Hace unas semanas os hablaba de lo qué era el pentesting , y hace unos días trataba el tema de la seguridad de la información y algunas herramientas para empezar a recopilar información de un objetivo.


Hoy voy a dejaros una serie de mitos relacionados con la seguridad informática que aunque algunos parezcan más que obvios, aún hay una gran cantidad de gente que los sigue tomando como guía a seguir, cuando lo mejor es conocerlos e intentar evitarlos en la medida de lo posible.

8 Mitos de la seguridad informática

Puedes asegurar completamente un entorno de red o un pc contra cualquier ataque.


Dada la cantidad de diferentes formas de ataques existentes hoy día, es prácticamente imposible asegurar ni si quiera un solo equipo por completo . Dado que gran parte de los métodos de intrusión que se continúan usando usan el “factor humano” como puerta de entrada, podemos hacernos una idea de por dónde tenemos que empezar a revisar la seguridad de nuestra información.

¿Quién iba a querer atacar mi equipo?


Nadie quiere atacar tu equipo. No tiene por qué haber una persona que quiera atacarnos directamente o intencionadamente. Podemos ser víctimas de un ataque masivo por parte de equipos “zombie” , aquellos de los que previamente se han hecho con el control y les han dejado programado un script para que vaya atacando aleatoriamente a diferentes ip’s o direcciones de mail o web, o bien se ha pasado un listado con objetivos predefinidos.

No obstante, algunas de las razones que más he oído a la hora de preguntar por qué alguien no tenía un antivirus activo, actualizado o si quiera instalado, son: “ ¿y qué me van a quitar o a ver? ”, “Si sólo tengo fotos de perritos”, “pues como no me quiten los trabajos de la universidad” o “yo sólo lo tengo para ver películas”.

Sea cual sea el motivo siempre podremos llegar a ser parte de una lista de “pc’s zombie” que se use con fines maliciosos y en caso de realizarse alguna investigación y acabar inculpados, no podríamos defendernos, porque las acciones que se realicen desde nuestra red o equipo, son de nuestra responsabilidad.

Es posible defenderte de todo programa no deseado y malware.


Como he comentado antes, mientras el factor humano esté de por medio, esta afirmación seguirá siendo eso, un mito.

Podemos tener instalados el mejor antimalware posible , el último antivirus actualizado, un antitroyano que nos haya costado una cifra… que como algún usuario quiera ver una página que esté infectada y le pida que desactive por un momento estos programas… todas las medidas de seguridad se han venido abajo en un momento.

Esto es muy frecuente a la hora de instalar software ilegal , donde los activadores o generadores de clave no cuentan con firma de verificación y casi siempre son detectados como malware. Pero como hay que instalar dicho software (en lugar de buscar alternativas open source ¬¬) no nos queda otra de desactivar nuestra línea de seguridad.

Los Firewall son la solución definitiva a los ataques externos.


Nada más lejos de la realidad, un buen firewall sí que nos asegura que las intrusiones se verán drásticamente reducidas , pero existen multitud de procesos que se saltarán esta barrera muy fácilmente.

VPN, SSH, UFBP son algunos protocolos de comunicación que bien pueden ser usados para nuestro propio uso remoto de la máquina, bien pueden ser la puerta de entrada de otros tantos atacantes.

Y es extraño que sean muy pocas las personas que se dejan estos protocolos para su uso, sin cambiar el puerto predefinido por donde escucharán dichas aplicaciones.

Con la seguridad por defecto de los bloqueo de sesión y contraseñas no necesitamos securizar físicamente los equipos.


Si hemos decidido que nuestra información es tan valiosa como para no conectar nuestro equipo a internet, no debemos olvidar que el clásico acceso físico al dispositivo es otro riesgo a evitar.

No debemos quedarnos tranquilos al establecer una contraseña robusta , o incluso una doble contraseña (como por ejemplo bios + sesión de sistema), ya que una persona con acceso físico al equipo puede fácilmente burlar esta combinación.

La contraseña de la bios desaparecerá si resetea la configuración de la placa base (se tardan 5 segundos en cambiar de pin el jumper que realiza esta acción), y durante el arranque del sistema podría ejecutar un volcado de la memoria RAM del equipo de donde se puede sacar el hash de la contraseña, lo que con otra herramienta nos dará la misma en texto plano.

Las aplicaciones del lado del cliente hacen que el servidor requiera menos seguridad.


Totalmente falso, ya que a más clientes más posibilidades hay de que lleguen al servidor datos falseados por intermediarios o por la misma aplicación cliente.

Los administradores del servidor no tienen control sobre los equipos donde está instalado su cliente, y esta situación hace que tengan que estar incluso más alerta que nunca . No sabe qué información le va a llegar al servidor, y alguno de los paquetes entrantes podría ser un autoejecutable que reenviase toda la información contenida a otra dirección, o peor aún, que tras haberla enviado la borre del servidor donde se encuentra.

Un ejemplo reciente lo tenemos en la web Ashley Madison, donde mediante una inyección de código se han obtenido todo tipo de datos alojados en sus servidores (Usuarios, contraseñas, datos personales, etc…).

El cracking de contraseñas es la mayor amenaza.


No es necesario que se realice un proceso de cracking para obtener una contraseña, basta con esperar que dicha contraseña sea enviada encriptada o no para que un atacante que esté escuchando en nuestra red se haga con ella sin necesidad de realizar ataques por fuerza bruta o diccionarios.

Y como comentaba antes, un ataque físico al equipo solucionará el problema de acceso a la contraseña si el equipo no está conectado a la red ;).

La seguridad total de un equipo o sistema es la mayor prioridad en todos los casos.


Parece algo obvio, pero no es así. Las empresas muchas veces por las prisas de empezar con la actividad a desempeñar, dejan ciertas tareas para después , lo que conlleva que más temprano que tarde se creen ciertos agujeros en sus medidas de seguridad.

Por ejemplo, si se empieza a trabajar con un sistema inseguro que más adelante se implementará; llegado ese día casi seguro que habría que parar la producción por la configuración de estas medidas. Por no decir que se presentarán casi seguro, errores de acceso a recursos compartidos, problemas de conectividad, caídas en el servicio… Por no hablar de la gran posibilidad de ser atacados o sufrir pérdidas de información.

Una larga lista de inconvenientes que nos hacen pensar que más nos hubiese interesado esperado antes de empezar sin implementar la seguridad.

Como se puede deducir de todo esto, lo más eficaz para reducir las intrusiones a nuestros sistemas y equipos es seguir unos cuantos consejos :

  • Nunca dejar las contraseñas por defecto.
  • Nunca usar la misma contraseña para más de un servicio o cuenta.
  • Siempre intentar cambiar las contraseñas cada dos o tres meses.
  • Leer muy bien y detenidamente qué es lo que estamos instalando.
  • Mantener nuestras medidas de seguridad (antivirus, antimalware, etc…) actualizadas e intentar desactivarlas lo menos posible.
  • Si vamos a usar un firewall, pasad un buen rato configurándolo a conciencia, cambiando los puertos estándar de los servicios que vayamos a usar por otros propios y filtrad al máximo las conexiones entrantes.
  • Mantened siempre vuestros equipos a buen recaudo, el acceso físico a los mismos es tan o más peligroso que un acceso remoto.
  • Nunca menospreciéis la información que tenéis, hay gente de todo tipo por ahí fuera ¬.¬

Me gustaría acabar esta entrada con una cita con la que me he topado ya un par de veces navegando y que considero que viene al hilo de lo aquí tratado dado el escepticismo que genera este tema.

“If you want total security go to prison. there you are fed, clothed, given medical care and so on. the only thing lacking... is freedom”

Dwight D. Eisenhower

“Si queréis seguridad total id a la cárcel. Allí seréis alimentados, vestidos, recibiréis cuidados médicos, etc. Lo único que os faltará… será libertad”. Dwight D. Eisenhower



Espero que toda esta información os sea de ayuda y utilidad, y recordad suscribiros, seguirnos en las redes sociales y echar un vistazo al catálogo de cursos que hay previstos ;)!