Ingeniera social Qu es ingeniera social?

Qu es la Ingeniera Social? La Ingeniera Social es el acto de manipular a una persona a travs de tcnicas psicolgicas y habilidades sociales para cumplir metas especficas. stas contemplan entre otras cosas: la obtencin de informacin, el acceso a un sistema o la ejecucin de una actividad ms elaborada (como el robo de un activo), pudiendo ser o no del inters de la persona objetivo. La Ingeniera Social se sustenta en un sencillo principio: el usuario es el eslabn ms dbil. Dado que no hay un solo sistema en el mundo que no dependa de un ser humano, la Ingeniera Social es una vulnerabilidad universal e independiente de la plataforma tecnolgica. A menudo, se escucha entre los expertos de seguridad que la nica computadora segura es la que est desenchufada, a lo que, los amantes de la Ingeniera Social suelen responder que siempre habr oportunidad de convencer a alguien de enchufarla. La Ingeniera Social es un arte que pocos desarrollan debido a que no todas las personas tienen habilidades sociales. An as, hay individuos que desde pequeos han demostrado tener la aptitud y con un poco de entrenamiento convertirla en el camino ideal para realizar acciones maliciosas. Por ejemplo, hay crackers que en vez de perder horas rompiendo una contrasea, prefieren conseguirla preguntando por telfono a un empleado de soporte tcnico.

Formas de ataque
Las formas de ataque son muy variadas y dependen de la imaginacin del atacante y sus intereses. En general, los ataques de Ingeniera Social actan en dos niveles: el fsico y el psicosocial. El primero describe los recursos y medios a travs de los cuales se llevar a cabo el ataque, y el segundo es el mtodo con el que se engaar a la vctima. Las formas usadas a nivel fsico son:

Ataque por telfono. Es la forma ms persistente de Ingeniera Social. En sta el perpetrador realiza una llamada telefnica a la vctima hacindose pasar por alguien ms, como un tcnico de soporte o un empleado de la misma organizacin. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo nico que se requiere es un telfono.

Ataque va Internet. Desde que Internet se volvi uno de los medios de comunicacin ms importantes, la variedad de ataques en red se incrementaron tanto como la gran cantidad de servicios que existen en l. Los ataques ms comunes son va correo electrnico (obteniendo informacin a travs de un phishing o infectando el equipo de la vctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) o inclusive conversando con personas especficas en salas de chat, servicios de mensajera o foros. Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar informacin relevante en la basura, como: agendas telefnicas, organigramas, agendas de trabajo, unidades de almacenamiento (CDs, USBs, etc.), entre muchas otras cosas.

Ataque va SMS. Ataque que aprovecha las aplicaciones de los celulares. El intruso enva un mensaje SMS a la vctima hacindola creer que el mensaje es parte de una promocin o un servicio, luego, si la persona lo responde puede revelar informacin personal, ser vctima de robo o dar pi a una estafa ms elaborada. Ataque va correo postal. Uno de los ataques en el que la vctima se siente ms segura, principalmente por la fiabilidad del correo postal. El perpetrador enva correo falso a la vctima, tomando como patrn alguna suscripcin de una revista, cupones de descuento, etc. Una vez que disea la propuesta para hacerla atractiva, se enva a la vctima, quien si todo sale bien, responder al apartado postal del atacante con todos sus datos. Ataque cara a cara. El mtodo ms eficiente, pero a la vez el ms difcil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situacin que se le presente. Las personas ms susceptibles suelen ser las ms inocentes, por lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su vctima.

Por otro lado, existen entornos psicolgicos y sociales que pueden influir en que un ataque de ingeniera social sea exitoso. Algunos de ellos, son:

Exploit de familiaridad. Tctica en que el atacante aprovecha la confianza que la gente tiene en sus amigos y familiares, hacindose pasar por cualquiera de ellos. Un ejemplo claro de esto ocurre cuando un conocido llega a una fiesta con uno de sus amigos. En una situacin normal nadie dudara de que ese individuo pudiera no ser de confianza. Pero de verdad es de fiar alguien a quien jams hemos tratado? Crear una situacin hostil. El ser humano siempre procura alejarse de aquellos que parecen estar locos o enojados, o en todo caso, salir de su camino lo antes posible. Crear

una situacin hostil justo antes de un punto de control en el que hay vigilantes, provoca el suficiente estrs para no revisar al intruso o responder sus preguntas.

Conseguir empleo en el mismo lugar. Cuando la recompensa lo amerita, estar cerca de la vctima puede ser una buena estrategia para obtener toda la informacin necesaria. Muchas pequeas y medianas empresas no realizan una revisin meticulosa de los antecedentes de un nuevo solicitante, por lo que obtener un empleo donde la vctima labora puede resultar fcil. Leer el lenguaje corporal. Un ingeniero social experimentado puede hacer uso y responder al lenguaje corporal. El lenguaje corporal puede generar, con pequeos, detalles una mejor conexin con la otra persona. Respirar al mismo tiempo, corresponder sonrisas, ser amigable, son algunas de las acciones ms efectivas. Si la vctima parece nerviosa, es bueno reconfortarla. Si est reconfortada, al ataque! Explotar la sexualidad. Tcnica casi infalible. Las mujeres que juegan con los deseos sexuales de los hombres, poseen una gran capacidad de manipulacin, ya que el hombre baja sus defensas y su percepcin. Probablemente suene asombroso, pero es aprovechar la biologa a favor.

Cmo defenderse contra la Ingeniera Social?

La mejor manera de enfrentar el problema, es concientizar a las personas al respecto. Educarles sobre seguridad y fomentar la adopcin de medidas preventivas. Otros mecanismos sugeridos son:

Nunca divulgar informacin sensible con desconocidos o en lugares pblicos (como redes sociales, anuncios, pginas web, etc.). Si se sospecha que alguien intenta realizar un engao, hay que exigir se identifique y tratar de revertir la situacin intentando obtener la mayor cantidad de informacin del sospechoso.

Implementar un conjunto de polticas de seguridad en la organizacin que minimice las acciones de riesgo. Efectuar controles de seguridad fsica para reducir el peligro inherente a las personas. Realizar rutinariamente auditoras y pentest usando Ingeniera Social para detectar huecos de seguridad de esta naturaleza. Llevar a cabo programas de concientizacin sobre la seguridad de la informacin.

Conclusiones La seguridad de la informacin no slo debe entenderse como un conjunto de elementos tcnicos y fsicos, sino como un proceso cultural de personas y organizaciones. Si el usuario es el eslabn ms dbil, deben existir controles que ayuden a disminuir el riesgo que ste pueda representar. Kevin Mitnick, el hacker ms reconocido a nivel mundial y experto en Ingeniera Social, concluye: Puedes gastar una fortuna en tecnologa y servicios y como sea, tu infraestructura de red podra estar vulnerable a la forma ms vieja de manipulacin.
. Seguridad Informtica: Proteccin de la infraestructura tecnolgica y la informacin contenida (Activos) Estndares, leyes, metodologas, mejores prcticas, herramientas, etc. ISO/IEC 27001:2005 ISO/IEC 27002:2005 NIST SP 800 (Special Publications 800 series) DoD 5200.28-STD TCSEC (Orange Book) PCI DSS CobiT ITIL Sarbanes-Oxley Act of 2002 (SoX) OWASP Etc. Etc. Etc. Anlisis de riesgos Activo (El ms importante: INFORMACIN) Impacto Probabilidad

Amenaza Controles ADMINISTRACION DE RIESGOS Riesgos 1. Operacionales 2. Reputacionales 3. Internos / Externos 4. Naturales Amenazas Vulnerabilidades Probabilidad Impacto Contramedidas (Controles)

Existen muchas metodologas de anlisis de riesgos. Un ejemplo del clculo del riesgo es mediante la siguiente frmula: R = Valor del Activo x Amenaza x Vulnerabilidad

AMENAZAS Malware Script-kiddies Spam

Botnets Phishing Ciber-crimen Ciber-terrorismo Espionaje corporativo Servicios de Inteligencia Y la lista sigue.. Sigue y .. Sigue !!!

VULNERABILIDADES Fallos en software Parches no aplicados a Sistemas Operativos y/o Aplicaciones Malas configuraciones Falta de polticas y procedimientos documentados Problemas administrativos Contraseas dbiles Edificio incapaz de resistir terremotos Falta de mantenimiento a extintores Y ms ejemplos Es una debilidad que puede ser explotada con la materializacin de una o varias amenazas a un activo.

PRUEBAS DE PENETRACIN Las Pruebas de Penetracin permiten evaluar la seguridad de sistemas de informacin, computadoras o redes de computadoras, por medio de ataques simulados, con el fin de determinar el nivel de seguridad en cierto momento de una infraestructura tecnolgica. Enfoques Black-box testing (sin conocimiento de la infraestructura a ser evaluada) Grey-box testing (conocimiento parcial de la infraestructura a ser evaluada) White-box testing (conocimiento total de la infraestructura a

ser evaluada)

Existen diversas metodologas para realizar dichas pruebas, por ejemplo: OSSTMM PTF OWASP (Orientado a Web)

METODOLOGIA GENERICA

Planeacin y preparacin En esta fase se llevan a cabo los acuerdos legales, se define el alcance, se presenta el equipo de trabajo, el plan de trabajo, fechas y tiempos lmite, entre otras cosas. Pruebas de Penetracin En esta fase se ejecutan todas las pruebas de penetracin con el fin de identificar vulnerabilidades y simular ataques reales contra estas. Generacin de reportes En esta fase se documentan las vulnerabilidades detectadas durante las pruebas, y a su vez, se emiten recomendaciones para mitigar o minimizar el riesgo asociado a cada una de ellas. DEMOSTRACIONES Planeacin: Checklists de pruebas 1. Pruebas de Red 2. Pruebas a aplicaciones Web

1.- Reconocimiento y obtencin de informacin The Harvester - http://www.edge-security.com/theharvester.php Foca - http://www.informatica64.com/foca.aspx NMAP - http://nmap.org 2.- Identificacin de vulnerabilidades Nessus http://www.nessus.org 3.- Ataque y penetracin ExploitDB http://www.exploit-db.com Metasploit Framework http://www.metasploit.com Hydra - http://www.thc.org/thc-hydra/ 4.- Obtencin local de informacin Sniffing - http://www.tcpdump.org 5.- Escalamiento de privilegios y mantenimiento de acceso Mala configuracin en sudo Linux Kernel sock_sendpage() Local root exploit http://www.exploit-db.com 6.- Limpieza CONTRAMEDIDAS ISO 27001 / 27002 PCI DSS - https://www.pcisecuritystandards.org/security_standards/ Sarbanes Oxley (SoX) CobiT - http://www.isaca.org/COBIT/Pages/default.aspx ITIL NIST-SP-800 - http://csrc.nist.gov/publications/PubsSPs.html Etc. BIBLIOGRAFIA Alejandro Hernndez H. (nitrus), CISSP, GPEN

Test de Penetracin (PenTest)

Como administrador de Sistemas una de nuestras responsabilidades y la mas importante es mantener la seguridad de nuestra plataforma lo menos vulnerable posible y para esto es importante que constantemente pongamos a prueba los mtodos de seguridad que tenemos

implementado y ademas podamos detectar cualquier vulnerabilidad que exista antes de que esta sea aprovechado por un malintencionado. Y es aqui donde entra el test de penetracin, conocida como pentest, que es el mtodo de evaluar la seguridad de los equipos y las redes de comunicacin simulando un ataque informtico a un servidor o red desde una fuente externa o interna. El proceso consiste en un anlisis activo de todos los equipos de la red para detectar cualquier vulnerabilidad de seguridad por una falla en la configuracin de los servidores o los equipos de seguridad. Los test de penetracin son muy importantes por las siguienes razones.

Determinar la viabilidad de un conjunto particular de vectores de ataque Identificar las vulnerabilidades de alto riesgo que resultan de una combinacin de vulnerabilidades de menor riesgo explotados en una secuencia particular Identificar las vulnerabilidades que pueden ser difciles o imposibles de detectar con los sistemas automatizados de la red o por software de deteccin de vulnerabilidades. Probar la capacidad de las defensas de la red para detectar con xito y responder a los ataques

El Penetration Test se compone de dos fases de testeo: Penetration Test Externo: el objetivo es acceder en forma remota a los equipos de la organizacin y posicionarse como administrador del sistema. Se realizan desde fuera del Firewall y consisten en penetrar la Zona Desmilitarizada (DMZ) para luego acceder a la red interna. Se compone de un elevado nmero de pruebas, Para mencionar algunas:

Pruebas de usuarios y la fuerza de sus passwords. Captura de trfico. Deteccin de conexiones externas y sus rangos de direcciones. Deteccin de protocolos utilizados. scanning de puertos TCP, UDP e ICMP. Intentos de acceso va accesos remotos. Anlisis de la seguridad de las conexiones con proveedores, trabajadores remotos o entidades externas a la organizacin. Pruebas de vulnerabilidades existentes y conocidas en el momento de realizacin del Test. Prueba de ataques de Denegacin de Servicio.

Penetration Test Interno: este tipo de testeo trata de demostrar cual es el nivel de seguridad interno. Se deber establecer que puede hacer un atacante interno y hasta donde ser capaz de penetrar en el sistema siendo un usuario con privilegios bajos. Este Test tambin se compone de numerosas pruebas:

Anlisis de protocolos internos y sus vulnerabilidades.

Autenticacin de usuarios. Verificacin de permisos y recursos compartidos. Test de los servidores principales (WWW, DNS, FTP, SMTP, etc.). Test de vulnerabilidad sobre las aplicaciones propietarias. Nivel de deteccin de la intrusin de los sistemas. Anlisis de la seguridad de las estaciones de trabajo. Seguridad de la red. Verificacin de reglas de acceso. Ataques de Denegacin de Servicio

Actualmente existen distribuciones de Linux que pueden ser de gran ayuda cuando vayamos a llevar a cabo esta tarea de test de penetracin. Para mencionar algunas Backtrack Linux y Kali Linux que es sucesor de Backtrack. Estas distribuciones tienen varias herramientas de deteccin de vulnerabilidades. Mas adelante hablar un poco de estas distribuciones.

http://tuxapuntes.com/que-es-un-test-de-penetracion-pentest/
Jason Soto 26 mayo, 2013

Criptografa para todos

Cualquier persona que utilice un ordenador personal e Internet ha odo sobre registros y contraseas. Los tiempos sin preocupaciones de los primeros ordenadores nunca volvern. Existen contraseas para todo - sitios Web, foros, chats, correo electrnico, suscripciones a peridicos - la lista es interminable. Adems, tenemos nmeros de tarjetas de crdito, cdigos PIN, SSN, nmeros de cuentas bancarias y otra informacin. Para recordar todo esto, debe tener una memoria excepcional. De lo contrario, tendr que apuntar todos estos datos en algn sitio. Pero dnde? En una servilleta? En un trozo de papel? En la ltima pgina del informe del mes pasado? Pero qu ocurre si tiene ms nmeros, como la Seguridad Social o cuentas bancarias de otras personas? Tiene que proteger estos datos, de lo contrario pueden ser fcilmente sustrados. Evidentemente, necesita poder crear registros encriptados que no puedan ser descifrados por un pirata informtico o un ladrn, incluso si tienen acceso, por cualquier razn, a estos documentos. Est bien, en este caso necesita proteccin de encriptacin. Pero, una encriptacin sencilla no supone un problema para los modernos ladrones informticos que saben ms sobre la seguridad infromtica que el especialista en TI. Para que la encriptacin sea efectiva, la contrasea debe ser "fuerte" (conteniendo una larga combinacin de letras, smbolos y nmeros) y el algoritmo de encriptacin debe ser a prueba de piratas (los algoritmos a prueba de piratas tardan cientos de aos en descifrarse). En esto consite la criptografa - en ayudar a los chicos buenos a proteger sus secretos de los chicos malos. La lista de algoritmos a prueba de piratas no es tan larga - Blowfish, Rijndael (nuevo

AES), Twofish, Serpent y algunos ms. Si codifica sus datos con estos algoritmos, est usando la misma proteccin que el Departamento de Defensa de EE.UU. Y ellos saben cmo proteger sus secretos.

stos son los requisitos de una contrasea (concebidos originalmente por especialistas en seguridad militar): la contrasea debe tener al menos 8 caracteres de longitud; NUNCA debe contener palabras significativas, como nombres, ubicaciones, etc.; debe componerse de nmeros, letras y smbolos, maysculas y minsculas, siempre que sea posible.

Por qu? Los ladrones de cdigos tienen dos herramientas usadas en el 99% de los ataques ataque de diccionario y ataque de fuerza bruta. Ya que slo existen unas 500000 palabras, se tarda menos de un da en conseguir una contrasea que contiene una palabra. El ataque de fuerza bruta (BruteForce) es un mtodo de ataque por el que un programa genera aleatoriamente una contrasea a partir de smbolos y nmeros. Si su contrasea contiene 8 caracteres, letras y nmeros, este mtodo tardara cientos de aos en conseguir su contrasea. Para ayudarle a generar una contrasea a prueba de piratas, existen programas llamados generadores de contraseas fuertes. La criptologa es una ciencia que estudia todo lo relacionado con cdigos y contraseas. La criptologa est dividida en la criptografa y anlisis criptogrfico. La primera crea mtodos para proteger los datos, el segundo, para robarlos. Es difcil decir qu es ms complicado. La mayora de los profesionales dicen que un buen analista criptogrfico que es bueno en piratear y descrifrar cdigos es capaz de crear un nuevo algoritmo estable (a prueba de piratas). As que, ya que el objetivo principal de la criptografa es la proteccin de datos, sta proporciona soluciones para cuatro reas de seguridad diferentes - confidencialidad, autenticacin, integridad y control de la interaccin entre las diferentes partes involucradas en el intercambio de datos. La encriptacin, en resumen, es simplemente convertir datos a un formato "ilegible". ste es el motor primordial de la confidencialidad - mantener los secretos lejos de las personas que no deben conocerlos. La criptografa es, con mucho, el mtodo ms poderoso para la proteccin de la informacin. Apareci por primera vez hace miles de aos, pero fue "fortificada" significativamente por las matemticas en los ltimos cincuenta aos. Desde los aos 50, la criptografa se vuelve "electrnica". Significa que utiliza mquinas electrnicas (ordenadores) para generar y analizar algoritmos de encriptacin y sistemas de proteccin. El uso de la "memoria electrnica" lleva a la invencin de cdigos de bloqueo, cuando la informacin se encripta y descifra en bloques. A principios de los aos 70, la criptografa lleg a las sedes corporativas y dej de ser una ciencia exclusivamente militar. Como resultado, en 1978, apareci el primer estndar de 64-bit llamado DES. El proceso sigui imparable, y hoy da todos los pases desarrollados cuentan con sus propios estndares de encriptacin. Bsicamente, existen dos mtodos de encriptacin que usan claves - simtricas (con una clave secreta) y asimtricas (con una clave abierta). Cada mtodo emplea procedimientos propios, modos de distribucin de claves, tipos de claves y algoritmos de encriptacin/descifrado. El mtodo simtrico utiliza una sola clave para encriptar y descifrar datos. Estas claves son usadas ampliamente para almacenar y proteger informacin confidencial, ya que las claves no son muy

largas, y se puede encriptar gran cantidad de datos rpidamente. Mucha gente "comprime" datos con una de las muchas aplicaciones que hacen esto antes de la encriptacin, ya que este paso complica significativamente el anlisis criptogrfico que est basado solamente en el texto crptico. Los programas ms avanzados lo hacen automticamente y este parmetro se incluye en las opciones de encriptacin. El mtodo asimtrico no va a ser explicado aqu, ya que su objetivo principal es la transferencia segura de informacin y no el almacenamiento.

Contraseas
Al conectarse a un sistema informtico, generalmente se debe ingresar: un nombre de registro o nombre de usuario y una contrasea para acceder. Este par nombre de registro/contrasea forma la clave para tener acceso al sistema. Mientras que al nombre de registro generalmente lo brinda el sistema o el administrador de forma automtica, el usuario casi siempre tiene la libertad de elegir la contrasea. La mayora de los usuarios, como piensan que no tienen ninguna informacin secreta que proteger, usan una contrasea fcil de recordar (por ejemplo, su nombre de registro, el nombre de su pareja o su fecha de nacimiento). Y aunque los datos en la cuenta de un usuario puedan no ser estratgicos, tener acceso a la cuenta puede significar una puerta abierta a todo el sistema. Cuando un hacker tiene acceso a la cuenta de un equipo, puede extender su campo de accin al obtener la lista de usuarios autorizados a conectarse al equipo. Un hacker puede probar un gran nmero de contraseas generadas al azar con herramientas destinadas a tal fin o con un diccionario (o puede combinar ambos). Si consigue la contrasea del administrador, obtiene todos los permisos sobre el equipo. Adems, es posible que el hacker tenga acceso a la red local desde la red de un equipo, lo que significa que puede trazar un mapa de los otros servidores al trabajar desde el equipo al que tiene acceso. Las contraseas de los usuarios son la primera lnea de defensa contra los ataques, por eso es necesario definir una poltica de contraseas para que los usuarios elijan contraseas lo suficientemente seguras.

Mtodos de ataque
Muchos sistemas estn configurados para bloquear transitoriamente la cuenta de un usuario despus de haber intentado conectarse sin xito una cierta cantidad de veces. En consecuencia, es difcil para un hacker infiltrarse en un sistema de esta manera. Sin embargo, puede usar este mecanismo de autodefensa para bloquear todas las cuentas de usuario para accionar una denegacin de servicio.

En la mayora de los sistemas, las contraseas se guardan cifradas en un archivo o una base de datos. Sin embargo, si un hacker tiene acceso al sistema y a este archivo, puede tratar de craquear una contrasea de usuario en particular o las contraseas de todas las cuentas de usuario.

Ataque de fuerza bruta

El trmino "ataque de fuerza bruta" se usa para referirse al craqueo de una contrasea al probar todas las posibles combinaciones. Existe una variedad de herramientas para todos los sistemas operativos que permite realizar este tipo de procedimiento. Los administradores de sistema usan estas herramientas para probar la solidez de sus contraseas de usuario, pero a veces los hackers las usurpan para infiltrarse en sus sistemas informticos.

Ataque de diccionario
Las herramientas para el ataque de fuerza pueden demorar horas o hasta das de clculos, incluso con equipos que cuentan con potentes procesadores. Una solucin alternativa es llevar a cabo un "ataque de diccionario". En la prctica, los usuarios generalmente eligen contraseas que tengan un significado. Con este tipo de ataque, tales contraseas se pueden craquear en slo unos minutos.

Ataque hbrido
El ltimo ataque de este tipo, el "ataque hbrido", especficamente apunta a contraseas compuestas por una palabra tradicional seguida de un nmero o una letra (como "marshal6"). Es una combinacin entre el ataque de fuerza bruta y el de diccionario. Existen mtodos que tambin permiten que un hacker obtenga contraseas de usuario: Los registradores de pulsaciones son programas de software que, al instalarlos en la estacin de trabajo del usuario, registran lo que se pulsa en el teclado. Los sistemas operativos recientes presentan bfers protegidos que permiten retener la contrasea durante un tiempo y a los que slo el sistema puede acceder. La ingeniera social consiste en aprovecharse de la ingenuidad de la gente para obtener informacin. As, un hacker puede acceder a la contrasea de una persona al hacerse pasar por un administrador de red o, a la inversa, puede contactar al soporte tcnico y pedir reinicializar la contrasea usando como pretexto una situacin de emergencia. El espionaje es el mtodo ms antiguo utilizado. En este caso, un pirata slo tiene que observar los papeles que estn alrededor de la pantalla o debajo del teclado del usuario para obtener la contrasea. Si el pirata es alguien en quien la vctima confa, slo tiene que mirar sobre el hombro de esa persona cuando ingrese la contrasea para verla o adivinarla.

Eleccin de una contrasea

Mientras ms larga sea la contrasea, ms difcil ser craquearla. Asimismo, una contrasea compuesta slo por nmeros ser mucho ms fcil de craquear que una que contenga letras: Una contrasea de 4 nmeros corresponde a 10.000 posibilidades (10 ). Aunque esta cifra parezca elevada, un ordenador equipado con una configuracin modesta puede craquearla en cuestin de minutos. Es conveniente usar una contrasea de 4 letras, para la que existen 456.972 posibilidades (26 ). Con esta misma lgica, una contrasea que combine nmeros y letras o que use maysculas y caracteres especiales, ser aun ms difcil de craquear. Evite las siguientes contraseas: su nombre de registro su apellido su nombre o el de una persona querida (pareja, hijo, etctera) una palabra del diccionario una palabra escrita al revs (las herramientas para craquear contraseas tienen en cuenta esta posibilidad) una palabra seguida de un nmero, el ao actual o el ao de nacimiento (por ejemplo "contrasea1999").
4 4

Polticas de contrasea
El acceso a la cuenta de un solo empleado de una empresa puede poner en riesgo la seguridad general de toda la organizacin. Por lo tanto, todas las empresas que deseen garantizar un nivel de seguridad ptimo deben establecer una verdadera poltica de proteccin de contrasea. Esto implica, particularmente, que los empleados elijan las contraseas a partir de ciertos requisitos, por ejemplo: Que la contrasea tenga una longitud mnima Que tenga caracteres especiales Que combinen maysculas con minsculas

Adems, se puede afianzar la poltica de seguridad si se pone una fecha de expiracin en las contraseas para hacer que los usuarios las modifiquen peridicamente. Esto dificulta el trabajo de los hackers que tratan de craquear las contraseas con el correr del tiempo. Tambin es una excelente forma de limitar la duracin de la contrasea craqueada.

Por ltimo, es aconsejable que los administradores usen software que craquea contraseas en sus contraseas de usuario para probar su solidez. Sin embargo, se debe hacer dentro del marco de la poltica de proteccin y con discrecin para tener el apoyo de la gerencia y los usuarios.

Varias contraseas
No es bueno tener slo una contrasea, como tampoco es bueno usar en su tarjeta bancaria el mismo cdigo que usa para su telfono mvil y para la entrada a su edificio. En consecuencia, es aconsejable tener varias contraseas para cada categora de uso, dependiendo de la confidencialidad de los secretos que proteja. Por lo tanto, el cdigo de su tarjeta bancaria slo debe usarse para ese propsito. Sin embargo, puede usar el mismo cdigo PIN que usa en su telfono para el candado de una maleta.

Codificacin El mecanismo general de transformar informacin (datos) en "algo" que la represente y que sea apto para su transmisin por un medio cualquiera se denomina codificacin, y a esos "algo" que representan la informacin se les conoce con el nombre de seales. Para codificar datos binarios por medio de seales de corriente continua se pueden usar diversos mtodos, como la determinacin de un determinado voltaje (3 voltios) para representar un 1 y otro voltaje menor (0 voltios) para representar un cero. La Capa de Enlace de Datos enva sucesiones de ceros y unos binarios que contienen los datos a transmitir junto a las cabeceras necesarias para el funcionamiento correcto de los diferentes protocolos. Una computadora es un dispositivo elctrico/electrnico, que funciona a base de impulsos de corriente elctrica continua. Por lo tanto es preciso una transformacin de

dgitos binarios en impulsos de electricidad continua. Codificacin Manchester La codificacin Manchester, tambin denominada codificacin bifase-L, es un mtodo de codificacin elctrica de una seal binaria en el que en cada tiempo de bit hay una transicin entre dos niveles de seal. Es una codificacin autosincronizada, ya que en cada bit se puede obtener la seal de reloj, lo que hace posible una sincronizacin precisa del flujo de datos. Una desventaja es que consume el doble de ancho de banda que una transmisin asncrona. Hoy en da hay numerosas codificaciones (8b/10b) que logran el mismo resultado pero consumiendo menor ancho de banda que la codificacin Manchester. .

Glosario Ingeniera social:

es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Hacker: es toda aquella persona con elevados conocimientos informticos

independientemente de la finalidad con que los use.

hacker de sombrero: Un hacker de sombrero blanco rompe la seguridad por razones no maliciosas, quizs para poner a prueba la seguridad de su propio sistema o mientras trabaja para una compaa de software que fabrica software de seguridad. El trmino sombrero blanco en la jerga de Internet se refiere a un hacker tico. hacker de sombrero: Un hacker de sombrero negro es un hacker que viola la seguridad informtica 6 por razones ms all de la malicia o para beneficio personal. Los hackers de sombrero negro son 7 la personificacin de todo lo que el pblico teme de un criminal informtico. Los hackers de sombrero negro entran a redes seguras para destruir los datos o hacerlas inutilizables para aquellos que tengan acceso autorizado. hacker de sombrero gris : Un hacker de sombrero gris es una combinacin de un hacker de sombrero negro con uno de sombrero blanco. Un hacker de sombrero gris puede navegar por la Internet y hackear un sistema informtico con el nico propsito de notificar al administrador que su sistema ha sido hackeado, por ejemplo. Luego se puede ofrecer para reparar su sistema por un mdico precio.

Hacker de elite:
Como nivel social entre los hackers, elite se utiliza para describir a los expertos. script kiddie : Un script kiddie es un inexperto en que irrumpe en los sistemas informticos mediante el uso de herramientas automatizadas preempaquetadas y escritas por otros, generalmente con poca comprensin del concepto subyacente; de ah el trmino script ('guion', plan preestablecido o conjunto de actividades) kiddie ('nio', un individuo carente de conocimiento y experiencia, inmaduro). nefito : Un nefito o newbie es alguien que es nuevo en el haqueo o en el phreaking y casi no tiene conocimiento o experiencia sobre el funcionamiento de la tecnologa y el haqueo. hacker de sombrero : Un hacker de sombrero azul es una persona fuera de las empresas de consultora informtica de seguridad que es utilizado para hacer una prueba de errores de un sistema antes de su lanzamiento en busca de exploits para que puedan ser cerrados. hacktivista : Un hacktivista es un hacker que utiliza la tecnologa para anunciar un mensaje social, ideolgico, religioso o poltico. En general, la mayora de hacktivismo implica la desfiguracin de cibersitios o ataques de denegacin de servicio. exploit de seguridad : Un exploit de seguridad es una aplicacin software preparada para aprovechar las debilidades conocidas de los sistemas. 802.11a >> Estndar de red inalmbrica IEEE que especifica una tasa de transferencia mxima de 54 Mbps y una frecuencia de funcionamiento de 5 GHz. 802.11b >> Estndar de red inalmbrica IEEE que especifica una tasa de transferencia mxima de 11 Mbps y una frecuencia de funcionamiento de 2,4 GHz.

802.11g >> Estndar de red inalmbrica IEEE que especifica una tasa de transferencia mxima de 54 Mbps y una frecuencia de funcionamiento de 2,4 GHz y con compatibilidad con versiones anteriores con dispositivos 802.11b. Actualizar >> Sustituir el software o firmware existente con una versin ms moderna. Adaptador >> Dispositivo que aada funcionalidad de red a su equipo.

Ad-hoc >> Grupo de dispositivos inalmbricos que se comunican directamente entre ellos (punto a punto) sin la utilizacin de un punto de acceso. AES >> (Estndar avanzado de cifrado) Tcnica de cifrado de datos simtrica de bloque de 256 bits.
Ancho de banda >> Capacidad de transmisin de un dispositivo o red determinado. Banda ancha >> Conexin a Internet de alta velocidad y siempre activa. Banda ISM >> Banda de radio utilizada en las transmisiones de redes inalmbricas. Base de datos >> Recopilacin de datos que puede organizarse de forma que pueda sus contenidos puedan accederse, gestionarse y actualizarse fcilmente. Bit (dgito binario) >> La unidad ms pequea de informacin de una mquina. Byte >> Una unidad de datos que suele ser de ocho bits. Cargar >> Transmitir un archivo a travs de una red. CSMA/CA >> (Acceso mltiple de deteccin de portadora) Un mtodo de transferencia de datos que se utiliza para prevenir una posible colisin de datos. Cifrado >> Cifrado es la manipulacin de datos para evitar que cualquiera de los usuarios a los que no estn dirigidos los datos puedan realizar una interpretacin precisa. Conmutador >> 1. Dispositivo que es el punto central de conexin de equipos y otros dispositivos de una red, de forma que los datos puedan transmitirse a velocidad de transmisin completa. 2. Dispositivo para realizar, interrumpir o modificar las conexiones de un circuito elctrico. CTS >> (Limpiar para enviar) Seal enviada por un dispositivo para indicar que est preparado para recibir datos. DDNS >> (Sistema dinmico de nombres de dominio) Permite albergar un sitio Web, servidor FTP

o servidor de correo electrnico con un nombre de dominio fijo (por ejemplo, www.xyz.com) y una direccin IP dinmica. Descargar >> Recibir un archivo transmitido a travs de una red. DHCP >> (Protocolo de configuracin dinmica de host) Protocolo que permite a un dispositivo de una red, conocido como servidor DHCP, asignar direcciones IP temporales a otros dispositivos de red, normalmente equipos. Direccin IP >> Direccin que se utiliza para identificar un equipo o dispositivo en una red. Direccin IP dinmica >> Direccin IP temporal que asigna un servidor DHCP. Direccin IP esttica >> Direccin fija asignada a un equipo o dispositivo conectado a una red. Dispersin de secuencia >> Tcnica de frecuencia de radio de banda ancha que se utiliza para la transmisin ms fiable y segura de datos. DMZ (Zona desmilitarizada) >> Suprime la proteccin de servidor de seguridad del enrutador de un equipo, permitindole que pueda verse desde Internet. DNS >> (Servidor de nombres de dominio) La direccin IP de su servidor ISP, que traduce los nombres de los sitios Web a direcciones IP. DSL >> (Lnea de suscriptor digital) Conexin de banda ancha permanente a travs de las lneas de telfono tradicionales. DSSS >> (Espectro de dispersin de secuencia directa) Transmisin de la frecuencia con un patrn de bit redundante que se traduce en una menor probabilidad de que la informacin se pierda durante dicha transmisin. DTIM >> (Mensaje de indicacin de trfico de entrega) Mensaje incluido en paquetes de datos que puede aumentar la eficacia inalmbrica. Dplex competo >> La disponibilidad de un dispositivo de red para recibir y transmitir datos de forma simultnea. Dplex medio >> Transmisin de datos que puede producirse en dos direcciones a travs de una nica lnea, pero slo en una direccin cada vez. EAP >> (Protocolo de autenticacin extensible) Protocolo general de autenticacin que se utiliza para controlar el acceso a redes. Muchos mtodos de autenticacin especficos trabajan dentro de este marco. EAP-PEAP >> (Protocolo de autenticacin extensible-Protocolo de autenticacin extensible

protegido) Mtodo de autenticacin mutua que utiliza una combinacin de certificados digitales y otros sistemas, como contraseas. EAP-TLS >> (Protocolo de autenticacin extensible-Seguridad de la capa de transporte) Mtodo de autenticacin mutua que utiliza certificados digitales. Encadenamiento de perifricos >> Mtodo utilizado para conectar dispositivos en serie, uno tras otro. Enrutador >> Dispositivo de red que conecta redes mltiples, tales como una red local e Internet. Enrutamiento esttico >> Reenvo de datos de una red a travs de una ruta fija. Ethernet >> Protocolo de red estndar de IEEE que especifica la forma en que se colocan los datos y se recuperan de un medio de transmisin comn. Finger >> Programa que le facilita el nombre asociado con una direccin de correo electrnico. Firmware >> El cdigo de la programacin que ejecuta un dispositivo de red. Fragmentacin >> Dividir un paquete en unidades menores al transmitirlas a travs de un medio de red que no puede admitir el tamao original del paquete. Frase secreta >> se utiliza con mucha frecuencia como una contrasea, ya que una frase secreta simplifica el proceso de cifrado WEP generando de forma automtica las claves del cifrado WEP para los productos Linksys. FTP >> (Protocolo de transferencia de archivos) Protocolo estndar de envo de archivos entre equipos a travs de redes TCP/IP e Internet. Hardware >> El aspecto fsico de equipos, telecomunicaciones y otros dispositivos de tecnologas de la informacin. HTTP >> (Protocolo de transferencia de hipertexto) Protocolo de comunicaciones utilizado para conectarse a servidores de la World Wide Web. IEEE >> (Instituto de ingenieros elctricos y electrnicos) Instituto independiente que desarrolla estndares de redes. Infraestructura >> Equipo de red e informtico actualmente instalado. Inicio >> Iniciar un dispositivo y provocar que comience a ejecutar instrucciones. Intervalo de indicador >> El intervalo de frecuencia del indicador, que es una emisin de paquetes de un enrutador para sincronizar una red inalmbrica.

IP >> (Protocolo Internet) Protocolo utilizado para enviar datos a travs de una red. IPCONFIG >> Utilidad de Windows 2000 y XP que muestra la direccin IP de un dispositivo de red concreto. IPSec >> (Seguridad del protocolo Internet) Protocolo VPN utilizado para implementar el intercambio seguro de paquetes en la capa IP. ISIP >> (Proveedor de servicios de Internet) Compaa que proporciona acceso a Internet. Itinerancia >> Capacidad de transportar un dispositivo inalmbrico desde el alcance de un punto de acceso hasta otro sin perder la conexin. LAN >> (Red de rea local) Los equipos y productos de red que componen la red domstica o de oficina. LEAP >> (Protocolo de autenticacin extensible ligero) Mtodo de autenticacin mutua que utiliza un sistema de usuario y contrasea. MAC >> (Direccin de control de acceso al medio) Una direccin MAC es la direccin de hardware de un dispositivo conectado a un medio de red compartido. Mscara de subred Cdigo de direccin que determina el tamao de la red. Mbps >> (Megabits por segundo) Un milln de bits por segundo, unidad de medida de transmisin de datos. mIRC >> Programa de Internet Relay Chat que se ejecuta bajo Windows. Mdem de cable >> Un dispositivo que conecta una equipo a la red de la televisin por cable que a su vez se conecta a Internet. Modo infraestructura >> Configuracin en la que se realiza un puente entre una red inalmbrica y una red con cable a travs de un punto de acceso. Multidifusin >> Envo de datos a un grupo de destinos a la vez. NAT >> (Traduccin de direcciones de red) La tecnologa NAT traduce direcciones IP de la red de rea local a una direccin IP diferente para Internet. Navegador >> Programa de aplicacin que proporciona una forma de consultar e interactuar con la informacin de la World Wide Web. (Network Address Translation) Traversal A method of enabling specialized applications, such as

Internet phone calls, video, and audio, to travel between your local network and the Internet. STUN is a specific type of NAT traversal. NNTP >> (Protocolo de transferencia de noticias a travs de la red) Protocolo utilizado para conectar a los grupos Usenet de Internet. Nodo >> Unin de red o punto de conexin, habitualmente un equipo o estacin de trabajo. OFDM >> (Multiplexado por divisin de frecuencia ortogonal) La transmisin de frecuencia que separa la corriente de datos en un nmero de corrientes de datos de velocidad inferior que se transmiten en paralelo para prevenir que se pierda informacin durante la transmisin. Paquete >> Un paquete es un pequeo bloque de datos transmitido en una red de conmutacin de paquetes. PEAP >> (Protocolo de autenticacin extensible protegido) Protocolo para la transmisin de de datos de autenticacin, incluyendo contraseas, a travs de redes inalmbricas 802.11. Ping >> (Buscador de paquetes de Internet) Utilidad de Internet que se utiliza para determinar si una direccin IP determinada est en lnea. Pirata informtico >> Un trmino de jerga para un entusiasta informtico. Tambin hace referencia a los individuos que obtienen acceso no autorizado a sistemas informticos con el fin de robar y corromper datos. PoE >> (Alimentacin a travs de Ethernet) Tecnologa que permite a un cable de red Ethernet transmitir tanto datos como corriente. POP3 >> (Protocolo de oficina de correo 3) Protocolo estndar utilizado para recuperar correo electrnico almacenado en un servidor de correo. PPPoE >> (Protocolo a travs de Ethernet punto a punto) Tipo de conexin de banda ancha que proporciona autenticacin (usuario y contrasea) adems de transporte de datos. PPTP >> (Protocolo de tnel punto a punto) Protocolo VPN que permite tunelar el protocolo Punto a punto (PPP) a travs de una red IP. Este protocolo se utiliza tambin como tipo de conexin de banda ancha en Europa. Prembulo >> Parte de la seal inalmbrica que sincroniza el trfico de red. Puente >> Dispositivo que conecta dos tipos diferentes de redes locales, como por ejemplo una red inalmbrica a una red Ethernet con cable. Puerta de enlace >> Un dispositivo que interconecta redes con protocolos de comunicaciones diferentes e incompatibles.

Puerta de enlace predeterminada >> Dispositivo que redirecciona trfico de Internet desde su red de rea local. Puerto >> Punto de conexin en un equipo o dispositivo de red utilizado para conectar un cable o adaptador. Punto de acceso >> Dispositivo que permite a los equipos y a otros dispositivos equipados con funcin inalmbrica comunicarse con una red con cable. Tambin se utiliza para ampliar el alcance de una red inalmbrica. RADIUS >> (Servicio de usuario de marcado con autenticacin remota) Protocolo que utiliza un servidor de autenticacin para controlar acceso a redes. Red >> Serie de equipos o dispositivos conectados con el fin de compartir datos, almacenamiento y la transmisin entre usuarios. Red troncal >> Parte de una red que conecta la mayora de los sistemas y los une en red, as como controla la mayora de datos. Rendimiento >> Cantidad de datos que se han movido correctamente de un nodo a otro en un periodo de tiempo determinado. RJ-45 >> (Toma registrada 45) Conector Ethernet que alberga hasta ocho hilos. RTP >> (Protocolo de tiempo real) Un protocolo que permite especializar aplicaciones tales como llamadas telefnicas, vdeo y audio a travs de Internet que estn teniendo lugar a tiempo real. RTS >> (Solicitud para enviar) Mtodo de red para la coordinacin de paquetes grandes a travs de la configuracin Umbral de solicitud de envo (RTS). Servidor >> Cualquier equipo cuya funcin en una red sea proporcionar acceso al usuario a archivos, impresin, comunicaciones y otros servicios. Servidor de seguridad >> Un servidor de seguridad es cualquiera de los esquemas de seguridad que evitan a los usuarios no autorizados obtener acceso a una red de equipos o que supervisa la transferencia de informacin hacia y desde la red. Servidor de seguridad SPI >> (Inspeccin de paquetes de datos) Una tecnologa que inspecciona los paquetes de informacin entrantes antes de permitirles que entren en la red. SMTP >> (Protocolo simple de transferencia de correo) Protocolo de correo electrnico estndar de Internet. SNMP >> (Protocolo simple de administracin de redes) Protocolo de control y supervisin de

redes ampliamente extendido. Software >> Instrucciones para el equipo. Se denomina programa al conjunto de instrucciones que realizan una tarea determinada. SOHO >> (Oficina pequea/oficina domstica) El segmento de mercado de profesionales que trabajan en casa o en pequeas oficinas. SSID >> (Identificador de conjunto de servicio) Nombre de su red inalmbrica. Tasa TX >> Tasa de transferencia. TCP >> (Protocolo de control de transporte) Un protocolo de red para la transmisin de datos que requiere la confirmacin del destinatario de los datos enviados. TCP/IP >> (Protocolo de control de transporte/Protocolo Internet) Protocolo de red para la transmisin de datos que requiere la confirmacin del destinatario de los datos enviados. Telnet >> Comando de usuario y protocolo TCP/IP que se utiliza para acceder a equipos remotos. TFTP >> (Protocolo trivial de transferencia de archivos) Versin del protocolo FTP TCP/IP que utiliza UDP y no dispone de capacidades de directorio ni de contrasea. TKIP >> (Protocolo de integridad de clave temporal) Protocolo de cifrado inalmbrico que cambia peridicamente la clave de cifrado, haciendo ms difcil su decodificacin. TLS >> (Seguridad de capa de transporte) Protocolo que garantiza la privacidad y la integridad de los datos entre aplicaciones cliente/servidor que se comunican a travs de Internet. Topologa >> Distribucin fsica de una red. UDP >> (Protocolo de datagramas de usuario) Protocolo de red para la transmisin de datos que no requieren la confirmacin del destinatario de los datos enviados. URL >> (Localizador uniforme de recursos) Direccin de un archivo situado en Internet. VPN >> (Red privada virtual) Medida de seguridad para proteger los datos a medida que abandona una red y pasa otra a travs de Internet. WAN >> (Red de rea extensa) Grupo de equipos conectados en red en un rea geogrfica extensa. El mejor ejemplo de WAN es Internet. WEP >> (Protocolo de equivalencia con cable) WEP es un protocolo de seguridad para redes inalmbricas. El objetivo de WEP es proporcionar seguridad mediante el cifrado de datos a travs de ondas de radio, de forma que estn protegidos a medida que se transmiten de un punto a otro.

Para permitir la comunicacin entre los equipos y el enrutador se utiliza una clave compartida (similar a una contrasea). WEP ofrece un nivel bsico (pero satisfactorio) de seguridad para la transferencia de datos a travs de redes inalmbricas. WINIPCFG >> Utilidad de Windows 98 y Millenium que muestra la direccin IP de un dispositivo de red concreto. WLAN >> (Red de rea local inalmbrica) Grupo de equipos y dispositivos asociados que se comunican entre s de forma inalmbrica. WPA >> (Acceso protegido WiFi) Protocolo de seguridad para redes inalmbricas que se fundamenta en los cimientos bsicos de WEP. Asegura la transferencia de datos de forma inalmbrica mediante la utilizacin de una clave similar a WEP. La robustez aadida de WPA es que la clave cambia de forma dinmica. La clave, en continuo cambio, dificulta que un pirata informtico pueda conocer la clave y obtener acceso a la red. WPA2 >> (Acceso protegido Wi-Fi 2) WPA2 es la segunda generacin de WPA y proporciona un mecanismo de cifrado ms fuerte a travs del Estndar de cifrado avanzado (AES), requisito para algunos usuarios del gobierno. WPA-Enterprise >> Versin de WPA que utiliza las mismas claves dinmicas que WPA-Personal y tambin requiere que todo dispositivo inalmbrico est autorizado segn lista maestra, albergada en un servidor de autenticacin especial. WPA-Personal >> Versin de WPA que utiliza claves de cifrado en constante cambio y de mayor longitud para complicar el proceso de su decodificacin.

Criptoanlisis Anlisis de un sistema criptogrfico, sus entradas y salidas, o ambas, para obtener variables o datos sensibles, incluyendo el texto en claro (ISO ISO7498-2) Criptoanlisis Pasos y operaciones orientadas a transformar un criptograma en el texto claro original pero sin conocer inicialmente el sistema de cifrado utilizado y/o la clave. Criptoanalista o descriptador Persona que efecta criptoanlisis. criptoanlisis (o anlisis criptogrfico)

Anlisis de un sistema criptogrfico y/o sus entradas y salidas para derivar variables confidenciales y/o datos sensibles, incluido texto claro

Algoritmo de encriptacin (cdigo) - funcin matemtica que encripta y descifra datos. Para encriptar datos, se debe proporcionar una clave hecha de smbolos. Cdigos bloque - los algoritmos ms generalizados; encriptan datos por bloques de ciertos tamaos y transforman esos datos con claves en bloques del mismo tamao. Blowfish - uno de los algoritmos de encripcin en bloque ms poderoso, desarrollado por el criptgrafo Bruce Schneier. El tamao del bloque es de 64 bits; tamao de la clave - hasta 448 bits. CAST - un algoritmo bastante fiable con una longitud de clave de hasta 64 bits. Desarrollado por C.M. Adams y S.E. Tavares, quien lo ofreci en la competicin AES. DES - estndar de encriptacin obsoleto usado en los EE.UU. Debido a los compromisos de seguridad (descifrado en dos das por cualquier ordenador moderno) fue reemplazado por AES. Desarrollado por el Instituto Nacional de Estndar y Tecnologa (NIST). GOST - algoritmo sovitico creado por el KGB a finales de los 70. Funciona con bloques de 64-bits. Longitud de clave - hasta 256 bits. A pesar de los varios agujeros de seguridad que se encontraron, an se considera bastante fiable. Es el estndar de encriptacin de la Federacin Rusa. Rijndael - algoritmo, desarrollado por Joan Daemen y Vincent Rijmen. Cumple con los estndares de AES (Estndar de Encriptacin Avanzado). Utiliza claves de difrentes tamaos (128, 192 y 255 bits) y bloques del mismo tamao. Twofish - algoritmo que reemplaz a Blowfish, creado por Bruce Schneier, al igual que su predecesor. Considerado a prueba de piratas (no se han conocido incidentes de descifrado de cdigos). 3DES - utiliza el algoritmo DES, aplicndolo tres veces con claves diferentes, lo cual aumenta la fiabilidad comparado con DES, pero no cambia la situacin radicalmente (an es vulnerable). RC4 - un flujo de algoritmo de encriptacin usado en muchos sistemas de seguridad de redes (por ejemplo en el protocolo SSL usado en Netscape y la encriptacin de contrasea de Windows NT). Las mayores ventajas de este cdigo son su alta velocidad y tamao de clave ajustable. Este algoritmo fue desarrollado por RSA por Ronald Rivest. RC significa "Rons Code" (Cdigo de Ron) o "Rivest Cipher". Fue propiedad intelectual de RSA hasta 1995. Serpent - desarrollado por Lars Ramkilde Knudsen, un famoso criptgrafo y analista de criptografa, conocido por sus exitosos ataques criptogrficos a varios cdigos populares, quien trabaj y ense en universidades noruegas, suecas y belgas. Actualmente, Lars es profesor de matemticas en la Universidad Tcnica de Dinamarca. Tea - fuerte algoritmo (Tiny Encryption Algorithm). Su caracterstica principal es su pequesimo tamao. Tea es muy sencillo, no usa tablas de valores, y est optimizado para una arquitectura de procesador de 32 bits, lo cual hace posible usarlo con ASSEMBLER, incluso cuando el tamao del cdigo es extremadamente pequeo. Las desventajas incluyen el funcionamiento lento y la necesidad de "codificacin de datos" ya que no se usan tablas.

Ataque de diccionario - un mtodo de ataque criptogrfico que utiliza un diccionario normal que contiene palabras populares. Este mtodo de ataque es intil cuando se usan contraseas "sin significado". Fuerza bruta - el mtodo de ataque criptogrfico ms usado. Fue denominado "fuerza bruta" porque el atacante trata de conseguir la clave combinando aleatoriamente diferentes smbolos, nmeros y letras (naturalmente esto lo hace un ordenador). Para conseguir una clave de 128 bits con un ataque de fuerza bruta, se necesitan varios aos por trmino medio. Cuanto ms caracteres se usen en la contrasea y/o ms larga sea la clave, ms se tardar en descrifrar el cdigo (hasta cientos de aos).
Canal web Archivo, generalmente en formato XML, que contiene ttulos y resmenes de contenido web en constante cambio, como artculos de noticias, podcasts y blogs. Los canales web ofrecen vnculos a las versiones completas del contenido, mediante suscripcin o para descarga nica. Tambin se pueden compartir y volver a publicar en otros sitios web y, de esa manera, se crea una especie de sindicacin online. Consulte tambin RSS. Certificado digital Tambin llamado certificado de clave pblica o certificado de identidad. En criptografa de clave pblica, certifica que una clave pblica pertenece a la entidad que enva los datos cifrados o firmados digitalmente con esa clave. Los certificados digitales son emitidos por una autoridad de certificacin y contienen la clave pblica del emisor, ms una firma digital que verifica que el certificado es autntico y que la clave pertenece al emisor. Cifrado Mtodo de seguridad que vuelve la informacin ilegible a quien no tenga la clave para descifrarla. Se utiliza generalmente para proteger las compras y otras transacciones de Internet. Cuando un sitio web indica que es seguro, generalmente se refiere a que los datos que se envan y se reciben estn cifrados. Consulte tambin criptografa de clave pblica. Cifrado asimtrico Mtodo de cifrado que utiliza una clave pblica ampliamente conocida para cifrar mensajes y una clave privada correspondiente para descifrarlos. Cifrado simtrico Mtodo de cifrado que utiliza la misma clave secreta para cifrar y descifrar mensajes. Clave privada En el cifrado asimtrico, clave no publicada usada para descifrar mensajes cifrados con una clave pblica correspondiente. Clave pblica En el cifrado asimtrico, clave que se pone a disposicin de cualquier usuario que desee enviar un mensaje cifrado al propietario de la clave. El propietario de la clave pblica usa su clave privada para descifrar los mensajes. Criptografa de clave pblica Tcnica de cifrado que utiliza claves pblicas para cifrar mensajes, firmas digitales para validar la integridad de los mensajes y certificados digitales para autenticar la identidad de los propietarios de claves pblicas. Compresin de archivos o compresin de datos Reduce el tamao de un archivo mediante la codificacin de su contenido. La compresin se utiliza para maximizar el espacio de almacenamiento y facilitar la transmisin ms rpidamente en Internet. Los archivos comprimidos generalmente se ubican en un archivo de texto, y deben extraerse y descomprimirse antes de ser utilizados. Otros pueden utilizarse en forma comprimida. Los formatos comunes de archivo de compresin incluyen .ZIP, .SIT, .TAR, .JAR y .CAB. Consulte tambin compresin de imgenes. Compresin de imgenes Compresin de imgenes. Reduccin del tamao de un archivo de imagen, en la que se mantiene un nivel de calidad aceptable. JPEG y GIF son formatos de archivos de imgenes comprimidos comunes muy usados en la Web. Consulte tambin compresin de archivos. Cookie Pequeo archivo de texto que se ubica en la computadora o al visitar una pgina web. Se utiliza para recordar el usuario o sus preferencias cuando vuelva a visitar esa pgina o para realizar un seguimiento de sus actividades de navegacin. Las cookies facilitan el uso de carritos de compras virtuales, la personalizacin de pginas y la emisin de publicidad seleccionada. No son programas y no pueden leer el disco duro ni causar daos en la computadora.

Backup Copia adicional de los archivos de la computadora que generalmente se guarda en un lugar fsicamente separado de los originales. Resulta fundamental para la recuperacin cuando se daan o se pierden los archivos originales.

Blog Proviene de "Web log" (registro web). Un sitio web donde un individuo publica entradas de diario o comentarios con cierta regularidad. Algunos propietarios de blogs permiten que otros publiquen entradas en sus sitios. Desfragmentacin o desfragmentar Proceso por el cual se reorganiza la informacin que contiene su disco duro ubicando partes de sus archivos en un orden ms lgico y en una ubicacin ms prxima unos de otros. La fragmentacin puede disminuir el rendimiento de la computadora. Al desfragmentar las unidades, stas funcionan ms rpidamente y cuentan con mayores reas de espacio libre.

Direccin IP Direccin de protocolo de Internet. Identificador exclusivo para cada computadora u otro dispositivo en una red, incluso Internet. Las direcciones IP, similares a un nmero telefnico, son una serie de nmeros que permiten a las computadoras, los routers, las impresoras y otros dispositivos reconocerse (identificarse) entre s y comunicarse.

Direccin URL Localizador uniforme de recursos (Uniform Resource Locator) Direccin de un sitio web o una pgina web (por ejemplo, www.symantec.mx /la o mx.norton.com). Los navegadores usan las direcciones URL para identificar y descargar pginas web de los servidores web en donde se encuentran Falsificacin de dominio o Secuestro de dominio Manipulacin del sistema de nombres de dominio a fin de asociar una direccin web legtima con un sitio web falso o malicioso. Se utiliza en actividades de phishing y para realizar otros tipos de ataque. Se dirige al usuario al sitio web falso con advertencia insuficiente o nula.

Falsificacin de URL Intento de enmascarar o imitar fielmente la direccin URL que aparece en la barra de direcciones del navegador web. Usado en ataques de phishing y otras estafas de Internet para que un sitio web falso parezca legtimo. El atacante oculta la direccin URL real al superponer una direccin que parece legtima o una direccin URL similar.

Firewall (personal) Software que controla el acceso y las comunicaciones entre una computadora e Internet o una red local. Impide el acceso a hackers y otro tipo de trfico no autorizado, a la vez que permite el trfico autorizado.

Firewall (red) Dispositivo de hardware o software, o ambos, que controla el acceso a red y las comunicaciones entre una red e Internet, o entre una parte de la red y otra.

Firma digital Utilizada en la criptografa de clave pblica para validar la integridad de los datos cifrados y confirmar tanto la identidad del titular del certificado digital como la autenticidad del certificado. Gusano Adaptado de la novela de ciencia ficcin The Shockwave Rider. Programa generalmente malicioso que puede copiarse y propagarse por s mismo a travs de Internet mediante programas de correo electrnico u otras herramientas de transporte. Tambin puede poner en peligro la seguridad de una computadora infectada o causar daos al sistema y los datos. HTTP Protocolo de transferencia de hipertexto. Serie de pautas de comunicacin convencionales utilizadas para controlar la transmisin de informacin en servidores y navegadores web por Internet.

HTTPS Convenciones de HTTP para la transmisin de informacin a un servidor que se encuentra protegido con medidas de cifrado o autenticacin. La direccin URL de los sitios web que ofrecen conexiones HTTP seguras comienza con https://.

Hub de red Dispositivo de hardware que conecta computadoras entre s en una red local

FTP Protocolo de transferencia de archivos. Serie de pautas de comunicacin convencionales para la transferencia de archivos entre computadoras online. Si bien la mayora de los navegadores web permite transferir archivos mediante FTP, tambin se puede usar un programa de FTP especfico, que suele ofrecer mejores funciones de seguridad Pgina web Archivo, generalmente en formato HTML, disponible para su visualizacin mediante un navegador en la Web. Las pginas web pueden incluir textos, imgenes y recursos multimedia. Generalmente incluyen hipervnculos a otros archivos o pginas web, y algunos pueden incluir formularios para enviar informacin a la pgina host.

PDA

Asistente digital personal. Computadora porttil que generalmente contiene libretas de direcciones, blocs de notas y otro software de organizacin personal. Muchos PDAs pueden conectarse a la Web, enviar correo electrnico y sincronizarse con computadoras particulares; otros funcionan como telfonos celulares.

Phishing Intento de engaar a los usuarios para que divulguen informacin personal, como nmeros de documentos de identidad y contraseas. El phishing generalmente utiliza correo electrnico o mensajes instantneos que parecen legtimos, en combinacin con sitios web falsos a fin de realizar solicitudes fraudulentas de informacin (es decir, salir a pescar datos). Consulte tambin ingeniera social.

Pharming Intento de defraudar navegantes de Internet a travs del secuestro del nombre de dominio de un sitio web, o URL, y el redireccionamiento de los usuarios a un sitio web falso donde se realizan solicitudes fraudulentas de informacin. Consulte tambin falsificacin de URL.

Podcast Proviene de "iPod broadcasting" (transmisin de iPod). Serie de archivos de audio MP3, actualizados con regularidad, que estn disponibles en la Web para una nica descarga o suscripcin. Los subscriptores de podcast reciben actualizaciones de forma automtica mediante canales web de RSS.

Punto de acceso Wi-Fi rea fsica donde se puede usar un dispositivo con Wi-Fi para conectarse a Internet mediante una red inalmbrica pblica. Si bien algunos puntos de acceso no poseen medidas de seguridad instaladas, otros usan WEP o WPA para asegurar las transmisiones. Registrador de pulsaciones Software que supervisa y captura toda la informacin que un usuario escribe en el teclado de una computadora. Utilizado con fines de soporte tcnico y supervisin. Tambin se puede integrar en malware con el objetivo de obtener contraseas, nombres de usuario y otra informacin privada.

Router Dispositivo de hardware que conecta dos redes y dirige el trfico de una red al destino adecuado en la otra. Algunos routers, que a menudo se utilizan para conectar una red a Internet, tienen firewalls en red y otras funciones incorporadas.

RSS

Really Simple Syndication. Formato XML usado para crear canales web de contenido disponible en sitios de noticias, blogs y otros sitios web con informacin en constante cambio. Los canales generalmente contienen titulares y resmenes de contenidos, y los subscriptores utilizan lectores RSS para verlos. Spim o spam instantneo Mensajes instantneos no solicitados, normalmente enviados a una gran cantidad de cuentas de MI. En muchos casos, contiene materiales de marketing y vnculos a pginas web de productos. Tambin puede usarse en estafas de phishing o para diseminar . Consulte tambin spam.El spyware o software espa generalmente se ejecuta en segundo plano y, en algunos casos, se instala automticamente en la computadora sin el conocimiento ni el consentimiento del usuario.

SPIT Spam enviado por telefona de Internet. Llamadas telefnicas de VoIP no solicitadas que se envan de manera masiva por Internet. Si bien an no constituye una molestia o amenaza importante, podra convertirse en un problema grave a medida que el VoIP se vuelva ms popular. Consulte tambin spam y spim.

Spyware Software que recopila informacin sobre una computadora y sobre el uso que se le da, y transmite esa informacin a otro a travs de Internet. Troyano Programa malicioso disfrazado de software legtimo; generalmente permite a otro usuario tomar el control remoto de una computadora. Tambin puede atacar datos o sistemas. A diferencia de los virus y los gusanos, los troyanos no pueden replicarse ni propagarse por s mismos y, por lo tanto, deben valerse de otros mtodos de distribucin. Virus Un programa que puede replicarse solo e infectar archivos, programas y sistemas de computadoras. Algunos virus simplemente se replican y se diseminan por s mismos, mientras que otros tambin pueden daar el sistema y los datos de la computadora.

VoIP Voz sobre IP. Servicio de telefona digital que facilita las transmisiones de voz en Internet u otras redes IP. WEP Privacidad equivalente almbrica (Voice over Internet Protocol) WEP, que pertenece a la norma IEEE 802.11, es un protocolo de seguridad para el cifrado de informacin y la prevencin del acceso no autorizado a las redes inalmbricas. La WEP fue diseada para ofrecer seguridad similar a la de las redes conectadas por cables, pero presenta graves fallas, por lo que fue reemplazado por WPA y WPA2 como protocolos de preferencia para la seguridad inalmbrica.

Widget Componente grfico interactivo, como un botn, una casilla de seleccin, una ventana o un cuadro de texto. Tambin se refiere a los programas pequeos de escritorio que muestran informacin en tiempo real y ofrecen un rpido acceso a las funciones de uso frecuente.

Wi-Fi Wireless Fidelity (fidelidad inalmbrica). Juego de palabras proveniente del ingls "hi-fidelity" que significa "alta fidelidad". Trmino descriptivo usado para hacer referencia a las redes inalmbricas y dispositivos 802.11, o cualquier dispositivo relacionado con la tecnologa inalmbrica 802.11 (por ejemplo, punto de acceso Wi-Fi).

WPA Acceso Wi-Fi protegido. WPA, que pertenece al estndar inalmbrico 802.11, es una extensin y una mejora del protocolo de seguridad WEP y ofrece mejores medidas de cifrado y autenticacin de usuarios.

WPA2 , que pertenece al estndar inalmbrica 802.11, mejora el protocolo de seguridad WPA. WEP, WPA y WPA2 continan en vigencia, pero WPA y WPA2 ofrecen mayor proteccin. XML Lenguaje de marcado extensible (Extensible Markup Language) De manera similar a HTML, XML es un lenguaje que usan los programadores web para dar formato y presentar informacin en la Web. A diferencia de HTML, XML no cuenta con un conjunto definido de marcas de formato. En cambio, es un meta-lenguaje que ofrece a los programadores flexibilidad para desarrollar sus propias marcas y, de esa manera, organizar y presentar informacin de formas innovadoras. Bibliografa:

http://mx.norton.com/security-glossary/article#principio