Política Nacional de Ciberseguridad en Chile

Hablamos sobre la Política Nacional de Ciberseguridad en Chile, y te mostramos algunos peligros de internet, que seguramente, no sabías.

Después de tres años de trabajo, se aprobó la Política Nacional de Ciberseguridad, que es el primer instrumento del Estado de Chile que tiene por objetivo resguardar la seguridad de las personas y de sus derechos en el ciberespacio, estableciendo cinco objetivos estratégicos y un conjunto de medidas que se deben adoptar para contar con un ciberespacio libre, abierto, seguro y resiliente. La Política Nacional de Ciberseguridad tiene en consideración que Chile presenta una mayores tasas de penetración de internet en América Latina, con más de un 70 % de su población conectada, lo que permite a miles de personas, acceder desde sus casas, trabajos, y equipos móviles a cualquier sitio web, de cualquier parte del mundo. Al incrementarse esta tasa de penetración en internet, también estamos expuestos a sus peligros, que muchas veces ignoramos.

Tras la implementación de esta política, Chile sube al primer lugar de América latina en ranking internacional de ciberseguridad, escalando desde el puesto número 54, ranking por preparado por la e-Governance Academy Foundation de Estonia, que mide la preparación de los países para prevenir amenazas a la ciberseguridad y la gestión de incidentes.

¿Y qué hay sobre los peligros de una red, y de internet?

Cuando ingresamos a una página web de internet, dejamos automáticamente nuestra huella y somos rastreables. Estar conectados en una red de computadores o redes wi fi free, puede parecer menos peligroso de lo que realmente es, y esto es porque, evidentemente, no hay una interfaz gráfica que diga: «Hola, te estamos robando la información» «Hola, estamos almacenando tus contraseñas» «Hola, sé que no tienes antivirus».

Hablaremos sobre algunos peligros que, probablemente no conocías, y esperamos que te sean de ayuda.

Ataques físicos

Para comenzar con la parte física, decir que esta no conforma ni un 10% de la parte total de acción de un ‘hacker’,es poco. La razón es simple, es muy difícil llegar hasta el sistema que se desea tratar, por lo que hacerlo mediante las redes es mucho más sencillo, pese a la dificultad que puede llegar a suponer en conocimientos.
Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está manejando o almacenando físicamente, como ejemplos de este tipo de vulnerabilidad se distinguen:

• 1. Instalaciones inadecuadas del espacio de trabajo
• 2. Ausencia de recursos para el combate a incendios
• 3. Disposición desorganizada de cables de energía y de red
• 4. Ausencia de identificación de personas y de locales, etc.

El ataque físico como hemos visto durante estos temas puede realizarse de varias formas, por ello vamos a nombrar las más utilizadas.

Mediante dispositivos externos.

La simple inserción de un USB puede suponer que el atacante tenga acceso total al sistema de la víctima. La solución ante esto no es tan fácil como puede parecer, ya que es necesario revisar el registro del sistema para ver los pasos seguidos de la unidad conectada. Y al seguir el rastro poder eliminar la aplicación de forma segura. Los mismo ocurre con los discos CD/DVD, ya que su finalidad es idéntica.

Thrashing. Este método puede parecer muy simple y poco efectivo a corto plazo, pero puede llegar el momento de que surja la ocasión. Hablamos de oportunidad porque el objetivo del Thrashing es esperar a que la víctima anote en un papel por ejemplo algún dato personal como claves, para después recoger este o esperar a que lo tire por algún motivo y entonces utilizar esta información. Esta es la razón por la que no se considera una acción efectiva, pero si puede ser que a largo plazo exista un beneficio que permite entrar de forma directa y física al ordenador en cuestión.
Acceso a cableado o conexiones relacionadas con el sistema víctima. Puede que nunca exista un acceso directo con el ordenador que se necesite, pero siempre se puede buscar un camino alternativo y este puede estar en la conexión a la red por cable o mediante cables de luz que permitan algún paso de información. Esto se debe a que las redes permiten el traspaso de información de cualquier tipo, entre ellos software por lo que sí se puede localizar la dirección física de un equipo, entonces se le puede enviar un archivo desde cualquier punto de la red.

Ingeniería social

Hablar de la importancia de la ingeniería social supone entrar en un contexto, que por lo general, pertenece a métodos de timo o engaño para obtener información. No necesariamente debe ser así, pero si es la acción que más predomina dentro de las redes tecnológicas.
Si nos adentramos un paso más hacia el interior de la ingeniería social, existen varios métodos que se pueden seguir y cada uno cuenta con características similares pero diferentes en cuanto a objetivos.

Uno de ellos es el denominado ‘Phishing’, este se ha convertido en uno de los más utilizados debido a que es muy fácil de ejecutar y tremendamente efectivo para la gente que navega por la red y no tiene mucha experiencia. No obstante, a poco que la víctima tenga una pequeña base de conocimiento, es muy fácil de detectar por su parte.

Principalmente se hace uso del correo electrónico para enviar una solicitud o aviso de que es necesario, proponiendo el ejemplo de la plataforma Facebook entre otras muchas, de que la víctima debe de ingresar los datos de su cuenta en un enlace totalmente falso. Este enlace se dirige a una página la cual es una copia idéntica a la de Facebook oficial, y cuando esta persona introduce sus credenciales ya están en poder del atacante para que este pueda hacer uso de la información personal y contenidos de la víctima.

Por otro lado tenemos el ‘Baiting’, o como su traducción libre dice, poner el cebo. Este es fácil de explicar y entender, además de ser el método que más fácil sea de detectar posiblemente. Consiste en dejar un dispositivo USB o un CD/DVD en algún lugar con un virus o spyware en su interior, esperando a que alguien lo recoja y lo inserte en su sistema. A partir de este momento, podemos estar infectados y con más razón si no tenemos un antivirus actualizado para prevenir las amenazas que pueda contener este dispositivo.

Otro método a destacar es el llamado ‘Vishing’. Este es muy similar al ‘phishing’ ya que la finalidad es prácticamente la misma, obtener información personal de alguien para poder entrar en un sistema informático o directamente robar cuenta bancarias entre otras.

Normalmente se utilizan llamadas telefónicas automatizadas, en las cuales se pide a la víctima que aporte una serie de datos que después serán grabados y utilizados por el atacante. También se puede hacer uso del correo pidiendo al usuario que ingrese sus datos bancarios en un enlace ya que su cuenta será cerrada pronto si no lo hace. A primera vista es una práctica engañosa y que no presenta una gran amenaza si ya conoces algo del tema, pero durante mucho tiempo y especialmente desde los inicios de Internet, se ha realizado con varios casos de estafa bastante importantes que han sido los que nos han ayudado a estar más alerta frente a estos casos.

Para finalizar este artículos, y como empresa de servicios de Datacenter, preocupados en un 100% por la seguridad en internet, dejamos el link para revisar el sitio oficial de ciberseguridad del Gobierno de Chile https://www.ciberseguridad.gob.cl, y el sitio web de consejos para tomar conciencia de los peligros de internet https://www.concienciadigital.gob.cl