Robo de datos por Internet ¿cómo protegerse?

 

Quisiera compartir un boletin informatico que llego a mi email hace poco se trata del robo de datos a traves de la red, Cuando se habla de las ventajas de Internet, generalmente se tiene de mencionar todos los servicios que se ofrecen para los usuarios comunes y, no queda duda que estos servicios hacen más fácil nuestra vida (ampliamente hablando). Lo que no se menciona o, lo que se ignora es cómo facilita Internet el trabajo a los delincuentes.
En este caso no hablamos de lo sencillo que es robar la identidad de una persona o hacerse pasar por ella en cualquier sitio online … hablamos de cómo robar toda la información que esta persona conoce y utiliza a diario, para luego utilizarla en fraudes, estafas y robos financieros y económicos (reales, no virtuales).
Para comenzar debemos situar al delincuente en algún lugar "real" y para ello qué mejor que el ciberespacio, ese lugar entre la vida real y la virtual en donde transcurre nuestra vida en Internet. Los delincuentes actuales están en todas partes y en ninguna a la vez, pudiendo ser este lugar la casa de al lado, un país frío e inhóspito de Europa del Este o una isla paradisíaca del Pacífico. Por eso es importante comprender que ellos no están a nuestro alcance, no se los puede perseguir, denunciar o capturar, al menos con los procedimientos conocidos y comunes a los que se está costumbrado en la vida física.
 
Continuando con el proceso, la especialización de los delincuentes es cada vez mayor. En este contexto se logra una interacción fluida entre ellos porque cada uno conoce su negocio de la mejor manera, sin necesidad de conocer físicamente al otro. En este mundo virtual, la seguridad personal y la "anonicimidad" de todos es fundamental para que proceso funcione adecuadamente. Así, existen aquellos que obtienen la información, los que desarrollan y facilitan las herramientas, los que almacenan la información, los que distribuyen, propagan y utilizan las herramientas, los intermediarios, los que cobran, los que lavan el dinero, etc. Es un proceso mafioso en donde "cada uno recibe su parte del pastel".
El proceso consta básicamente de cuatro etapas:
1. Obtener información de la víctima: esta, a menos que se trate de un ataque dirigido, es desconocida para el atacante. En este contexto todos somos posibles blancos y víctimas: no es importante quienes, sino cuantas personas (a mayor cantidad mayor ganancia económica) La información buscada puede ser: nombres, direcciones, teléfonos, números de tarjetas, correos, cuentas de cualquier tipo, PIN, usuarios, claves, identificaciones, certificados digitales, fotos, videos… todo es útil.
2. Almacenar y procesar la información: los datos recolectados son almacenados en grandes bases en donde se realiza un adecuado filtrado y procesamiento de los mismos con el fin de darle el mejor uso posible. A partir de ese momento esa información queda disponible para quien desee comprarla.
3. Llevar a cabo el ataque propiamente dicho: en esta etapa se utiliza la información procesada para comenzar el ataque. Este puede ser la creación de casos de phishing, venta de productos por correo electrónico (spam), distribución de malware para continuar la cadena de robo de información, etc. En esta etapa el usuario es engañado de alguna forma
con técnicas de Ingeniería Social para que ceda información al delincuente.
4. Cometer el delito: la información recolectada durante las etapas anteriores es utilizada en el mundo físico para cometer un delito como puede ser transferencias monetarias, compra de insumos y productos, chantaje, extorsión, o cualquier otro tipo de delito común. Cada participante cobra lo que le corresponde en base al trabajo desempeñado en todo el proceso.
Las medidas de seguridad siguen siendo:
– No confiar en nada que llega por correo electrónico
– Nadie regala nada y los premios que aparecen de la nada no existen
– Las herramientas mágicas y gratuitas no existen
– Respetar al prójimo ya que muchos de estos engaños suelen basarse en
hacer creer al usuario que, a su vez, está engañando a otra persona .
– Sea precavido al navegar y aprenda buenas prácticas para hacerlo
– No piratee. En estos sitios se aprovechan de Ud.
– Utilice herramientas con contada historia en el mercado: antivirus,
firewall, antispam, etc.
– Lea sobre conceptos básicos de seguridad.
– Aprenda a configurar su sistema operativo o que alguien lo haga por
Ud. Todos los sistemas son tan seguros o inseguros como lo sea su
usuario.
– Solicite en su organización que lo capaciten. A veces la empresas
tampoco lo comprenden.

Mientras se siga ocultando que existen delitos informáticos, mientras los países sigan ignorando el tema, mientras los legisladores no estudien nuevas leyes, mientras los abogados y técnicos no se capaciten, mientras las empresas (financieras) sigan haciendo la vista gorda y pagando por nuestro silencio y los usuarios no sigamos ninguna de las recomendaciones previas, nosotros seremos cómplices. Queda claro que actualmente no existe una conciencia social sobre el uso de los recursos en línea y tampoco del poder que los delincuentes han adquirido en este tiempo: mientras nosotros estamos aprendiendo el concepto del uso de las redes, ellos probando nuestros desconocimiento en todas las demás áreas y, por ahora, van ganando.

 
 

FORMULARIO DE ENTRADA

Muchas veces queremos validar nuestro formulario de entrada a las aplicaciones de escritorio, mediante un Gestor de Base de Datos, el presetne ejemplo muestra la conexion a una Base de Datos en este caso MS Access para validar un usuario para el ingreso al sistema, implementado en la plataforma de desarrollo .NET . . . Bueno obviamente tenemos que tener la tabla de registro como usuario, empleado u otro creado en la BD.
 

Imports System.Data

Imports System.Data.OleDb


PublicClass FormLogin

    Private ds As DataSet

    Private da As OleDbDataAdapter

    ‘ El nombre de la base de datos:

    Dim URL AsString = Application.StartupPath + “\AlquilerYate.mdb”

    ‘ La cadena de conexión

    Dim sCnn AsString = “Provider=Microsoft.Jet.OLEDB.4.0; Data Source=” & URL

    ‘ La cadena de selección

    Dim sSel AsString = “SELECT dni,nombres,clave FROM usuario”


    PrivateSub FormLogin_Load(ByVal sender As System.Object, ByVal e As System.EventArgs) HandlesMyBase.Load

        Try

            ‘ Crear un nuevo objeto del tipo DataAdapter

            da = New OleDbDataAdapter(sSel, sCnn)

            ds = New DataSet

            ‘ Llenar la tabla con los datos indicados

            da.Fill(ds, “usuario”)

            Dim dr As DataRow = ds.Tables(“usuario”).Rows(0)

            Me.MaskedTextBoxDni.Text = dr(“dni”).ToString

            Me.TextBoxClave.Text = dr(“clave”).ToString

        Catch ex As Exception

            MessageBox.Show(“ERROR al conectar o recuperar los datos:” & vbCrLf & _

                            ex.Message, “Conectar con la base”, _

                            MessageBoxButtons.OK, MessageBoxIcon.Error)

        EndTry

    EndSub


    PrivateSub ButtonAceptar_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles ButtonAceptar.Click

        Static cuenta AsInteger

        Dim ObjDataView AsNew DataView

        ObjDataView.Table = ds.Tables(“usuario”)

        ObjDataView.RowFilter = “dni='” & MaskedTextBoxDni.Text & “‘” & ” and ” & “clave='” & TextBoxClave.Text & “‘”

 

        If ObjDataView.Count > 0 Then

            dniUser = MaskedTextBoxDni.Text

            NomUsuario(dniUser)

            My.Forms.FormPrincipal.Show()

            Me.Hide()

        Else

            cuenta += 1

            If cuenta = 3 Then

                MsgBox(“No puede ingresar”, MsgBoxStyle.Critical, “Error”)

                Me.Close()

                ExitSub

            EndIf

            MessageBox.Show(“Le quedan: ” + Str(3 – cuenta) + ” oportunidad(es)”, “Error en contraseña o nombre de usuario”, MessageBoxButtons.OK)

            MaskedTextBoxDni.Clear()

            TextBoxClave.Clear()

            MaskedTextBoxDni.Focus()

        EndIf

    EndSub


    PrivateSub NomUsuario(ByVal DNI AsString)

        Try

            Dim sql AsString = “SELECT nombres FROM usuario WHERE dni='” + DNI + “‘”

            ‘ Crear un nuevo objeto del tipo DataAdapter

            ‘Dim cnn As New OleDbConnection(sCnn)

            da = New OleDbDataAdapter(sql, sCnn)

            ds = New DataSet

            ‘ Llenar la tabla con los datos indicados

            da.Fill(ds, “usuario”)

            Dim dr As DataRow = ds.Tables(“usuario”).Rows(0)

            nomUser = dr(“nombres”).ToString

        Catch ex As Exception

            MessageBox.Show(“Datos No Validos:” & vbCrLf & _

                            ex.Message, “No Coinciden”, _

                            MessageBoxButtons.OK, MessageBoxIcon.Error)

        EndTry

    EndSub


    PrivateSub ButtonCancelar_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles ButtonCancelar.Click

        Me.Close()

    EndSub


EndClass