El espionaje de red , también conocido comoataque de escucha , ataque de rastreo o ataque de espionaje , es un método que recupera información del usuario a través de Internet. Este ataque ocurre en dispositivos electrónicos como computadoras y teléfonos inteligentes. Este ataque de red generalmente ocurre bajo el uso de redes no seguras, como conexiones wifi públicas o dispositivos electrónicos compartidos. [1] Los ataques de espionaje a través de la red se consideran una de las amenazas más urgentes en las industrias que dependen de la recopilación y el almacenamiento de datos. [1] Los usuarios de Internet utilizan el espionaje a través de Internet para mejorar la seguridad de la información. [2]
Un espía de red típico puede ser llamado hacker de sombrero negro y se considera un hacker de bajo nivel ya que es fácil espiar la red con éxito. [1] La amenaza de los espías de red es una preocupación creciente. Se llevan a la luz pública investigaciones y debates sobre, por ejemplo, los tipos de espionaje, las herramientas de código abierto y las herramientas comerciales para prevenir el espionaje. [3] Se construyen y desarrollan modelos contra los intentos de espionaje de red a medida que se valora cada vez más la privacidad. Se mencionan secciones sobre casos de intentos exitosos de espionaje de red y sus leyes y políticas en la Agencia de Seguridad Nacional . [4] Algunas leyes incluyen la Ley de Privacidad de las Comunicaciones Electrónicas y la Ley de Vigilancia de Inteligencia Extranjera. [4]
Los tipos de escuchas clandestinas en la red incluyen la intervención en el proceso de descifrado de mensajes en sistemas de comunicación, el intento de acceder a documentos almacenados en un sistema de red y la escucha en dispositivos electrónicos. Los tipos incluyen sistemas de control y monitoreo de rendimiento electrónico, registro de pulsaciones de teclas, ataques de intermediario, observación de nodos de salida en una red y Skype & Type. [5] [6] [7] [8] [9] [10] [11]
Los sistemas electrónicos de control y monitoreo del desempeño son utilizados por empleados o empresas y organizaciones para recopilar, almacenar, analizar e informar sobre las acciones o desempeños de los empleadores cuando están trabajando. [5] En un principio, este sistema se utiliza para aumentar la eficiencia de los trabajadores, pero pueden ocurrir casos de escuchas involuntarias, por ejemplo, cuando se graban las llamadas telefónicas o conversaciones casuales de los empleados. [5]
El registro de pulsaciones de teclas es un programa que puede supervisar el proceso de escritura del usuario. Puede utilizarse para analizar las actividades de mecanografía del usuario, ya que el registro de pulsaciones de teclas proporciona información detallada sobre actividades como la velocidad de mecanografía, las pausas, la eliminación de textos y más comportamientos. [6] Al monitorear las actividades y los sonidos de las pulsaciones del teclado, se puede traducir el mensaje escrito por el usuario. Aunque los sistemas de registro de pulsaciones de teclas no explican los motivos de las pausas o la eliminación de textos, permiten a los atacantes analizar la información del texto. [6] El registro de pulsaciones de teclas también se puede utilizar con dispositivos de seguimiento ocular que monitorean los movimientos de los ojos del usuario para determinar patrones de las acciones de mecanografía del usuario que se pueden utilizar para explicar los motivos de las pausas o la eliminación de textos. [6]
Un ataque Man-in-the-middle es un método de escucha activa que se introduce en el sistema de red. [7] Puede recuperar y alterar la información enviada entre dos partes sin que nadie se dé cuenta. [7] El atacante secuestra los sistemas de comunicación y obtiene el control sobre el transporte de datos, pero no puede insertar mensajes de voz que suenen o actúen como los usuarios reales. [7] Los atacantes también crean comunicaciones independientes a través del sistema con los usuarios actuando como si la conversación entre usuarios fuera privada. [7]
En un contexto social, también se puede hacer referencia al “hombre en el medio” como “lurker”. Un lurker es una persona que rara vez o nunca publica algo en línea, pero permanece en línea y observa las acciones de otros usuarios. [8] El acecho puede ser valioso, ya que permite a las personas obtener información de otros usuarios. [8] Sin embargo, al igual que el espionaje, el acecho de la información privada de otros usuarios viola la privacidad y las normas sociales. [8]
Las redes distribuidas, incluidas las redes de comunicación, suelen estar diseñadas de forma que los nodos puedan entrar y salir de la red libremente. [9] Sin embargo, esto plantea un peligro en el que los ataques pueden acceder fácilmente al sistema y pueden causar graves consecuencias, por ejemplo, la fuga del número de teléfono o el número de tarjeta de crédito del usuario. [9] En muchas rutas de red anónimas, el último nodo antes de salir de la red puede contener información real enviada por los usuarios. [10] Los nodos de salida de Tor son un ejemplo. Tor es un sistema de comunicación anónimo que permite a los usuarios ocultar sus direcciones IP. [10] También tiene capas de cifrado que protegen la información enviada entre usuarios de los intentos de espionaje que intentan observar el tráfico de la red. [10] Sin embargo, los nodos de salida de Tor se utilizan para espiar al final del tráfico de la red. [10] El último nodo en la ruta de red que fluye a través del tráfico, por ejemplo, los nodos de salida de Tor, pueden adquirir información original o mensajes que se transmitieron entre diferentes usuarios. [10]
Skype & Type (S&T) es un nuevo ataque de escucha acústica del teclado que aprovecha la tecnología de voz sobre IP (VoIP). [11] S&T es práctico y se puede utilizar en muchas aplicaciones del mundo real, ya que no requiere que los atacantes estén cerca de la víctima y puede funcionar con solo algunas pulsaciones de teclas filtradas en lugar de cada pulsación de tecla. [11] Con cierto conocimiento de los patrones de escritura de la víctima, los atacantes pueden obtener una precisión del 91,7 % de lo que escribe la víctima. [11] Los atacantes pueden utilizar diferentes dispositivos de grabación, incluidos micrófonos de portátiles, teléfonos inteligentes y micrófonos de auriculares, para espiar el estilo y la velocidad de escritura de la víctima. [11] Es especialmente peligroso cuando los atacantes saben en qué idioma está escribiendo la víctima. [11]
Los programas informáticos cuyo código fuente se comparte con el público de forma gratuita o para uso comercial pueden utilizarse para evitar el espionaje de la red. A menudo se modifican para adaptarse a los diferentes sistemas de red y las herramientas son específicas en cuanto a la tarea que realizan. En este caso, Advanced Encryption Standard-256, Bro, Chaosreader, CommView, Firewalls, Security Agencies, Snort, Tcptrace y Wireshark son herramientas que abordan la seguridad de la red y el espionaje de la red.
Es un modo de encadenamiento de bloques de cifrado (CBC) para mensajes cifrados y códigos de mensajes basados en hash. El AES-256 contiene 256 claves para identificar al usuario real y representa el estándar utilizado para proteger muchas capas en Internet. [12] AES-256 es utilizado por las aplicaciones de Zoom Phone que ayudan a cifrar los mensajes de chat enviados por los usuarios de Zoom. [13] Si se utiliza esta función en la aplicación, los usuarios solo verán los chats cifrados cuando utilicen la aplicación y las notificaciones de un chat cifrado se enviarán sin contenido involucrado. [13]
Bro es un sistema que detecta atacantes de red y tráfico anormal en Internet. [14] Surgió en la Universidad de California, Berkeley , que detecta sistemas de red invasores. [3] El sistema no se aplica a la detección de escuchas ilegales por defecto, pero puede modificarse para que sea una herramienta de análisis fuera de línea para ataques de escuchas ilegales. [3] Bro se ejecuta en los sistemas operativos Digital Unix, FreeBSD, IRIX, SunOS y Solaris, con la implementación de aproximadamente 22.000 líneas de C++ y 1.900 líneas de Bro. [14] Todavía está en proceso de desarrollo para aplicaciones del mundo real. [3]
Chaosreader es una versión simplificada de muchas herramientas de espionaje de código abierto. [3] Crea páginas HTML con el contenido cuando se detecta una intrusión en la red . [3] No se toman medidas cuando se produce un ataque y solo se registra información como la hora, la ubicación de la red en qué sistema o pared el usuario está intentando atacar. [3]
CommView es específico de los sistemas Windows, lo que limita las aplicaciones del mundo real debido a su uso específico del sistema. [3] Captura el tráfico de red y los intentos de escuchas clandestinas mediante el análisis y la decodificación de paquetes. [3]
La tecnología de firewall filtra el tráfico de la red y evita que usuarios malintencionados ataquen el sistema de red. [15] Impide que los usuarios se introduzcan en redes privadas. Tener un firewall en la entrada de un sistema de red requiere autenticaciones de los usuarios antes de permitir acciones realizadas por estos. [15] Existen diferentes tipos de tecnologías de firewall que se pueden aplicar a diferentes tipos de redes.
Un agente de identificación de nodo seguro es un agente móvil que se utiliza para distinguir nodos vecinos seguros e informa al sistema de monitoreo de nodos (NMOA). [16] El NMOA permanece dentro de los nodos y monitorea la energía ejercida, y recibe información sobre los nodos, incluyendo la identificación del nodo, la ubicación, la intensidad de la señal, los conteos de saltos y más. [16] Detecta nodos cercanos que se están moviendo fuera del rango comparando las intensidades de la señal. [16] El NMOA envía señales al agente de identificación de nodo seguro (SNIA) y se actualizan mutuamente sobre la información del nodo vecino. [ 16] El Node BlackBoard es una base de conocimiento que lee y actualiza los agentes, actuando como el cerebro del sistema de seguridad. [16] El agente de administración de claves de nodo se crea cuando se inserta una clave de cifrado en el sistema. [16] Se utiliza para proteger la clave y a menudo se utiliza entre vehículos submarinos autónomos (AUV) , que son robots submarinos que transmiten datos y nodos. [16]
Snort se utiliza en muchos sistemas y se puede ejecutar en modo sin conexión mediante stream4. Stream4 reensambla los preprocesadores con otra opción de flujo. La función de parche de respuesta de snort se utiliza a menudo para reconstruir ejecuciones. [3] Actualmente, está desarrollado por Cisco y actúa como un sistema gratuito de detección de intrusiones en la red. [3]
Tcptrace se utiliza para analizar las intercepciones de red basadas en pcap , que es una aplicación de red de captura de paquetes que detecta el tráfico de red. Tiene una característica importante que monitorea los ataques de escuchas ilegales y puede reconstruir los flujos TCP capturados. [3]
Wireshark , también llamado Ethereal, es una herramienta de espionaje de código abierto ampliamente utilizada en el mundo real. La mayoría de las funciones de Ethereal están orientadas a paquetes y contienen una opción de reensamblado TCP para experimentos de seguimiento de intentos de intrusión. [3]
Los modelos se crean para proteger la información del sistema almacenada en línea y pueden ser específicos para ciertos sistemas, por ejemplo, proteger documentos existentes, prevenir ataques al procesamiento de mensajes instantáneos en la red y crear documentos falsos para rastrear a usuarios maliciosos.
Los documentos que contienen información falsa pero privada, como números de seguridad social inventados, números de cuentas bancarias e información de pasaportes, se publicarán deliberadamente en un servidor web. [17] Estos documentos tienen balizas que se activarán cuando un usuario intente abrirlos, lo que luego alertará a otro sitio que registrará el tiempo de acceso a los documentos y la dirección IP del usuario. [17] La información recopilada de las balizas se envía luego regularmente a los nodos de salida de Tor, donde el usuario será atrapado en el acto malicioso. [17]
El esquema de cifrado Butterfly utiliza marcas de tiempo y actualiza las semillas de los generadores de números pseudoaleatorios (PRNG) en un sistema de red para generar claves de autenticación y parámetros para los mensajes cifrados que se enviarán. [18] Este esquema puede funcionar en entidades que buscan un esquema de seguridad relativamente económico pero eficiente, y puede funcionar en diferentes sistemas ya que tiene un diseño simple que es fácil de modificar para propósitos específicos. El esquema de cifrado Butterfly es efectivo porque utiliza un parámetro cambiante y tiene una marca de tiempo impredecible que crea un sistema de seguridad de alto nivel. [18]
Cfones es un modelo creado para proteger las comunicaciones VoIP. Utiliza el protocolo Short Authenticated Strings (SAS) que requiere que los usuarios intercambien claves para garantizar que no haya intrusos en la red en el sistema. [7] Esto es específico para los sistemas de comunicación que involucran tanto mensajes de voz como mensajes de texto. En este modelo, se proporciona una cadena a los usuarios reales y, para conectarse con otro usuario, se deben intercambiar cadenas y deben coincidir. [7] Si otro usuario intenta invadir el sistema, la cadena no coincidirá y Cfones bloquea a los atacantes para que no entren en la red. [7] Este modelo es específico para prevenir ataques de intermediarios. [7]
Los esquemas de interferencia amistosa (DFJ y OFJ) son modelos que pueden disminuir el riesgo de escuchas clandestinas al interferir deliberadamente en la red cuando un usuario desconocido está cerca del área protegida. [1] [19] Los modelos se prueban por la probabilidad de ataques de escuchas clandestinas en un entorno de prueba y se descubre que hay una menor probabilidad de ataques en comparación con un sistema sin esquemas de interferencia amistosa instalados. [1] Una característica de los esquemas DFJ y OFJ es que los modelos ofrecen un área segura de gran cobertura que está protegida de las escuchas clandestinas de manera efectiva. [1]
Un esquema de cifrado de miel se utiliza para fortalecer la protección de la información privada de los sistemas de mensajería instantánea, incluidos WhatsApp y Snapchat , así como para rastrear la información del espía. [12] HE contiene texto sin formato falso pero similar durante la fase de descifrado del proceso de mensajería instantánea con una clave incorrecta. [12] Esto hace que los mensajes que el espía está tratando de descifrar sean mensajes sin sentido. [12] Los esquemas HE se utilizan en sistemas específicos que no se limitan a los sistemas de mensajería instantánea, contraseñas y tarjetas de crédito. [12] Sin embargo, aplicarlo a otros sistemas sigue siendo una tarea difícil ya que se deben realizar cambios dentro del esquema para que se ajuste al sistema. [12]
El marco de Internet de las cosas implica cuatro capas de medidas de seguridad que son la capa de gestión, la capa de nube, la capa de puerta de enlace y la capa de dispositivo IoT. [20] La capa de gestión maneja las aplicaciones web y móviles. [20] La capa de nube supervisa la gestión de servicios y recursos. Actúa como un punto de acceso para que los usuarios se conecten a otros servicios de Internet. [20] La capa de puerta de enlace administra el módulo de filtrado de paquetes. Vincula la red de puntos finales de los servicios, procesa los documentos o la información y contiene tareas de seguridad que incluyen autenticación, autorización y cifrado. [20] Las dos tareas principales de la capa de puerta de enlace son detectar usuarios y realizar el filtrado del usuario real y de los usuarios maliciosos. [20] La capa de dispositivo IoT supervisa el rendimiento de la capa de puerta de enlace y verifica dos veces si todos los usuarios maliciosos se eliminan de la red, específicamente, la atestación es un mecanismo para medir la integridad del punto final y elimina nodos de la red si es necesario. [20]
Confiar completamente en los dispositivos o las empresas de redes puede ser riesgoso. Los usuarios de los dispositivos a menudo no son conscientes de las amenazas que existen en Internet y optan por ignorar la importancia de proteger su información personal. [21] Esto allana el camino para que los piratas informáticos maliciosos obtengan acceso a datos privados que los usuarios pueden desconocer. [21] Algunos casos de escuchas ilegales en la red que se han analizado incluyen Alipay y la computación en la nube.
La información privada de un usuario de aplicaciones de pago móvil, en este caso, Alipay , se recupera utilizando una identificación jerárquica específica para aplicaciones de pago móvil. [22] El sistema primero reconoce la aplicación utilizada a partir de los datos de tráfico, luego clasifica las distintas acciones del usuario en la aplicación y, por último, distingue los pasos completos dentro de cada acción. [22] Las distintas acciones en las aplicaciones de pago móvil se generalizan en unos pocos grupos que incluyen realizar un pago, transferir dinero entre bancos, escanear cheques y consultar registros anteriores. [22] Al clasificar y observar los pasos específicos del usuario dentro de cada grupo de acciones, el atacante intercepta el tráfico de red que utiliza y obtiene información privada de los usuarios de la aplicación. [22] Se realizan estrategias para prevenir incidentes, como la identificación facial o de huellas dactilares y la confirmación por correo electrónico o mensaje de texto de las acciones realizadas en la aplicación. [22]
La computación en la nube es un modelo informático que proporciona acceso a muchos recursos configurables diferentes, incluidos servidores, almacenamiento, aplicaciones y servicios. [23] La naturaleza de la nube la hace vulnerable a amenazas de seguridad y los atacantes pueden espiar fácilmente en la nube. [23] En particular, un atacante puede simplemente identificar el centro de datos de la máquina virtual utilizada por la computación en la nube y recuperar información sobre la dirección IP y los nombres de dominio del centro de datos. [23] Se vuelve peligroso cuando el atacante obtiene acceso a claves criptográficas privadas para servidores específicos, de los cuales puede obtener datos almacenados en la nube. [23] Por ejemplo, la plataforma Amazon EC2 con sede en Seattle, Washington, WA, EE. UU., alguna vez estuvo en riesgo de tales problemas, pero ahora ha utilizado Amazon Web Service (AWS) para administrar sus claves de cifrado. [23]
En ocasiones, los usuarios pueden elegir lo que publican en línea y deben ser responsables de sus acciones, incluyendo si un usuario debe o no tomar una foto de su número de seguridad social y enviarla a través de una aplicación de mensajería. Sin embargo, datos como los historiales médicos o las cuentas bancarias se almacenan en un sistema de red en el que las empresas también son responsables de proteger los datos del usuario. [21] Las compañías de seguros, los laboratorios médicos o las empresas de publicidad pueden robar los historiales médicos de los pacientes para sus propios intereses. [24] Información como el nombre, el número de seguridad social, la dirección de domicilio, la dirección de correo electrónico y el historial de diagnósticos se pueden utilizar para rastrear a una persona. [24] Escuchar a escondidas los informes del historial médico de un paciente es ilegal y peligroso. Para hacer frente a las amenazas de la red, muchos institutos médicos han estado utilizando la autenticación de puntos finales, protocolos criptográficos y cifrado de datos. [24]
En el Título III de la Ley de Privacidad de las Comunicaciones Electrónicas (ECPA, por sus siglas en inglés), se establece que es un “delito federal participar en escuchas telefónicas o escuchas electrónicas; poseer equipos de escuchas telefónicas o escuchas electrónicas; utilizar para divulgar información obtenida a través de escuchas telefónicas o escuchas electrónicas ilegales, o divulgar información obtenida a través de escuchas telefónicas o escuchas electrónicas ordenadas por un tribunal, para obstruir la justicia”. [4] Los funcionarios encargados de hacer cumplir la ley federales y estatales pueden tener permitido interceptar comunicaciones por cable, orales y electrónicas si y solo si se emite una orden judicial, se cuenta con el consentimiento de las partes o cuando un usuario malintencionado intenta acceder al sistema. [4] Si se viola la ley, puede haber una sanción penal, responsabilidad civil, acción disciplinaria administrativa y profesional y/o exclusión de pruebas. [4] Una sanción general es de no más de cinco años de prisión y no más de $250,000 para individuos y no más de $500,000 para organizaciones. [4] Si se producen daños, puede haber una multa de $100 por día de infracción o $10,000 en total. [4]
La Ley de Vigilancia de Inteligencia Extranjera otorga órdenes judiciales para “vigilancia electrónica, registros físicos, instalación y uso de registros de llamadas y dispositivos de rastreo, y órdenes para revelar elementos tangibles”. [4] Las órdenes judiciales emitidas sobre vigilancia electrónica permiten a los funcionarios federales utilizar la vigilancia electrónica, que incluye escuchas clandestinas, sin violar específicamente la Ley de Privacidad de las Comunicaciones Electrónicas o el Título III. [4]
La Organización para la Cooperación y el Desarrollo Económicos (OCDE) ha publicado una directriz para proteger la privacidad de los datos de los pacientes de salud . [24] La política establece que los datos individuales de los pacientes o sus datos personales deben estar seguros y que los pacientes no se enfrentarán a pérdidas arbitrarias relacionadas con la invasión de su información personal o sus condiciones de salud. [24] La política actúa como un estándar mínimo para los usos de la salud electrónica y todos los institutos médicos deben seguirla para proteger la privacidad de los datos de los pacientes. [24]