EL PRIMER HACKER DE LA

HISTORIA
NEVIL MASKELINE
 El telégrafo inalámbrico de Marconi
En 1903 John Ambroise Fleming
quiso hacer una demostración del
telégrafo de larga distancia que
había inventado su amigo Marconi,
transmitiendo un mensaje desde la
Royal Institution of Great Britain en
Londres, hasta Cornwall, lugar
donde precisamente se encontraba
Marconi.
 Pero en la demostración se coló un invitado inesperado
No lejos del lugar, John Nevil Maskelyne, un
ilusionista Londinense, instaló una antena de 50
metros conectada a un dispositivo morse, con el
cual interceptó la frecuencia del dispositivo que
estaba utilizando Fleming y envió un mensaje en
el cual dejaba en evidencia los evidentes fallos de
seguridad del invento.
 Marconi y Fleming no le vieron la gracia al asunto
Marconi, acusó a Maskelyne en el
diario The Times, de vandalismo
científico, este respondió que su
intención era poner en evidencia la
falta de seguridad del invento, aunque
Marconi afirmaba que la transmisión
sólo podía tener lugar entre dispositivos conectados a la misma frecuencia.

En realidad Maskelyne estaba haciendo un favor a Marconi, aunque este no

fuera consciente de ellos y sin saberlo se convirtió en el primer Hacker de la
historia.
 Jasper, el nieto de Nevil hackeo la II Guerra Mundial
Jasper, siguió la tradición familiar que
iniciara su abuelo y continuara su
padre, así también se hizo ilusionista.
Cuando se inició el conflicto mundial,
intentó alistarse pero le rechazaron por
su edad. Finalmente le admitieron
en el real cuerpo de Ingenieros Y pronto recibiría el destino que lo convertiría
en una leyenda, el Norte de África, llegando el 10 de Marzo de 1941 a El Cairo,
siendo asignado al poco tiempo como oficial al cargo de la Sección
Experimental de Camuflaje.
Camuflaje llamado escudo solar
Ejército simulado
Camuflaje dazzle
¿Y esto es qué tiene que ver con la seguridad?
LAS SIETE LLAVES DEL REINO

DAN KAMINSKY
 Un científico de alto nivel experto en seguridad
En julio de 2008, Kaminsky descubrió un error
grave en el protocolo del Sistema de nombres de
dominio (DNS). El fallo podría permitir a los
atacantes realizar fácilmente ataques de
envenenamiento de caché en la mayoría de los
servidores de nombres. Tras hacer varias
demostraciones prácticas en las que se incluía la
interceptación de correos electrónicos finalmente
desarrolló un parche para solucionar el problema.
Cazador cazado
En 2009 justo antes de dar una
conferencia de seguridad, un grupo de
hackers (que le estaban esperando desde
hacía tiempo), publicaron en un sitio
web, correos electrónicos e información
de servidores web tanto de Dan
Kaminsky como de otros expertos
(incluído Kevin Mitnick).

Por si fuera poco revelaron sus

contraseñas y configuraciones.
¿Pero cómo fueron capaces de robar sus datos?
¿Eran mejores que el mejor?
¿Fue Kaminsky traicionado por alguien?
Kaminsky cometió dos errores:

1. Pecó de exceso de confianza.

2. Tenía un método para recordar sus claves.

El sistema usuario-contraseña es inseguro
El sistema tradicional de identificación de usuarios ha demostrado ser débil
por múltiples razones entre las que podemos destacar:

- Los usuarios escogen claves débiles, fáciles de recordar.

- Las claves difíciles de recordar son almacenadas de forma insegura.
- Los usuarios suelen repetir sus claves en distintos servicios de internet.
- El sistema es susceptible a ataques Man in the middle.
- Las claves en algunos casos se transmiten de forma insegura por la red.
- Algunos sistemas de cifrado (SHA-1) han sido superados.
Sistema de autenticación de doble factor (2FA)
Ventajas de 2FA
- Añade un grado más de seguridad (un tercer factor temporal).
- Elimina el inconveniente de las claves débiles o repetitivas.
- No es débil a ataques Man in the middle.
- Aunque parte de la clave sea interceptada el tercer factor es más difícil de
interceptar ya que suele estar en otro dispositivo.

Inconvenientes de 2FA
- Es incómodo de usar (usabilidad baja).
- Todavía es poco conocido.
- No elude el factor humano. Kevin Mitnick mediante ingeniería social
consiguió acceder a una red protegida mediante acceso 2FA.
PERO SIN DUDA UN SISTEMA DE AUTENTICACIÓN DE DOBLE
FACTOR ES MUCHO MÁS RECOMENDABLE QUE OTRO
BASADO SOLAMENTE EN NOMBRE DE USUARIO Y
CONTRASEÑA.
Recomendaciones
- Siempre que el sistema lo permita utilizar la doble autenticación.
- Si no es posible esto último, utilizar claves complejas que incluyan
números, letras mayúsculas, minúsculas y símbolos.
- No repetir contraseñas.
- No apuntar las contraseñas en papel ni almacenarlos en el ordenador en
ficheros sin encriptar.
- Si utilizamos reglas mnemotécnicas procurar que no sean fáciles de
averiguar.
- Las claves basadas en frases son más fáciles de recordar y difíciles de
romper mediante fuerza bruta, por ejemplo: esta-eS*Mi-1era cl4vE
- Recomendación muy personal, utilizar LastPass con factor de doble
autenticación y una clave muy compleja.
EL SER HUMANO, EL ESLABÓN MÁS DÉBIL DE LA CADENA
LAS CONTRASEÑAS MÁS DÉBILES DE ASHLEY MADISON
El verdadero peligro del caso Ashley Madison
- Personas que se identificaban desde redes corporativas
con emails corporativos.
- Personas que se registraban desde sus correos
personales de uso cotidiano.
- De nuevo el uso repetido de claves.
Recomendaciones
- No usar correos corporativos (o correos personales de uso cotidiano)
para conectarse a según qué páginas.
- De nuevo… no repetir contraseñas.
- Si queremos ocultar una actividad determinada…¡No debemos
relacionarla con nuestro perfil real!
 CONAN MOBILE

UNA APLICACIÓN DE SEGURIDAD PARA SMARTPHONES

INCIBE - Instituto Nacional de Ciberseguridad

El Instituto Nacional de Ciberseguridad de España (INCIBE), depende del Ministerio

de Industria, Energía y Turismo (MINETUR) a través de la Secretaría de Estado de
Telecomunicaciones y para la Sociedad de la Información (SETSI), es la entidad de
referencia para el desarrollo de la ciberseguridad y de la confianza digital de los
ciudadanos, la red académica y de investigación española (RedIRIS) y las empresas,
especialmente para sectores estratégicos.
INCIBE - SERVICIOS QUE OFRECE
- Sitio web: [Link]
- Mantiene blogs y canales de noticias con información sobre ciberseguridad
enfocados al internauta y a las empresas.
- Elabora guías y estudios sobre ciberseguridad para empresas, ciudadanos y
profesionales de la ciberseguridad.
- A través del CERTSI (equipo de respuesta ante emergencias informáticas de
seguridad e industria) apoya al Centro Nacional para la Protección de las
Infraestructuras Críticas en la gestión de incidentes y a RedIRIS.
- Mantiene el sitio web OSI (Oficina de seguridad para el Internauta) [Link]
- Ofrece acceso a herramientas de protección y eliminación de malware.
- Mantiene un servicio AntiBotnet.
EJEMPLO DE RED INSEGURA: ESA RED WIFI AMIGABLE
Un ejecutivo de una empresa de automoción necesita consultar su correo corporativo,
por alguna razón en la estación de tren donde se encuentra la cobertura 4G no es
buena, sin embargo al abrir su portátil comprueba que hay una red wifi disponible con
el nombre FREE-WIFI-ESTACION-AVE.

¡Qué suerte ha tenido! Nuestro amigo se conecta a la red, pero antes de comenzar a
navegar aparece en su browser una página que le solicita hacer clic en un botón para
empezar a navegar.

Días después, desde el departamento de informática le preguntan porqué ha realizado

una descarga masiva de archivos de diferentes carpetas de su servidor, que ha hecho
desde su portátil y el posterior envío de estos a una dirección IP desconocida. Él dice
no saber nada, sin embargo tras varios minutos de charla, se da cuenta de su error.
UN REGALO ENVENENADO
Alguien, ha creado un punto de acceso libre en su
móvil, ha engañado al cándido viajero ofreciéndole
acceso gratuito, pero primero, a través de un falso
portal de bienvenida, instala un exploit en el
dispositivo de la víctima, lo cual le permitirá espiar
tranquila y cómodamente todas las
comunicaciones, quizás durante días o semanas,
hasta que consiga algo que merezca la pena y por
lo que seguro, alguien estará dispuesto a pagar una
buena suma.
Recomendaciones
- Jamás debemos conectarnos a una red desconocida, pero incluso una red
conocida y protegida con contraseña, puede ser insegura. La seguridad no
depende tanto de la red a la que nos conectamos, como de qué hacemos
en esta red. Si nos conectamos a sitios web protegidos mediante
certificado de seguridad, nuestras comunicaciones estarán cifradas y por
lo tanto serán seguras, si hablamos por whatsapp, esta comunicación
también será segura, a lo sumo el hacker podrá averiguar el número de
teléfono desde el cual nos estamos comunicando.
- Por tanto no debemos navegar por sitios web no encriptados cuando
naveguemos por redes públicas.
- Debemos asegurarnos de que nuestro dispositivo no comparte archivos o
carpetas sin contraseña en redes públicas y… usemos un cortafuegos.
BESTIARIO

TIPOS DE MALWARE
Bestiario
- Virus Clásico: propagación lenta, inyectan código malicioso.
- Gusanos de red: se distribuyen por la red usando recursos del anfitrión
(libreta direcciones, ip red local etc).
- Troyanos.
- Spyware.
- Phising.
- Adware.
- Riskware: programas administración remota, marcadores.
- Rootkit: permanece oculto obteniendo acceso al sistema, modificando
librerías.
¿CÓMO NOS ATACAN?

LA METODOLOGÍA DE LOS MALVADOS

Pequeñas y medianas empresas
Las pequeñas y medianas empresas son infectadas por descuidos y por no
disponer de medidas eficaces de protección ni políticas de seguridad.

Grandes empresas y administración pública

Estas son atacadas por muy diversas razones que van desde el reto personal
de equipos de hackers, hasta el intento de lucro o la obtención de
información secreta jugosa que vender a muy alto precio en el mercado negro.

TODOS EN GENERAL PUEDEN SER VÍCTIMAS DEL INTENTO DE

EXTORSIÓN QUE ÚLTIMAMENTE SE HA CONVERTIDO EN
PANDEMIA
¿Cómo consiguen infectarnos?
Y EL PRINCIPAL FOCO DE PELIGRO E INFECCIÓN
El factor humano… usted
EL FACTOR HUMANO EN EL DESARROLLO DE PROGRAMAS
Un viejo error informático, se viene reproduciendo de generación en
generación, es conocido como BUFFER OVERFLOW.
Este error, se ha ido solventando (mediante revisiones de los lenguajes de
programación) pero inevitablemente, de vez en cuando se vuelve a producir,
la última vez que se detectó fue… en 2014.
El error fue descubierto en la última revisión de OpenSSL, que es una librería
ampliamente utilizada en las comunicaciones seguras (protocolo https). El
bug es conocido como heartbleed y su nombre se debe a que al utilizarse un
mecanismo llamado heartbeat (latido), un atacante puede provocar el buffer
overflow de la cadena de comunicación y así leer hasta 64 Kb de información
por latido, así la información protegida por los métodos de cifrado SSL/TLS
pueda ser robada, cualquiera pueda leer la memoria de los sistemas
protegidos por la versión de OpenSSL que fue afectada.
UNA “ANÉCDOTA” EN LA CARRERA ESPACIAL
Margaret Hamilton: Fue directora de la
División de Ingeniería de Software del
Laboratorio de Instrumentación del MIT, donde
desarrolló software de navegación "on-board"
para el Programa Espacial Apolo.

Detectó un error humano en la colocación

del radar Rendez-vous en el módulo lunar
del Apollo que literalmente inundaba de
datos erróneos la memoria del ordenador
de la nave, pero Margaret se anticipó a este
error y su buen hacer permitió el alunizaje.
¿Y ESTA ANÉCDOTA VIENE A CUENTO DE?
Viene a cuento de explicar que la principal medida de seguridad es el
análisis y prevención de los riesgos.

En pocas palabras las empresas deben contar con un plan profesional de

actuación para garantizar el acceso, disponibilidad, autenticidad,
confidencialidad, trazabilidad y conservación de los datos.

Para ello deben contar con un arma infalible:

INVERTIR EN SEGURIDAD
SEGURIDAD ES SEGURIDAD NO ES
Contar con sistemas operativos Instalar sistemas operativos
con licencia y actualizados. pirateados de origen incierto.

Contar con software adquirido de Instalar software pirata

forma legal. activándolo con cracks.
Instalar programas open source Instalar programas “gratuitos” sin
alternativos. conocer el “precio real”.
Tener en todos los equipos suites Tener en todos los equipos
de seguridad. antivirus gratuitos.
Automatizar las copias de No hacer copias de seguridad o
seguridad. realizarlas de forma desordenada.
SEGURIDAD ES SEGURIDAD NO ES
Tener cuentas de correo eficaces Darse de alta en cualquier página
con filtros anti-spam. con el correo corporativo.

Contar con cortafuegos y sistemas Utilizar herramientas gratuitas

de identificación de usuarios. para compartir ficheros.
Navegar desde fuera de la oficina Navegar “a lo loco” desde nuestro
a través de una VPN. dispositivo en cualquier wifi pública.

Tener sistemas propios de copia Hacer copias de seguridad en discos

de seguridad con redundancia. portables, memorias usb, etc.

Cada trabajador solamente accede Cualquiera de forma anónima

a aquellos ficheros que necesita. puede acceder a todos los datos.
Un estudio global de investigación independiente realizado
por Vanson Bourne demuestra un fuerte vínculo entre el
desempeño financiero y la capacidad para hacer frente a
crecientes amenazas cibernéticas con estrategias claras en
ciberseguridad.
GRACIAS POR SU ATENCIÓN Y...
ACTUALICEN WINDOWS.