Investigadores aconsejan autodefensa cibernética en la nube

Los investigadores de seguridad advierten que las aplicaciones basadas en la Web están aumentando el riesgo de robo de identidad o pérdida de datos personales más que nunca.

La defensa contra el robo de datos, malware y virus en la nube es defensa propia, los investigadores de la Hack In The Box (HITB) conferencia de seguridad, dijo. Pero lograr que las personas cambien la forma en que usan Internet, como qué datos personales publican, no será fácil.

Las personas colocan mucha información personal en la Web, y eso puede usarse para el beneficio financiero de un atacante.. Desde sitios de redes sociales como MySpace y Facebook hasta el servicio de mini blogging Twitter y otros sitios de blog como Wordpress, las personas están poniendo fotos, currículos, diarios personales y otra información en la nube. Algunas personas ni siquiera se molestan en leer la letra pequeña en acuerdos que les permiten acceder a un sitio, aunque algunos acuerdos establecen claramente que todo lo publicado se convierte en propiedad del sitio en sí.

[Más información: cómo eliminar el malware de su PC con Windows]

La pérdida de datos personales por parte de los usuarios de teléfonos Sidekick durante el fin de semana, incluidos contactos, entradas de calendario, fotografías y otra información personal, sirve como otro ejemplo de los riesgos potenciales de confiar en la nube. Danger, la filial de Microsoft que almacena datos de Sidekick, dijo que la interrupción del servicio casi seguramente significa que los datos del usuario se han perdido para siempre.

Acceso a datos personales en la nube desde casi cualquier lugar en una variedad de dispositivos, desde teléfonos inteligentes y computadoras portátiles hasta las PC hogareñas muestran otra vulnerabilidad importante porque otras personas también pueden encontrar esa información.

"Como atacante, debería estar lamiéndose los labios", dijo Haroon Meer, investigador de Sensepost, una compañía de seguridad sudafricana. que se ha centrado en aplicaciones web durante los últimos seis años. "Si se puede acceder a todos los datos desde cualquier lugar, entonces el perímetro desaparece. Hace piratería como piratería en las películas".

Una persona que quiere robar información personal generalmente busca ganancias financieras, dijo Meer, y cada bit de datos pueden encontrar clientes potenciales que los acerquen un paso más a su banco en línea, tarjeta de crédito o cuentas de corretaje.

Primero, pueden encontrar su nombre. Luego, descubren su trabajo y un pequeño perfil suyo en línea que ofrece más información de antecedentes, como la escuela de la que se graduó y el lugar donde nació. Siguen cavando hasta que tengan una cuenta detallada de ti, completa con tu fecha de nacimiento y el apellido de soltera de la madre para esas preguntas de seguridad molestas, y tal vez algunas fotos familiares para una buena medida. Con suficientes datos, podrían hacer tarjetas de identificación falsas y solicitar préstamos bajo su nombre.

El robo de identidad también podría ser un trabajo interno. Los empleados de grandes empresas que alojan servicios de correo electrónico tienen acceso físico a las cuentas de correo electrónico. "¿Cómo sabe que nadie lo está leyendo? ¿Mantiene los correos electrónicos de confirmación y las contraseñas allí? No debería", dijo Meer. "En la nube, las personas confían en su información a sistemas sobre los que no tienen control".

Los fabricantes de navegadores pueden contribuir a que la nube sea más segura para las personas, pero su efectividad está limitada por los hábitos del usuario. Un navegador, por ejemplo, puede escanear una descarga en busca de virus, pero aún le da al usuario la opción de descargar o no. La mayoría de las funciones de seguridad en un navegador son una elección.

Lucas Adamski, jefe de seguridad (eso es lo que dice su tarjeta de visita) en Mozilla, fabricante del popular buscador Firefox, ofreció varios consejos de autodefensa cibernética para los usuarios, comenzando por la advertencia de que las personas dependen demasiado de los firewalls y los programas antivirus.

"No se puede comprar seguridad en una caja", dijo. "La forma de estar lo más seguro posible es sobre el comportamiento del usuario".

Ya hay una buena cantidad de seguridad integrada instalada en los navegadores, dijo. Si recibe una advertencia de no ir a un sitio, no vaya a él. Cuando visite un sitio, asegúrese de que sea el correcto. Son las imágenes y los logotipos, ¿verdad? Es la URL correcta? Verifique antes de proceder con el llenado de su nombre de usuario y contraseña, aconsejó.

Las actualizaciones de software son vitales. "Asegúrese de tener la versión más actualizada de cualquier software que use", dijo. Las actualizaciones casi siempre revisan los agujeros de seguridad. Los programas de software clave como Flash Player y Reader de Adobe Systems son particularmente importantes para mantenerse actualizados porque se utilizan en muchas computadoras y son objetivos principales para los piratas informáticos. También sugirió crear una máquina virtual en su computadora utilizando VMWare como una medida de seguridad.

"Es realmente difícil lograr que las personas cambien sus hábitos de navegación", dijo. La gente quiere navegar por Internet rápidamente, visitar sus sitios favoritos y descargar lo que quiera sin pensar demasiado en la seguridad. "Edúquelos, muévalos, pero no espere que se conviertan en expertos en seguridad".

Los fabricantes de navegadores de Internet tienen mucho cuidado en incorporar la mayor seguridad posible a sus productos y someterlos a pruebas rigurosas.

El equipo de seguridad del navegador Chrome de Google, por ejemplo, lanzará la primera brecha en cualquier actualización importante del software, buscando vulnerabilidades o formas de mejorar la seguridad, dijo Chris Evans, ingeniero de seguridad de la información en Google.

Después del El equipo de seguridad de Chrome da un golpe al software y se vuelve a trabajar para arreglar los agujeros que encontraron, otros equipos de seguridad de Google probarán el producto para ver qué problemas pueden causar. Finalmente, el software se lanza en forma beta, y los investigadores de seguridad privada y otros pueden piratear. Cualquier problema se soluciona antes de que se publique la versión final y luego el equipo de Chrome está preparado para realizar nuevos parches para cualquier otro problema de seguridad que surja.

A pesar de todas las pruebas, los fabricantes de navegadores son solo una parte de la solución de seguridad porque no tienen control sobre el software Web o el comportamiento de navegación del usuario.

La nube es el Salvaje Oeste: abundan los piratas informáticos y los creadores de malware, los phishers buscan contraseñas y los usuarios hacen lo que quieren, navegando y descargando contenido potencialmente peligroso según lo juzgado por los investigadores de seguridad.

Las empresas que desarrollan aplicaciones y servicios en la nube deberán hacer más por la seguridad de la Web. Amazon.com con sus servicios web y Google a medida que avanza con iniciativas, tales como Google Docs, que intentan atraer a las personas a las aplicaciones web y lejos de las aplicaciones informáticas tendrán que trabajar más de cerca con los investigadores de seguridad, dijo Meer.

Y el trabajo de Google sobre la seguridad en el navegador Chrome destaca la razón: las aplicaciones informáticas como Chrome enfrentan un intenso escrutinio de los investigadores de seguridad en toda la Web, mientras que las aplicaciones web no.

"La ingeniería inversa mantiene honestas a las grandes compañías de software. "dijo Meer. "Si ocultan algo en el código del software, tarde o temprano alguien lo encuentra. Con los servicios en la nube, simplemente no lo sabe porque simplemente no podemos verificarlo".

Las aplicaciones en la nube son creadas por una empresa y nadie está buscando en el código o qué tan seguro es, dijo Meer. Las aplicaciones para computadoras son diferentes. Pueden ser destrozados por expertos en seguridad y luego volver a armarse más fuerte para que no haya agujeros de seguridad, dijo.

"Confíe pero verifique", dijo Meer. "Solo porque un hombre no hace mal hoy, no podemos confiar en que no harán ningún mal mañana porque simplemente no podemos verificarlo".