Seguridad de la Información en Empresas Tecnológicas

Clase 5 de 15 • Guía para Aprender Seguridad Informática

Resumen

La seguridad de la información es el conjunto de tácticas y medidas preventivas para resguardar información y datos frente a los peligros de Internet. Existen 3 principios fundamentales de este campo que garantizan un entorno en seguro.

Confidencialidad: la confidencialidad es que solamente las personas autorizadas reciban algún tipo de información.
Disponibilidad: la disponibilidad es que la información se encuentre lista para cuando se deba utilizar.
Integridad: La integridad es asegurar que los datos sean exactos, libres de alteraciones, perdidas o destrucción, por su transporte o almacenamiento.

Caso de seguridad de la información

Un caso muy interesante acerca de la seguridad de la información es el de la compañía Apple al momento de anunciar el sistema iOS 14. Lastimosamente, uno de sus empleados vendió el sistema operativo a unos hackers antes del lanzamiento.

Contribución creada con los aportes de: Danilo Herrera.

Arles A. Pinzon Molina

student•

🛡 Seguridad de la información: Medidas para resguardar y proteger la información buscando mantener la confidencialidad 🤐, la disponibilidad 👨🏽‍💻 e integridad de los datos 👍.

esteban munoz

student•

Excelente ,gracias

Benjamin Núñez Sanza

student•

Las siglas de "CIA" de Tríada CIA me ayudaron a recordar fácilmente eso :D

Ariel Jacob

student•

Casos de filtración de datos de Facebook:

Filtración en foro de la darkweb de datos de 533 millones de usuarios de Facebook en 2021. Mucho de esta filtración era de la filtración de 2019, solamente que ahora está disponible de forma pública.
Empresa de medios mexicana Cultura Colectiva, 146 gigabytes y contiene más de 540 millones de registros que detallan comentarios, me gusta, reacciones, nombres de cuentas, ID de FB y más https://www.upguard.com/breaches/facebook-user-data-leak
una copia de seguridad separada de una aplicación integrada en Facebook titulada "At the Pool", de un fabricante de aplicaciones que ya no está operativo, expuesta a la Internet pública a través de un bucket de Amazon S3. Esta copia de seguridad de la base de datos contenía columnas para fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb + checkins, fb_interests, contraseña y más. Las contraseñas son presumiblemente para la aplicación "At the Pool" en lugar de para la cuenta de Facebook del usuario, pero pondrían en riesgo a los usuarios que hayan reutilizado la misma contraseña en todas las cuentas. Contiene contraseñas de texto plano (es decir, sin protección) para 22.000 usuarios. Lo peor de todo es que At the Pool dejó de funcionar en 2014, pero esa información pudo filtrarse años después.

Según UpGuard, se pusieron en contacto tanto con 'Cultura Colectiva' como con 'At the Pool' para informar de los riesgos de seguridad de estas bases de datos expuestas, pero nunca tuvieron respuesta.

Según Facebook, ambas bases de datos ya han sido eliminadas y hasta el momento no hay evidencia de que los datos hayan sido usados con fines maliciosos.

Escándalo Cambridge Analytica: Antes de 2014, Facebook permitía a aplicaciones con fines de investigación recopilaran datos de los usuarios que consintieran el acceso a la app en cuestión y también de sus amigos (que no tenían que consentir nada). Nótese que en esta frase hay dos partes importantes: +Los datos sólo se podían utilizar para investigación: no podían venderse ni utilizarse con fines comerciales. Cambridge Analytica no cumplió esta parte, según Facebook. +Aunque tú no dieras acceso a la app para que consultara tus datos, bastaba con que uno de tus amigos lo hiciera. Cambridge Analytica, a través de una aplicación aparentemente inofensiva que hacía un supuesto test de personalidad (Thisisyourdigitallife), pagó en 2013 para que 270.000 usuarios hicieran el test, dando acceso además a los datos de todos sus amigos. Aproximadamente, recolectaron datos de 87 millones de usuarios. Esto fue comprado por Cambridge Analytica para hacer Dig Data Science con IA, perfilar votantes, y vender esta información para campañas de fake news que inclinen la opinión de los votantes calificados como "dudosos".

Diego Fernando Ramos Aguirre

student•

Excelente, que locura todos esos casos.

esteban munoz

student•

Excelentes casos

Iván Edoardo Gil García

student•

Algo no tan grave pero sirve de ejemplo: En alguna escuela de educación básica se hicieron exámenes en línea por la nueva normalidad. Sin embargo estaba mal programado el frontend por lo que con un poco de conocimiento del tema los alumnos podían leer el código y encontrar la respuesta correcta antes de marcarlo. Usé este ejemplo porque claramente el maestro que aplicó el examen desea mantener la confidencialidad de las respuestas, pero hubo un fallo en la escritura de código que pudo detectarse con seguridad informática. No todo es hackers :)

Andrés Felipe Vásquez Pinzón

student•

Me encanto este ejemplo

Benz zulmer Utani anca

student•

EXCELENTE EJMPLO

Grover Pablo Vásquez Rengifo

student•

Ejemplo práctico de la Triada de la CID, vas al banco a crear una cuenta de ahorros y depositas $200.

Después de una semana un amigo te presta dinero, le indicas que no cuentas por el momento, pero el sabe que tienes un ahorros con $200, se vulnero la Confidencialidad de tus datos.

Después de tiempos vas a retirar el dinero de tu cuenta, y te das con la sorpresa que ya no tienes $200, en cambio tienes $90, se vulnero la Integridad de los datos, ya que estos fueron cambiados sin tu consentimiento.

Vas al banco a realizar una operación, y no puedes retirar tu dinero ya que te indican que no funciona el sistema, ocurrió un evento que afecta la Disponibilidad de acceso a tus datos.

Andres Maximiliano Moreira

student•

buen ejemplo

Cristhian Castillo Venegas

student•

Totalmente claro. Gracias.

Walter Omar Barrios Vazquez

student•

Tríada CID: Confidencialidad, Integridad y Disponibilidad. Hay muchísimos casos de fuga de información y la mayoría de las veces se debe a alguna persona, desleal o afectada por ingeniería social, del interior de la organización.

Jose Jair Medrano Olmos

student•

0 day exploit es cuando se realiza un ciberataque el mismo día que se descubre la vulnerabilidad

Roberto Andres Viruete Gonzalez

student•

mmm no, es cuando no se tiene conocimiento de la falla por lo que han tenido 0 dias para repararla

Arles A. Pinzon Molina

student•

Ambos tienen razón en cierto punto :smiley: . El 0 day exploit es cuando se explota una falla que no había sido descubierta por nadie. Puede que el ataque se realice el día 0 de descubrir la vulnerabilidad o días/semanas/meses 🗓 después.

Asbel Jose Herrera Morales

student•

Aquí va mi definición de la TRIADA CID:

CONFIDENCIALIDAD: Solo debe acceder a la información el personal autorizado.
INTEGRIDAD: Se da cuando la información no se perdió o sufrió manipulación y sigue siendo util para la toma de decisiones.
DISPONIBILIDAD: Se puede acceder a la información cuando y donde la necesita el usuario.

Eduardo Monzón

student•

Excelente resumen, gracias.

Sergio Grind

student•

En un call center donde trabaje en el departamento de IT (esto pasó antes de que yo entrara) dejaron los puertos abiertos de la red y se filtraron y los de administración eran muy malos con este tema y secuestraron toda la red con un ransomware y todo por no querer usar un antivirus o bueno no querer gastar en uno y perdieron muchas bases de clientes. jajaja y ya por eso contrataron a más personal más calificado en el área

Ariel Jacob

student•

Insider attack! Nunca se está completamente a salvo de las filtraciones por internos.

Sofía González Chavira

student•

Si conocer el código fuente de un software lo deja vulnerable a ataques eso significaría que los software de código abierto son más sensibles a ataques?

Francisco Daniel Carvajal Becerra

teacher•

El conocer el codigo fuente de un software que se ha mantenido privado todo el tiempo, lo vuelve mas suceptible a la identificacion de vulnerabilidades. Sin embargo software que siempre ha sido de codigo abierto, estos tipos de software siempre estan bajo constante colaboracion por parte de distintos colaboradores entre los cuales se encuentran personas que encuentras problema de seguridad en ellos. Es verdad que es posible que sea mas facil encontrar estas vulnerabilidades al ser de codigo abierto, pero esto tambien reduce el numero de posibles vulnerabilidades debido a la constante actualizacion del codigo y la constante identificacion de vulnerabilidades.

HENRY ALEXANDER PACHECO VENTURA

student•

osea es una herramienta de doble filo dices?

Luis Rodrigo Alvarez Herrera

student•

En una empresa donde trabaje, era mas importante darles gusto a los gerentes en cuanto a bajar los que quisieran un día se metió un ransomeware y cifro toda la info de los gerentes

yervin paruta

student•

algo que la educadora indica es que señala el robo o vulneracion de sistemas por hackers y ese termino no esta asociado con realizar actividades maliciosas, lo correcto seria ciberdelincuentes.

Obed Tzay

student•

3 PILARES DE LA SEGURIDAD DE LA INFORMACIÓN

Confidencialidad
Disponibilidad
Integridad

Jorge Ayala

student•

Un cliente tenia una tienda de electrónicos, me encargo crear un sistema para gestionar su inventario y sus ventas, para mi era un desafío increíble, lo hice en java y me llevo como un mes, a la mitad del desarrollo le pregunte si quería que le agregara un login para los funcionarios, el me dijo que no, que confiaba en todos ellos, 3 meses después que le entregue el sistema me entere que uno de los funcionarios renuncio y elimino toda la base de datos.

Falcon 643

student•

Una filtración creo que sería ahora el sistema operativo de Windows 11 que fue visto en capturas antes de su lanzamiento oficial.

Alejandra Espinosa

student•

Que libro nos recomiendan sobre hacking ético?

Tania Sosa

student•

¡Hola Alejandra! 😄 Te Para aprender acerca de Hacking ético, te recomiendo que sigas en orden la Ruta de Seguridad Informática

El curso de Computación Básica y los cursos de Prework para Windows y Prework para Linux también son muy utiles para comenzar.

¡Nunca pares de aprender! 💚

Espinoza Angie

student•

Ésta página tiene algunos libros y también bastante información sobre hacking. Y te recomiendo éste libro, es una introducción sobre la ciberseguridad, amenazas, ámbitos de uso, buenas prácticas y otros temas

Cristhian Castillo Venegas

student•

¿Qué es seguridad de la información? Medidas para resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de los datos.
¿A qué se refiere la seguridad?

Mantener el software (sobre todo, el código fuente dentro de la empresa.
¿A qué se refiere la disponibilidad?

Que un servicio esté habilitado cuando se necesite.
¿A qué se refiere la integridad?

Que lo datos se mantengan seguros, sin alteraciones ni daños realizados.
¿Qué vulnerabilidad del día cero?

Fallo de tecnología cuando recién se lanza, y no existe, en ese momento, la forma de protegerse.
¿Qué prácticas establece la ISO 27001?

Son diversas. Una de ellas es que los usuarios tienen derecho de que sus datos no sean filtrados a personas no autorizadas.

Marvin Luna

student•

Lo que quiero comentar es una experiencia que yo viví.

Sería el año 2001 aprox, cuando escribí a una gran lista de correos "@hotmail.com", creé una cuenta soporte.guatemala o algo así, y de manera elocuente y creíble, desarrollé un texto donde decía que debían confirmar su identidad, tanto con el usuario y la clave de su hotmail.

Un aprox 20% me compartió su clave, TODAS ERAN REALES.

Les volví a escribir y les comenté que había sido una prueba y que no volvieran a hacerlo.

Ví cuán "frágiles" por así decirlo, somos al momento de dar información.

Kurt Otero

student•

En la empresa donde trabajaro hacen de vez en cuando pishing a los colaboradores, para despues evidenciarlos ante todo el corporativo y correrlos por no ponerse las pilas. No es cierto, es broma jaja, pero la ultima vez "regalaron" 3 meses de Disney+ y caí 😭. Ya que como Quetzally dice, los colaboradores son la primer linea de batalla ante estos ataques.

Cristhian Julian Astoquilca Romero

student•

Les comparto un canal de telegram donde suben noticias de ciberseguridad https://t.me/SeguridadInformatica

Aquí una de sus noticias.

Acer confirma un tercer ciberataque en 2021

Desorden, el grupo de cibercriminales, ha anunciado que ha comprometido Acer Taiwán, liberando información sensible de empleados. Acer confirmó recientemente la brecha de datos.

Aparte de lo sucedido, encontraron más fallos de seguridad en las redes de Malasia e Indonesia.

David Moreno Velez

student•

Excelente aporte, muchas gracias por compartir

ISAAC DANIEL ATAUCURI YNFANTE

student•

kul