Amenazas y Riesgos en el manejo de la Informacin

La tendencia del mundo actual a emplear nuevos mecanismos para hacer negocios, a contar con informacin actualizada permanentemente que permita la toma de decisiones, ha facilitado el desarrollo de nuevas tecnologas y sistemas de informacin, que a su vez son vulnerables a las amenazas inform ticas crecientes y por ende a nuevos riesgos! "n #iduagraria pensando en la seguridad de nuestros clientes, usuarios y funcionarios, e$ponemos las principales amenazas inform ticas y los posibles riesgos que podran materializarse, para evitar que su informacin caiga en manos inescrupulosas o sea vctima de fraude electrnico!

%&A' %on mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva! La va m s utilizada es la basada en el correo electrnico (%&A') pero puede presentarse por programas de mensajera instant nea (%&I') , por tel*fono celular (%&A' %'%), por telefona I& (%&I+) , el objetivo de esta amenaza es recolectar direcciones de correo electrnico reales para obtener beneficios econmicos, transmitir de virus, capturar de contrase-as mediante enga-o (phisihing), entre otros! Recomendaciones. /o enviar mensajes en cadena ya que los mismos generalmente son alg0n tipo de enga-o (hoa$)! 1uando necesite enviar un email por internet a varios destinatarios, es recomendable hacerlo con la opcin con copia oculta (111), ya que esto evita que un destinatario vea, o se apodere, del e2 mail de los dem s destinatarios! /o publicar una direccin privada en sitios 3ebs, foros, conversaciones online, etc!, ya que slo facilita la obtencin de las mismas a los spammers (personas que envan spam)! %i desea navegar o registrarse en sitios de baja confianza h galo con cuentas de e2mails destinadas para tal fin! /unca responder este tipo de mensajes ya que con esto slo estamos confirmando nuestra direccin de e2mail y slo lograremos recibir m s correo basura! "s bueno tener m s de una cuenta de correo (al menos 4 o 5). una cuenta laboral que slo sea utilizada para este fin, una personal y la otra para contacto p0blico o de distribucin masiva!

67A8 "s un mensaje de correo electrnico con contenido falso o enga-oso y normalmente distribuido en cadena, algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un ni-o enfermo o cualquier otra noble causa, otros contienen frmulas para hacerse millonario o crean cadenas de la suerte como las que e$isten por correo postal! Los objetivos que persigue quien inicia un hoa$ son. alimentar su ego, captar direcciones de correo y saturar la red o los servidores de correo!

Recomendaciones /o e$ponga en sitios p0blicos su direccin electrnica ni la de sus contactos 6aga caso omiso a este tipo de mensajes y elimnelos inmediatamente de su buzn! /o los reenve!

1digo malicioso (mal3are) "s un tipo de soft3are que tiene como objetivo infiltrarse o da-ar una computadora sin el consentimiento de su propietario, el t*rmino mal3are es muy utilizado por profesionales de la inform tica para referirse a una variedad de soft3are hostil, intrusivo o molesto! "l t*rmino mal3are incluye. 9irus. Los virus inform ticos tienen, b sicamente, la funcin de propagarse a trav*s de un soft3are, son muy nocivos y algunos contienen adem s una carga da-ina (payload) con distintos objetivos, desde una simple broma hasta realizar da-os importantes en los sistemas, o bloquear las redes inform ticas generando tr fico in0til! :usanos. +iene la propiedad de duplicarse a s mismo, los gusanos utilizan las partes autom ticas de un sistema operativo que generalmente son invisibles al usuario! A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a s mismo! Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan! +royanos. "s un soft3are malicioso que se presenta al usuario como un programa aparentemente legtimo e inofensivo pero al ejecutarlo ocasiona da-os, los troyanos pueden realizar diferentes tareas, pero, en la mayora de los casos crean una puerta trasera (en ingl*s bac;door) que permite la administracin remota del computador a un usuario no autorizado! Root;its. "s un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones! %py3are. "s un soft3are que recopila informacin de un ordenador y despu*s transmite esta informacin a una entidad e$terna sin el conocimiento o el consentimiento del propietario del ordenador! <eyloggers. %on programas maliciosos que monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envo al creador, por ejemplo al introducir un n0mero de tarjeta de

cr*dito el ;eylogger guarda el n0mero, posteriormente lo enva al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta! %tealers. +ambi*n roban informacin privada pero slo la que se encuentra guardada en el equipo! Al ejecutarse comprueban los programas instalados en el equipo y si tienen contrase-as recordadas, por ejemplo en los navegadores 3eb o en clientes de mensajera instant nea, descifran esa informacin y la envan al creador! Ad3are. "s cualquier programa que autom ticamente se ejecuta, muestra o baja publicidad 3eb al computador despu*s de instalar el programa o mientras se est utilizando la aplicacin! =Ad= en la palabra =ad3are= se refiere a =advertisement= (anuncios) en ingl*s! 1rime3are. 6a sido dise-ado, mediante t*cnicas de ingeniera social u otras t*cnicas gen*ricas de fraude en lnea, con el fin de conseguir el robo de identidades para acceder a los datos de usuario de las cuentas en lnea de compa-as de servicios financieros o compa-as de venta por correo, con el objetivo de obtener los fondos de dichas cuentas, o de completar transacciones no autorizadas por su propietario legtimo, que enriquecer n al ladrn que controla el crime3are! &harming. "s la e$plotacin de una vulnerabilidad en el soft3are de los servidores >/% (>omain /ame %ystem) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra m quina distinta! >e esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, acceder en su e$plorador de internet a la p gina 3eb que el atacante haya especificado para ese nombre de dominio!

Recomendaciones Instalar oportunamente las actualizaciones (parches) de seguridad del sistema operativo de su &1! +ener instalado y actualizado un sistema de antivirus y antispy3are! Instalar y configurar un fire3all!

Ingeniera %ocial %ocial "s una accin o conducta social destinada a conseguir informacin de las personas cercanas a un sistema de informacin, es el arte de conseguir lo que nos interese de un tercero por medio de habilidades sociales! "stas pr cticas est n relacionadas con la comunicacin entre seres humanos! Las acciones realizadas suelen aprovecharse de enga-os, tretas y artima-as para lograr que un usuario autorizado revele informacin que, de alguna forma, compromete al sistema! Los fines generales de la ingeniera social son.

"l usuario es tentado a realizar una accin necesaria para da-ar el sistema. este es el caso en donde el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto o abrir la p gina 3eb recomendada que terminar da-ando el sistema! "l usuario es llevado a confiar informacin necesaria para que el atacante realice una accin fraudulenta con los datos obtenidos! "ste es el caso del phishing, en donde el usuario entrega informacin al delincuente creyendo que lo hace a una entidad de confianza!

Recomendaciones "vite brindar informacin que pueda comprometer la seguridad personal o de los sistemas de informacin, datos como usuario, contrase-a, fecha de nacimiento, nombres de familiares, empresas, n0meros de tarjetas, situacin social, salud, costumbres, datos econmicos, etc! pueden ser utilizados por una persona inescrupulosa para efectuar acciones da-inas!

&hishing "s una modalidad de estafa con el objetivo de intentar obtener de un usuario informacin personal como. contrase-as, cuentas bancarias, n0meros de tarjeta de cr*dito, n0mero de identificacin, direcciones, n0meros telefnicos, entre otros, para luego ser usados de forma fraudulenta, para esto el estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicacin oficial electrnica, por lo com0n un correo electrnico, sistema de mensajera instant nea o incluso utilizando tambi*n llamadas telefnicas, de esta manera hacen ?creer? a la posible vctima que realmente los datos solicitados proceden del sitio ?7ficial? cuando en realidad no lo es! Recomendaciones #iduagraria /@/1A le solicitar informacin personal o financiera a trav*s de correo electrnico, llamada telefnica o mensaje corto (%'%)! Recuerde que para registrarse en nuestro portal 3eb o actualizar su informacin, siempre debe ingresar digitando la direccin 333!fiduagraria!gov!co Ante la recepcin de correos electrnicos sospechosos con temas relacionados con #iduagraria, comunquese a nuestra lnea de atencin al cliente a nivel nacional AB CAAA DED DED o en Fogot al GHA HBAA!

9ishing "l atacante cuando se vale de la t*cnica de vishing, enva mensajes de correo fraudulentos que sugieren llamar a un n0mero de tel*fono, en el cual un contestador autom tico va solicitando toda la informacin requerida para acceder a nuestros productos a trav*s de medios electrnicos!

@n ejemplo de vishing es. B! "l criminal configura un 3ar dialing (hacer llamadas a una serie de n0meros de tel*fono autom ticamente con el fin de encontrar mdems conectados y permitiendo la cone$in con alg0n otro ordenador) para llamar a n0meros telefnicos en una determinada regin! 4! 1uando la llamada es contestada, una grabacin toca y alerta que al ?consumidor? que por ejemplo su tarjeta de cr*dito est siendo utilizada de forma fraudulenta y que este debe llamar al n0mero que sigue inmediatamente! "l n0mero puede ser un n0mero gratuito falseado para la compa-a financiera que se pretende representar! 5! 1uando la vctima llama a este n0mero, es contestada por una voz computarizada que le indica al ?cliente? que su cuenta necesita ser verificada y le requiere que ingrese los BH dgitos de su tarjeta de cr*dito! I! 1uando la persona provee la informacin de su tarjeta de cr*dito, el visher (atacante) tiene toda la informacin necesaria para realizar cargos fraudulentos a la tarjeta de la vctima! G! La llamada puede ser tambi*n utilizada para obtener detalles adicionales como el &I/ de seguridad, la fecha de e$piracin, el n0mero de cuenta u otra informacin importante!

Recomendaciones 1uando reciba llamadas de n0meros desconocidos valide con quien se est comunicando y no suministre informacin confidencial si no est seguro de qui*n la est solicitando y el motivo! Recuerde que para hacer transacciones usted es quien inicia la comunicacin con las lneas telefnicas que #iduagraria ha definido!

%mishing mishing "s un tipo de delito inform tico o actividad criminal usando t*cnicas de ingeniera social empleado mensajes de te$to dirigidos a los usuarios de telefona celular! "l sistema emisor de estos mensajes de te$to o incluso un individuo el cual suele ser un spammer, intentar suplantar la identidad de alguna persona conocida entre nuestros contactos o incluso una empresa de confianza, solicitando el ingreso a una direccin en internet o un n0mero de 1all center falsos, con el fin de tratar de robar dinero o adquirir informacin personal! Recomendacin

:eneralmente los mensajes de te$to %'% recibidos anunciando premios, bonos, descuentos son falsos y slo buscan robar su dinero o informacin personal con fines criminales, evite comunicarse con los tel*fonos o sitios 3eb que le indican, reporte este tipo de mensajes en caso que se relacionen con #iduagraria y elimine los mensajes de su equipo mvil!