28 abr. 2009

5 equivocaciones que cometen los usuarios navegando en Internet

Podemos instalar los mejores cortafuegos, realizar la actualización de parches religiosamente, y asegurarnos que los anti-virus siempre estén actualizados, pero hay un factor de riesgo en línea que nunca podemos controlar: el usuario. Ya sea que estén descargando contenidos peligrosos, o cayendo presas de una estafa de phishing, el usuario final sigue siendo el riesgo de seguridad más difícil de mitigar en la mayoría de las organizaciones.

"Desde nuestra perspectiva, esta es una de la cosas más dificiles de la cual proteger al usuario final, porque uno intenta protegerlos de sí mismos," dice Matt Watchinski, encargado del equipo de investigación de vulnerabilidades de Soucefire, un proveedor de productos de seguridad de Maryland.

La navegación Web, que realizan muchos usuarios estos días en el lugar de trabajo y con equipos de trabajo, es sólo otro portal para los problemas.

"Este es el nudo de la cuestión de seguridad" dijo Watchinski. "Los de seguridad son responsables de asegurar que uno no pueda hacer cosas con las que uno se pueda dañar, pero el usuario final no quiere tener ningún problema y hacer su trabajo. Cuando se empiezan a cerrar cosas y a apagar ciertas partes de la funcionalidad en las redes, tal como no poder ser capaz de leer archivos Adobe en Internet Explorer, la gente no puede hacer lo que necesita hacer."

Con esa pelea constante en mente, darle a los usuarios la educación sobre lo que están haciendo y porque eso es peligroso, es la estrategia más efectiva. Watchinski nos enseñó algunos de las equivocaciones más comunes de seguridad que cometen los usuarios cuando están navegando por la Web y da consejos sobre como dirigirlos en la dirección correcta (tambien puede revisar 10 configuraciones del navegador IE para una navegación más segura).

Instalar ciegamente controles ActiveX
Cuando navegan con Internet Explorer, a los usuarios a menudo se les pide usar ActiveX para poder ver cierta información.

"Te aparece una ventana emergente que dice instale para ver", dijo Watchinski. "La gente hará eso. En verdad no piensan sobre que consecuencias puede traer. Sólo quieren acceder a esa información."

Pero los controles ActiveX, destaca Watchinski, son en realidad codijo que se ejecuta. De modo que un tipo malo puede generar un control ActiveX, pedirle a uno que lo instale para ver un contenido, y entonces después puede que eso haga algo malicioso. La forma en que los usuarios son atacados tipicamente por un ActiveX es mediante otro sitio Web vulnerable después de haber descargado antes un ActiveX malo (Vea también Porque se intensificarán los ataques ActiveX de Microsoft).

"Uno va a algun sitio grande que usa controles ActiveX y no hay nada malicioso en el sitio, pero tiene una vulnerabilidad," dijo Watchinski. "Uno ha instalado este control ActiveX antes y después en algún momento uno llega a esa página Web vulnerable que usa ese control ActiveX (que descargó antes) y hará algo malo con eso."

¿Cómo pueden ser educados los usuarios sobre los ActiveX? Watchinski aconseja decirles que los ActiveX son como instalar cualquier otra aplicación en una computadora.

"Cada vez que se instala uno, se debe pensar en que se está haciendo exactamente. Uno está instalando una nueva pieza de software que podría ser vulnerable a algo."

Watchinski agregó también que la última versión del IE tiene la capacidad de bloquear controles a un sitio Web específico. Por ejemplo, si un usuario recibe un pedido de un ActiveX de Google, este funcionará sólo en Google.com. Los administradores deben implementar esto en sus controles de políticas de grupo de modo que los usuarios sean forzados a esa situación, dijo.

Confiar en malas certificaciones SSL
"Cuando uno recibe ese aviso que dice 'certificado SSL malo', la mayoría de la gente simplemente presiona 'agregar la excepción' y continuan con lo suyo," dijo Watchinski. "Pienso que la gente no comprende realmente que significa un certificado SSL malo."

¿Qué significa? Que uno va a un sitio que dice ser algo que no es, según Watchinski.

"Tal vez uno hace clic en un vínculo en Google y piensa que lo va a llevar a otra dirección de Google. Pero el tipo malo lo cambio por: http://www.google.chicomalo.com/. Pero uno no está realmente prestando atención y cuando aparece ese aviso de SSL malo, simplemente dice OK. Y entonces uno no está verdaderamente donde uno suponía estar." (Vea otras técnicas de estafa: Ingeniería Social: 8 Tácticas Comunes)

De ahora en más, dijo Watchinski, aconseje a los usuarios a que miren cuidadosamente la próxima vez que les surja un aviso de certificado SSL malo.

"Los usuarios tienen la mentalidad de quiero mi contenido ahora," dijo Watchinski. "Pero deberían estar viendo que avisos aparecen para asegurarse que el vínculo los lleva a donde desean ir."

Permitir contenido no firmado
En el siguiente escenario, Watchinski lo describe así:

"Uno está navegando la Web, obtiene un archivo, y este dice que necesita la aplicación XYZ para verlo. Le insta a uno a descargar esa aplicación de tal sitio. Uno hace clic en 'instalar la aplicación'. Luego algo dice 'Contenido no firmado. Microsoft no puede verificar de donde proviene esta aplicacion o quien la hizo.'

Más allá de la advertencia, la gente hace clic y dice OK, dijo Watchinski. No es una buena idea.

"Si uno es socio de Microsoft y hace aplicaciones para Windows, uno tiene una llave para instalar en Windows. Si a uno le aparece un aviso que dice que el contenido no está firmado, uno debería pensar de donde vino esa aplicación que está instalando."

En lugar de eso, aconseja Watchinski, aconseje a los usuarios a ir a downloads.com, un sitio donde los usuarios pueden aprovechar la ventaja de un servicio gratuito para obtener descargas de una forma más segura. Downloads.com escanea las aplicaciones en busca de virus y a menudo uno encuentra las aplicaciones que está buscando.

Permitir que la curiosisdad tome lo mejor de uno
Hasta el momento prácticamente todos han visto uno de estos. En Facebook, puede haber un vínculo que le pide 'Mire este video sobre ud.' En el correo electrónico, podría ser un mensaje de advertencia que su cuenta bancaria ha sido comprometida y que contenga un vínculo malicioso en donde se le pide ingresar su número de cuenta para verificación. Estas estafas son comunes, y han estado circulando por años, en la Web. Entonces, ¿porqué la gente sigue cayendo presa de ellas? La curiosidad sigue tomando lo mejor de nosotros, dijo Watchinski. Él aconseja a los usuarios: Resista la tentación.

"Si le piden algo que no pidio de eBay o un sitio de red social, sencillamente no es un buen lugar para ir." (Vea también: 9 Trucos sucios: Los anzuelos favoritas de la ingeniería social)

Hagale saber a los usuarios que todo lo que uno pueda recibir que no era esperado, ya sea que esté en un mensaje de correo elecrónico o un mensaje en Facebook, debe elevar el nivel de sospecha. Incluso si parece ser de un amigo, podría no serlo. Las comunicaciones no solicitadas deben ser verificadas. Aconseje a los usuarios a comunicarse con las supuestas fuentes por separado en lugar de hacer clic en cualquier vínculo o de suministrar información sensible.

Tener una mentalidad de "sólo hazlo"
La gente está ocupada. Cuando se enfrentan con problemas, solo quieren que su PC funcione, así que hace clic en lo que sea con tal que la haga funcionar, dijo Watchinski.

Pero los usuarios necesitan pensar en lo que están haciendo para ver algo en linea, dijo. Aconsejeles considerar si es o no verdaderamente importante justo ahora o si puede esperar de modo de hacerse tiempo para descargar o ver algo de forma segura.

Los usuarios deben buscar una forma mejor, en lugar de hacer clic en si a cada excepción de seguridad que aparezca," dijo Watchinski. "Deben asumir alguna responsabilidad por el sistema que tienen."

Traducción exclusiva de Segu-info: Raúl Batista
Autor: Joan Goodchild
Fuente: Networkworld

4 comentarios:

  1. Hola, la información de seguridad esta muy buen esto a nivel de internet, excelente.
    [email protected]

    ResponderEliminar
  2. De lujo...esta muy bueno.

    ResponderEliminar
  3. Gracias. Lo compartirè con mis colegas. Muy interesante.

    ResponderEliminar
  4. Les invito a ver el siguiente enlace considero que esta interesante:
    http://www.auditor.site90.net/A06MedidPrevent.htm

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!