Por Josué Francisco Monge Álvarez – Estudiante de la Especialidad en Ciberseguridad

Nuestro mundo y su interconectividad son impresionantes. A su vez, como todo en este planeta, tenemos dualidad. Hay buenas intenciones detrás de todo lo creado; sin embargo, siempre habrá interferencias de terceros por razones meramente personales. Los motivos por los cuales alguna persona o entidad decide atacar o robar información de otro individuo son una respuesta emocional psicológica a una atribución de un aspecto o trauma del individuo. Una ilusión de control. Cualquier interferencia en anonimato y en secreto que vaya a comprometer la privacidad de un individuo representa una violación a los derechos integrales del ser humano.

Dicho esto, procederemos a exponer varias de las formas en las que podríamos ser atacados y cómo defendernos. Para comprender la vulnerabilidad del internet, debemos considerar como un hecho que no todo lo que vemos es lo que parece. Es tan fácil inducir una ilusión en internet, algo llamativo, y es un hecho de que hay de todo y para todo. Uno de los métodos más comunes es el Cross Site Scripting o XSS.

Un simple clic en el link equivocado y estaremos corriendo un script que probablemente tenga un código almacenado en algún servidor con la capacidad de penetrar en nuestro sistema. Dependiendo de la capacidad del código que se ejecute, podríamos hasta brindar remote control de nuestro entorno, lo que daría como resultado que una tercera parte tome control de nuestros dispositivos.

Si un link contiene una etiqueta como <script>, <object>, <embeded>, y <link>, es una buena idea considerar dos veces el hacer clic en el enlace. Si no se conoce la fuente, es mejor no ejecutar ninguno de estos parámetros, pues podríamos exponer nuestros dispositivos. Es importante recordar que la mayoría de nuestra información está almacenada en bases de datos contenidas en la nube. A nivel global, hay lenguajes de programación como el SQL utilizados por casi todas las bases de datos que poseen procesos estandarizados. Para un hacker con conocimiento promedio, alterar el contenido de una base de datos no es tan complicado como parece. Un par de sentencias en el servidor correcto, un nombre de usuario y una contraseña, y podremos alterar, insertar, eliminar y crear.

También se debe eludir cualquier carácter especial. El asegurarnos de que cualquier dato que pasa a los conjuntos de queries esté corregido es nuestra forma de evitar este tipo de amenazas. Gracias a la gran variedad de lenguajes de programación, ya se encuentran disponibles herramientas preprogramadas, como Django, un framework web que se asegura de que todos los modelos de queries estén corregidos antes de hacer un proceso. Velemos por que nuestra información se mantenga en manos propias. De lo contrario nuestra identidad web podría ser alterada por terceros.

Otra vulnerabilidad es la falsificación de petición en sitios cruzados. El Cross Site Request Forgery le permite a un tercero correr un exploit malicioso en un sitio web en que el usuario confía, mediante el almacenamiento de sus credenciales.

El ejemplo muy simple son las estafas de ofertas bancarias por correo electrónico. L a mayoría de personas almacenan su dinero en bancos. Gracias al internet, podemos darles acceso a clientes sobre esos fondos sin que ellos tengan que ir físicamente. Un nombre de usuario, una contraseña y tenemos acceso a nuestros ahorros. Por lo general, estas credenciales son almacenadas en las cookies para poder garantizarnos acceso o permiso en una transacción.

Ahora, si un atacante construye un formulario ejecutable con un clic, por ejemplo un caso típico: ¿Quieres ser millonario rápido?, y ese formulario es un procedimiento que le permite al atacante asociar los credenciales almacenados en las cookies del usuario, como los de transacciones bancarias, él puede extraer una cantidad de dinero o información específica. Como empresa y como ingenieros, la responsabilidad sería correr escaneos de vulnerabilidades de aplicaciones web. Actualmente, en el mercado tenemos herramientas automatizadas que les permiten a los usuarios escanear aplicaciones web para buscar vulnerabilidades como secuencias de comandos entre sitios, o inyecciones SQL, inyección de comandos, recorrido de rutas y una configuración de servidor insegura. Este tipo de protocolos se conocen como herramientas de pruebas de seguridad de aplicaciones dinámicas o DAST.

Como usuarios, olvidarnos no hacer clic en enlaces que no conozcamos que propongan escenarios poco probables. La mayoría de los sitios no oficiales están llenos de vulnerabilidades y los atacantes lo saben. Seamos cuidadosos con el contenido que ejecutamos en nuestros ordenadores, pues puede contener más de lo que creemos.

Como seres humanos, debemos considerar la ironía de nuestro mundo virtual, pues este nos enseña a protegernos de un ataque. Ya no se espera que no seamos atacados. Esto dice mucho de nosotros. Como se mencionó al inicio, no todo es lo que parece. ¿De qué queremos ser parte? ¿A quién le estamos dando nuestros datos? ¿Qué tan fácilmente estamos cayendo en las trampas cibernéticas a las que nos exponemos diariamente? Debemos cuidar nuestra información, para tener un futuro virtualmente seguro.

MOXIE es el Canal de ULACIT (www.ulacit.ac.cr), producido por y para los estudiantes universitarios, en alianza con el medio periodístico independiente Delfino.cr, con el propósito de brindarles un espacio para generar y difundir sus ideas.  Se llama Moxie - que en inglés urbano significa tener la capacidad de enfrentar las dificultades con inteligencia, audacia y valentía - en honor a nuestros alumnos, cuyo “moxie” los caracteriza.