery/3.1.1/
formato que no puede ser procesado por jquery.min.js></script>
el lenguaje para servir contenido dinmico
(pensemos que las pginas PHP o Java se Lo anterior descargar la versin 3.1.1 de
guardan como HTML), lo que libera la car- jQuery desde un servidor de Google, evi-
ga de procesamiento de tu servidor y res- tando la consulta a tu servidor para jQuery.
ponde ms rpido. Revisa la documentacin de las bibliotecas
que utilizas, es muy probable que puedas
Activar configuraciones de cach puede ahorrar tiempo de procesamiento y de res-
ser cuestin de instalar un complemen- puesta con esta estrategia.
to para tu gestor de contenidos. Algunas
opciones para Wordpress son W3 Total Por otro lado, las redes CDN pueden
Cache, WP Super Cache, WP Rocket, de servir tambin para distribuir el contenido
los que puedes consultar esta lista com- completo de tu proyecto web. Puedes
parativa [5]; para Drupal puedes consultar consultar [7] y [8] donde se explica el
[6]. Sin embargo, esta opcin no siempre funcionamiento general y se enlistan las
est disponible, porque supone al menos ms populares. Cabe destacar que el
acceso al directorio de la aplicacin (FTP, funcionamiento de este tipo de servicios
SFTP, SSH, entre otros), o incluso privile- puede estar integrado incluso al registro
gios para instalar mdulos para el servidor DNS del dominio de tu proyecto, sin afectar
(como Apache y Nginx) o para el lenguaje tu servicio de hosting. Lo que ocurre es
(como PHP y Java). que esta red se encarga de distribuir tu
contenido y evitar que la peticin llegue a tu
servidor. La ubicacin de los nodos de estas
redes globales garantiza que tu contenido
2. CDN (Redes de se servir desde el sitio geogrfico que ms
Distribucin de le convenga a tus usuarios.
contenido)
Otra opcin para mejorar el rendimiento
son las redes de distribucin de contenido
(CDN) que se encargan, en trminos gene-
rales, de servir como intermediarios para
una parte del contenido (o todo) que se
distribuye en tu sitio. La idea es que estos
servicios respondan a los usuarios desde Figura 3. A la izquierda, un servidor web normal, a la
una ubicacin optimizada, de forma que derecha una red de distribucin de contenido [https://
el tiempo de espera para una solicitud sea en.wikipedia.org/wiki/File:NCDN_-_CDN.png]
menor.
Una manera comn de integrar esta Las empresas que ofrecen los servicios de
tecnologa es accediendo a bibliotecas distribucin de contenido tambin ofrecen
comunes como jQuery, Bootstrap, Google, opciones de seguridad para sus usuarios.
Font Awesome, entre muchas otras. Puedes Debido a que estas redes estn en una capa
consultar cmo incluir en tu proyecto anterior a la infraestructura del servidor
las versiones CDN de las bibliotecas web principal, se pueden colocar servicios
UNAM CERT
30
Cuando un ataque de este tipo se detecta es necesario aadir algn mecanismo para
por la CDN, el usuario puede recibir alertas evitar mensajes de spam, o ataques que
y, literalmente, presionar un botn de pni- vulneren el sistema que soporte la pgina
co para informar a sus usuarios que el sitio web.
est bajo un ataque. La funcin de la CDN
es responder a las peticiones masivas con No siempre es posible integrar al desarrollo
la posibilidad de distinguir entre las peti- un sistema de monitoreo o moderacin de
ciones de ataque y las legtimas, como se comentarios a una pgina web, porque esta
muestra en la figura 4. funcin muchas veces es secundaria para
el objetivo principal del proyecto. Sin em-
bargo, considerar un mecanismo de mo-
deracin o proteccin contra el spam, har
que est mejor protegido y evitar proble-
mas futuros, mantenimientos inesperados
o correccin de fallas no programadas.
Figura 4. A la izquierda, el esquema de ataque DDoS; a la
derecha, la proteccin de CDN ante DDoS [9] En este caso, tu mejor opcin es transferir
la operacin de los comentarios a una pla-
taforma de terceros, como Facebook [13],
Para mayor informacin, puedes consultar Disqus [14] o Wordpress [15] con Akismet
otros riesgos que puedes evitar con esta [16], o lo que depender de cada proyecto,
tecnologa en [10], [11] o [12]. adems de que se debe considerar la pri-
vacidad de los usuarios al elegir alguno de
Al utilizar una CDN es de suponer que con- estos servicios.
fas en el distribuidor de contenidos; esto
es importante porque este tipo de servicios
puede incluir condiciones por parte de es-
tas empresas, lo que implica la recopilacin Conclusin
de informacin de tu pgina (por ejemplo,
para estadsticas de uso). Estar en un pun- Claramente, esta no es una lista exhaustiva
to intermedio entre el usuario y el servidor de caractersticas de seguridad o de las he-
principal tambin otorga a este tipo de ser- rramientas para atender estas cuestiones.
vicios privilegios muy interesantes: pueden Reconocer posibles amenazas que puedan
permitir a la CDN mostrar publicidad a los afectar a tu aplicacin es un primer paso
usuarios (ads) o modificar el cdigo que se muy importante para evitar estos proble-
enva desde tu pgina sin que tengas nin- mas. Los cuidados y medidas que puedas
gn control sobre el proceso. Si decides adoptar dependern de tu proyecto y de los
utilizar este tipo de servicio, asegrate de usuarios a los que est orientada tu pgina
comprender sus implicaciones e investiga web. Recuerda que la seguridad y privaci-
las opciones disponibles con base en tus dad de la informacin de los usuarios de tu
necesidades especficas, as como consul- pgina estar bajo tu cuidado, al consultar
tar con cuidado los trminos y condiciones tu sitio y posiblemente despus, si almace-
de uso. nas informacin.
31
Cultura de prevencin para TI. Recupera- [11] KeyCDN. (2017). CDN Features | API, Raw
do de: http://revista.seguridad.unam.mx/ Logs, HTTP/2, Free Custom SSL, Real-time
node/2167 Analytics and many more. KeyCDN. Recupe-
rado de: https://www.keycdn.com/features
[2] Daz, S. S.; Ramrez, D. O. (Marzo-abril
2013). Firewall de Aplicacin Web - Parte II. [12] Imperva. (2017). Website Security | Bot
.Seguridad Cultura de prevencin para TI. Re- Filtering | Anti-DDoS | PCI Compliance. Im-
cuperado de: http://revista.seguridad.unam. perva Incapsula. Recuperado de: https://
mx/node/2175 www.incapsula.com/website-security/
[3] OWASP. (30 de junio de 2016). OWASP [13] Facebook for Developers. (s.f.). Plugin
Application Security FAQ - OWASP. OWASP. de comentarios. Facebook for Developers.
Recuperado de: https://www.owasp.org/in- Recuperado de: https://developers.face-
dex.php/OWASP_Application_Security_FA- book.com/docs/plugins/comments/
Q#Browser_Cache
[14] Disqus. (2017). Disqus The #1 way to
[4] Nottingham, M. (6 de mayo de 2013). build your audience. Disqus. Recueprado de:
Caching Tutorial for Web Authors and Web- https://disqus.com/
masters. mnot. Recuperado de: https://www.
mnot.net/cache_docs/ [15] WordPress. (s.f.). Comments in Wor-
dPress. WordPress.ORG. Recuperado de:
[5] Ewer, T. (28 de febrero de 2017). The Top https://codex.wordpress.org/Comments_in_
3 WordPress Caching Plugins Compared and WordPress
Choosing the Best One for Your Site. WPMU
DEV- The WordPress Experts. Recuperado [16] Akismet. (s.f.). Akismet: Spam Protection
de : https://premium.wpmudev.org/blog/ for WordPress. Akismet. Recuperado de: ht-
top-wordpress-caching-plugins/ tps://akismet.com/
[8] Wikipedia. (22 de marzo de 2017). Con- Jess Mauricio Andrade Guzmn
tent delivery network. Wikipedia, The Free
Encyclopedia. Recuperado de: https://en.wi- Maestro en Ciencias (Computacin), egre-
kipedia.org/wiki/Content_delivery_network sado del Posgrado en Ciencia e Ingeniera
de la Computacin, de la Universidad Na-
[9] Sullivan, N. (30 de julio de 2013. DDoS cional Autnoma de Mxico.
Prevention: Protecting The Origin. Cloudflare
UNAM CERT
32
Revista .Seguridad Cultura de prevencin para TI
No.28 / abril- mayo 2017
UNAM CERT
34