El creciente problema de la seguridad informática a nivel de usuario medio
Tremendo el hilo de discusión que se ha abierto en barrapunto bajo este tema. Hay de todo, desde los que echan la culpa a Windows y al Internet Explorer hasta los que culpan a la ignorancia del usuario medio. Por si no te quieres entretener mucho leyéndolo entero, aquí te dejo unas cuantas joyas.
Re:winbasura...
Yo uso Windows y no tengo ni spyware, ni virus (que yo sepa ;)) Como dicen por aqui, es cuestión de educación y no pulsar "Sí" cada vez que te aparezca el mensaje "¿Quieres ver las tias mas cachondas de la red?"
En cuanto al phishing, por mucha seguridad que tenga el sistema operativo, si uno es tan pardillo de recibir un mail supuestamente de la entidad bancaria, entrar en una página falsa y meter sus datos....
Y tercero, Windows no tiene por qué ser más inseguro que Linux. Sí es verdad que el 99% de los virus se programan para Windows, supongo que por la antipatía que desprende y por que es el sistema más extendido. Para evitar esto, lo mejor es tener un Windows original, que se actualice periódicamente, y un buen antivirus, también original y que se actualice cada día.
Comentario de ElPeazoPerro - http://mario.bitacoras.com/
No hay seguridad sin conocimiento
Hola, soy tecnico de averias adsl de teleafónica, y segun mi propia
experiencia, el problema de seguridad a nivel de usuario es una batalla
perdida mientras no se eduque a la gente, puesto que si estos NO SABEN
cual es el funcionamiento NORMAL de un ordenador y que programas son
los NORMALES, seran incapaces de detectar los funcionamientos anomalos,
como muestra, un boton.
La mayoria de "averias" adsl consiste en que el abonado dice
"No me va internet", uno va a su casa, ve el router/modem sincronizado
y conectado, las luces de trafico a todo trapo, y en el "navegador" (un
elevadisimo procentaje de gente desconoce nada mas alla del Explorer)
400 barras publicitarias de busquedas y online-casinos, 7 gusanos, 2
"troyanos" y cientos de "ad-wares". Cuando se le dice al abonado "lo
siento, el adsl va bien, es su pc que esta infectadisimo" la respuesta
es siempre la misma "no puede ser, yo tengo antivirus, lo que pasa es
que telefonica son unos ladrones y no me lo quereis arreglar", uno, con
infinita paciencia, saca su portatil, conecta a su adsl, navega
"ferpectamente" y le dice "vea, el mio va con su adsl, el suyo no,
tiene usted un (o varios) bicho ahi", normalmente, el abonado no queda
muy convencido, sobre todo cuando les soplas 40 yuros del
desplazamiento e "internet" sigue sin ir.
¿Que es lo que pasa? pues que el abonado encuentra
normal que, sin el hacer nada, haya trafico masivo en su adsl, que al
abrir el "exploter", la pantalla inicial sea publicidad, que en vez de
"page not found" le salga "we can't show that page, but click here for
an online-casino", que las paginas de antivirus esten bloqueadas, que
los antivirus se desactiven solos, y de que de tanto en tano, se abran
40 pop-ups y que aparezcan 30 barras de "web-search". ¿Para cuando un
carnet de conducir PC's? Si primero no se enseña al personal QUE ES LO
QUE HACE un ordenador, seran incapaces de descubrir que es lo QUE NO
DEBERIA hacer un ordenador
Comentario anónimo
La mayoría de los niños no tienen ni idea
Os cuento lo que me pasó hace poco que vino mi primo de 16 años a casa:
Vio
mi ordenador encendido y le extrañó el escritorio (tengo Debian
instalado). Puso cara extraña y me preguntó que cómo es que tenía el
ordenador tan "raro". Le dije que no era Windows, que era Linux, otro
sistema operativo. Enseguida su cerebro se puso en marcha y me acabó
por vomitar una frase que ni en mi peor pesadilla: "Pero este ordenador
no tiene Internet...", y yo le dije: "¿Por qué dices eso?", a lo que el
me respondió: "Porque no tiene la E azul en el escritorio". Tras
intentar explicarle el tema unos minutos llegué a la triste conclusión
de que ni siquiera sabía lo que era un navegador, para él Internet era
el "Internet Explorer"... y el correo es el "Messenger". En fin... y
eso que esta edad estudian informática.--
Comentario de Modosito
Es dificil de solucionar
No es técnicamente complicado tener un ordenador protegido. Pero como
dice un comentario anterior, se necesita un cierto nivel de
conocimientos que está, de momento, por encima de la mayoría de los
usuarios.
Yo he comprobado que basta un par de minutos para que un Windows
"pelado" conectado a Internet se convierta en un "zombi". Y recordad
que para muchas personas, cambiar a Linux no es una opción. Claro, yo
uso un ativirus, un firewal y dos
programas anti-spyware (y Mozilla, por supuesto); y de momento mantengo
limpio mi equipo (o eso espero :-). Pero a casi todos los usuarios de
Internet "normales" que conozco ni siquiera les suena qué es eso de un
"firewall"... y a muchos ni siquiera un antivirus. O lo que es peor,
navegan tranquilos porque desconocen totalmente los múltiples peligros
a que están expuestos.
Así que queda un largo camino por delante: primero para que el "gran
público" tome conciencia de la situación, y después para que sepan qué
medidas hay que tomar. Con lo que no cuento es con que Internet deje de
ser un hervidero de basura a la espera de fastidiar al primer
incauto... ¿Os imaginais un mundo sin virus, spam, spyware y demás?
Comentario anónimo
Los usuarios NO SABEN NADA
Hace un par de semanas, un amigo mio (que se maneja un poco con el ordenador, en plan ofimática), se contrató ADSL, y allá fue servidor (el pringao) a hacérselo funcionar (prefiero eso a que lo instalen ellos y luego me vengan con problemas extraños que tengo que solucionar). El día que fui a su casa, hubo con problema con las rosetas de teléfono y pasó un par de días hasta que pudo solucionarse. Dado que no vivimos cerca, le reinstalé el Windows (quitándole un W98 y poniéndole un XP), le formatee todo el sistema (llevaba 6 años sin formatear!!), y le expliqué cómo instalar el módem USB cuando pudiera.
Al dia siguiente, me llama: oye que me pasa algo rarísimo, me he conectado a internet, pero ahora me sale un mensajito diciendo que se me va a reiniciar en 60 segundos... Ahora intenta explicarle por teléfono como poner el parche para el Sasser. Imposible, voy a su casa. Le instalo el parche del Sasser y el tio mas feliz que chupillas (Es gracioso estar haciendo malabarismos para bajar el parche antes de que se reinicie el ordenador mientras tu ex-novia, que casualmente es la hermana de tu amigo, te mete pullas por detrás).
Peeeeero, al dia siguiente me llama: oye, que es que ahora, nada mas arrancar internet (nótese el "arrancar internet") se me abren un montón de ventanitas y cada vez que las cierro, se me abren más. Casi todas ellas tienen señoritas estupendas en ellas... ¿Cómo lo quito? Hmmmm, le dije lo único que se me ocurrió para no tener que volver a su casa: busca en www.google.es "download firefox" (no me acordaba exactamente de la página) y te lo bajas y lo instalas. Es un navegador web mejor que el Explorer, y creo que no con eso se te arreglará todo.
Cosa extrañísima, el tio me hace caso. Me llama al cabo de los dias otra vez feliz: Jo, que bien, con el firefox ahora me va todo genial, no se me cambia la página de inicio ni se me meten cosas raras en el navegador. Mil gracias.
A los pringaos, que nos den las gracias nos sabe a gloria, porque pasa tan pocas veces... con lo cual yo me senti mejor.
De todas maneras, me da por pensar en la seguridad en internet y tomo como ejemplo a mi amigo. Es una persona joven, que ha crecido, como yo, casi a la vez que los ordenadores, y que ha estado manejando uno todos los dias desde hace 6 años. Se maneja con google, colabora en ciertas publicaciones web, tiene cuenta de email (siempre desde ordenadores de acceso público: centros de juventud, bibliotecas o cibercafés). Aún así, caería en trucos de virus estilo ILOVEYOU, en phishing, jamás se daría cuenta de un dialer oculto, y llego a la conclusión de que hay muchos menos timos de los que podría haber.
La informática es un campo demasiado amplio y la gente no quiere tener que leerse un "tocho" de libro sólo para navegar por internet y bajarse pelis del emule. La solución serán las nuevas generaciones, que sepan que (para ellos) internet es algo que siempre estuvo allí, como para nosotros la luz eléctrica o la televisión, y que sepan exactamente lo que se mueve por dentro.
Esto aún tardará en llegar, pero mientras tanto, podemos aprovechar y hacernos ricos con phishing, dialers y spamming :P
Comentario de zhalim - http://neuromancia.blogspot.com/
Re:Los usuarios NO SABEN NADA
A mi al principio me pasaba como a ti, la gente me llamaba. Un día me
cansé, y sin preguntar le instalé a un amigo linux con openoffice. La
voz se corrió (creo que el mensaje era "El muy cabrón me instaló una
mierda en la que no puedo poner a funcionar el kazaa"),y desde entonces
solo estoy a cargo de los ordenadores de la familia (y por suerte solo
de la mitad de ella, hay otro friki en la familia).
[...]
Comentario de
Rei - http://evangelion.homelinux.com/
El problema no solo son los usuarios.
El problema es la máquina por una razón: El PC se ha vendido como un
electrodomestico más, igual que un video o que un microondas. La
diferencia entre el microondas y el ordenador es que el microondas
tiene un "interfaz" muy limitado: boton de encendido, control de
potencia, control de tiempo y poco más. Abierto no funciona, cerrado
si, y esto se acompaña de un manual de instrucciones muy sencillito y
muy claro. En el PC, para empezar, no vienen manuales y el PC permite
algo más que calentar platos de manera rápida. Y se ha vendido como un
electrodoméstico cuando no lo es, es algo más complicado: si a ésto le
unimos el auje de Internet ya tenemos la fuente del problema: usuarios
inexpertos que se creen que eso es como el video, aprietas un boton y
sale la pelicula. Creo que es hora de empezar a decir que las
videoconsolas si son un electrodoméstico pero el ordenador no y hay que
empezar a exigir conocimientos que el usuario medio no tiene.
Comentario anónimo
Falta de conocimiento/tiempo para adquirirlo
En mi opinión, la problema de la seguridad informática con los usuarios medios es que desconocen que hay detrás de la interfaz que le proporciona un ordenador. En general, cualquier sistema operativo y sus aplicaciones abstraen su funcionamiento interno, ofreciendo tan solo una mínima parte a la interfaz (gráfica o textual).
Pondré un ejemplo: un usario puede mandar un correo electrónico sin saber qué es una dirección IP. Un cliente de correo normal, no permite con su interfaz cambiar la dirección del email del emisor, por lo que usuario no puede saber que en realidad cambiar esta dirección es muy fácil. Sin embargo es precisamente comprender el funcionamiento interno algo fundamental en temas de seguridad.
Otro ejemplo: el phishing. Hay usuarios que, como tienen "antivirus", pincharían tranquilamente en un enlace a la web de su banco en un mail con una dirección falsa. Como no saben que esto se puede hacer, asumen que es real. Otros usuarios más avezados, puede que no pinchen, sino que introduzcan la URL en su navegador. Otros aún más avezados, sabrían que esto no sirve de nada si lo haces en un ordenador no fiable (es decir, que no sea el tuyo). Otros todavía aún más avezados, conocedores de que el ARP ó DNS spoofing podrían engañar facilmente a su navegador y dirigirlos a una página falsa, sabrían que tienen que usar una red de acceso confiable (nada de acceder vía WiFi). Los totalmente avezados usarían cifrado y certificados digitales ademas de usar antivirus o un SO que no sea muy propenso a ellos.
Obviamente, estos ultimos no son por desgracía usuarios medios. Para aprender todo lo que ellos saben han dedicado tiempo e interes, y tienen un cierto nivel de comprensión y abstracción sobre el funcionamiento interno de un sistema informático.
No han adquirido esto de la interfaz del usuario. Quizás, tradicionalmente en sistemas UNIX la interfaz era de más bajo nivel, por lo que se aprendía algo más del funcionamiento de la maquina (no tanto de las redes que tuviese conectadas). Pero si un UNIX como Linux se quiere extender al usuario medio, se simplificará. No creo que el usuario se adapte a Linux, sino en mayor medida al revés.
Así pues ... ¿son la interfaces de alto nivel malas? No, un médico no debería tener que conocer el funcionamiento IP de su ordenador. Pero si nosotros los programadores no tenemos en cuenta los conocimientos limitados de los demás, ellos tampoco tendrán en cuenta nuestras incomprensibles (para ellos) recomendaciones.
Si sabemos que el email es per sé, inseguro ¿por que no cambiarlo? Es dificil de un día para otro, lo sé. Pero si todos nos acostumbramos a usar email cifrado, a que nuestros navegadores no nos dejen por defecto visitar páginas de bancos debidamente acreditados, etc sería más fácil.
Para mi la solución es usar SOs que sean sencillos y amigables, pero con una política didactica para con el usuario, con uso de cifrado por defecto. Eso, y que en los planes de estudios de la escuela se enseñe a los chavales algo de como funciona internamente un ordenador, en plan básico (y no solo ofimática, aunque sea útil también).
Bueno, nada más. Perdón por la parrafada ;)
La comodidad es más fuerte que la seguridad
Los humanos, somos seres contradictorios por naturaleza.
En muchas de las actividades que desarrollamos sabemos que existen riesgos, así como las medidas necesarias para minimizarlos.
> Ponerse el cinturón de seguridad, cuando vamos en coche.
> Poner la verdad, cuando hacemos la declaración de la renta.
> Ponerse el condón, cuando tenemos relaciones sexuales.
Pero, por naturaleza pensamos que no nos va a ocurrir a nosotros.
En el caso concreto de la seguridad informática, yo personalmente,
he observado durante la impartición de un curso sobre correo
electrónico, un elemento de riesgo mayor:
Al explicar a los alumnos el funcionamiento del correo electrónico,
invertí medio curso en el tema de la seguridad, en concreto en tomar
las medidas mínimas de seguridad. Y para mi sorpresa, los alumnos,
todos, se quejaban de la pérdida de comodidad.
En definitiva, el riesgo aun conociéndose se infravalora (a mi no
me pasará), y la comodidad, así como la costumbre, se valora en
exceso.
Comentario anónimo
Re:La comodidad es más fuerte que la seguridad
Coincido totalmente contigo. Los usuarios tienen claras sus prioridades: 1) comodidad, 2) seguridad.
Es por eso que creo que estas cosas deberían ser "obligatorias". Es decir, la configuración por defecto de un sistema operativo debe tener en cuenta consideraciones de seguridad. Por ejemplo, usar Firefox en vez de Explorer es ya un gran logro, pues este navegador tiene más en cuenta la seguridad (para empezar no lanza todos los pop-ups que encuentra con enlaces a páginas poco recomendables).
Del mismo modo, si la gente diese su clave pública (o el sistema operativo tuviese integrado un buscador de claves públicas de correo en un servidor confiable) de una forma tan fácil como da su dirección de email, los usuarios no tendrían, creo yo, ningun inconveniente.
¿Es esto imposible acaso?¿Es una utopía? Yo creo que no es más que lo que se podría conseguir si los que diseñan software seguro tuviesen en cuenta el mayor e ineludible peligro de la seguridad: un usuario perezoso.
Realmente creo que si Windows, Linux y los webmasters se preocupasen por la seguridad de los usuarios medios todo sería mejor.
Realmente a veces los usuarios son un poco llorones con eso de "es complicado de usar", cierto. Pero tambien es cierto que es muy fácil decir "que quejicas que son los usuarios con eso de que es más incomodo" cuando las cosas podrían ser diseñadas para que fuesen fáciles y seguras desde el principio.
Las aplicaciones de seguridad son un coñazo de usar porque se han ideado a posteriori como parches para las aplicaciones no seguras. Si todo estuvise hecho con la seguridad en mente sería maás fácil para todos (usuarios y administradores).
A lo que voy es diseñar software sencillo y minimamente seguro no es ni mucho menos imposible, solo hay que querer. Aunar las virtudes de Linux y Windows, algo así. Los usuarios no siempre tienen la culpa.
No soy novato (se compilar un kernel y administrar una red), asi que hablando desde la experiencia pido un poco de autocrítica.
¿Seguridad informática? ¿Eso qué es?
Yo creo en la seguridad de la información, que es mucho más amplia que la seguridad informática. Entre otras cosas, la seguridad informática principalmente preventiva (prevención ante el desastre), y la de la información es preventiva y paliativa (tengo un problema, lo resuelvo y restauro la normalidad)
Ese es para mí el problema, no sólo se instruye poco a los usuarios sino que además, se les habla en términos de seguridad informática y no en términos de seguridad de la información, con lo que lo poco que se hace se hace mal.
Educar bien a los usuarios consiste principalmente en que abran su espectro de visión del problema. Ya no hablamos de que fulano o mengano te robe tu clave del correo o que "se te meta un tío por el ordenador", sino que los problemas pueden venir por asuntos lejanos al teclado: documentos en cajeros automáticos, ingeniería social, móviles, bluetooth, WiFi, etc. Y por supuesto, pueden venir problemas cuando está uno enfrente de un teclado.
Un saludo.
Comentariode SergioHernando - http://www.sahw.com/
Como tener tu sistema "seguro".
Bien aquí os dejo un email que envié hace poco a una lista de correo de
mi facultad, en la que el centro de cálculo avisaba de la presencia de
"software espía especializado para la obtención de datos bancarios", en
el que se daba como solución el instalar el programa 'Spybot search and
destroy'.
He aquí mi contestación, que bien serviría para cualquier persona con un ordenador guarrete:
Bueno bueno, me ha picado el gusanillo y voy a escribir este mensaje
para dar mis recomendaciones personales en cuanto a seguridad en una máquina Windows. Cuando
no hay más remedio que usar este sistema operativo, tampoco hay que
acorazar el ordenador con mil programas anti-todo que lo único que
conseguirán es ralentizar el sistema, simplemente seguir una política
de uso correcta y adquirir una conducta adecuada para protegerse de
todo lo que internet tiene que ofrecer a los usuarios del SO de
Microsoft.
1) Lo primero que hay que hacer para protegerse es instalar Mozilla
Firefox. Yo creo que no es que haya que considerarlo una opción, es
que es una temeridad navegar con Internet Explorer. La fuente número
uno de spyware y adware en nuestro ordenador es IE. ¿Y por qué Mozilla
Firefox? Primero porque respeta los estándares a diferencia de otros
navegadores, y esto aunque no lo creais es muy importante para el
futuro de internet, y para todos los webmasters que se esfuerzan en
conseguir páginas web accesibles y bien construidas (XHTML v1.0 y
CSS). Segundo porque es libre, esto es de código abierto y gratis.
Tercero porque a diferencia de Internet Explorer no ejecuta todos esos
dialers, spyware y adware que entran en todas esas páginas de dudosa
legalidad que salen las primeras cuando hacemos busquedas en Google.
Cuarto porque bloquea todos los popups con una efectividad
impresionante, di adios a la publicidad. Quinto porque no necesito
barritas de busqueda extras, hay un campo de busqueda de Google de
serie en el navegador. Y las demás ventajas, la gente que sólo usa el
navegador para navegar no las encontrarán interesantes.
Lo dicho, Firefox es la principal vacuna, doy un link para descargarlo:
http://download.mozilla.org/?product=firefox&os=win?=es-ES [mozilla.org]
2) El segundo paso, es controlar las conexiones a y desde internet con
un firewall. En Windows hay muchos, yo en mi instalación de Windows
tengo Kerio Personal Firewall. En su versión de evaluación es
completamente funcional (quitando un par de cosillas de las que ya se
encarga Firefox). No es libre, pero es gratis por lo menos. Eso sí,
cuidadín con él porque deja abierto un puerto para administración
remota, y protege el acceso al mismo con una contraseña, esto es con
la configuración por defecto, cualquiera puede acceder remotamente con
un cliente. Esto no lo sabe mucha gente, y creo ha sido reportado como
vulnerabilidad, en todo caso, me da un poco igual. Es curioso que un
firewall tenga una vulnerabilidad que se salta justamente lo que
protege. Os pongo el link para descargarlo:
http://download.kerio.com/dwn/kpf/kerio-pf-4.1.2-en-win.exe [kerio.com]
3) Política de uso de internet. El tercer paso para estar bien
protegidos lo tiene que poner el propio usuario. Si te llega un correo
que no sabes de quien es con un fichero adjunto, muy fácil, ¡no abras
el adjunto! Creo que con el uso se desarrolla un sexto sentido que te
dice cuando debes abrir un correo y cuando no, en todo caso lo
fundamental es no abrir el adjunto a no ser que sea algo que
esperasemos recibir. Eso y una serie de cosas como desactivar la
ocultación de extensiones de fichero en Windows, etc, etc, etc... Otra
buena medida, es no usar Microsoft Outlook, tenemos una alternativa
libre que funciona muy bien y es hermano de Firefox: Mozilla
Thunderbird.
http://download.mozilla.org/?product=thunderbird&os=win?=en-US [mozilla.org]
4) No instales programas que se sabe que llevan spyware. La mayoría
llevan el dichoso Gator. No instales esos programitas que te prometen
un muñequito corriendo por el escritorio, ni aquellos que te prometen
todas las descargas mas rapidas. Bueno, en general no instales
programas que se anuncian en banners, esa es una buena regla a seguir.
Y a la hora de elegir un programa, apuesta por los programas libres,
no suelen (o no llevan directamente) spyware.
Bien, hasta aquí la vacuna.
Ahora le toca el turno a la cura. Supongamos ahora que no partes desde
cero. Con las 4 cosas que he puesto antes, un usuario medio es capaz
de mantener su sistema limpio y seguro. Si ya tienes tu ordenador
lleno de basura, tendrás que tomar las medidas siguientes:
5) Instalar Ad-Aware, creo que es el mejor programa para limpiar
malware, adware, spyware y toda la basura informática que entra en el
PC. Una pasadita de adware te dejará bastante limpito el Windows.
Link:
http://www.networkingfiles.net/reserve/cookie/aawsepersonal-2.exe [networkingfiles.net]
6) Instalar un Antivirus. El AVG es una muy buena
opción, es gratuito. Es el que está puesto en el ordenador de mi padre.
Link:
http://free.grisoft.com/softw/70free/setup/avg70free_300a419.exe [grisoft.com]
Ahí quedan mis recomendaciones. Yo personalmente migré a GNU/Linux hace
ya tiempo, pero hay ciertas aplicaciones que tengo que usar en Windows
por obligación, así que sólo os cuento mi experiencia. Por supuesto un
usuario de MacOSX tampoco tendrá que sufrir todo ese calvario ;-)
Creo que no me hace falta decir más cosas.
Un saludo y...
Feliz año a todos!
Efectivamente hoy en día la gente no tiene ni idea de lo
que se compra, ayer mismo estaba en una tienda de informática, y un
hombre jóven con aspecto pueblerino se acercó a la dependienta y le
dijo: "Hola, verá que me compré un ordenador portatil, ya sabe, un windows de esos. Cómo hago para meterlo en interné"
Comentario de
Nuak - http://www.xboxrebelion.net/
Nielsen: User Education Is Not the Answer to Sec
Jakob Nielsen 2004-08
[useit.com]: Internet scams cannot be thwarted by placing the burden on
users to defend themselves at all times. Beleaguered users need
protection, and the technology must change to provide this.--
Comentario de
Ricardo Estalmán - http://barrapunto.com/index.pl?section=mbp-ricardoestalmn
Ni que decir tiene que la discusión sigue y que hay aún más comentarios interesantes que no voy a poner aquí por falta de tiempo. Es mejor que leas el hilo entero. No tiene (apenas) desperdicio.
-- Wayfarer
