Seguridad en el Lugar del Evento y para el Proveedor

seguridad lugar evento - Seguridad en el Lugar del Evento y para el Proveedor

¿Cuáles son las preguntas correctas que hay que hacer a un equipo técnico que comprenda las implicaciones de seguridad? Preguntas para el lugar donde haremos el evento y, también, para el proveedor que nos proporciona Wifi.

Cuando hablamos con los proveedores de Wifi o con los encargados del lugar donde tendrá lugar un evento, tenemos que centrarnos sobre todo en la posibilidad de mitigar ataques MiTM (Man in the middle) ya que son los ataques más comunes y que más pueden afectar al flujo de nuestros eventos.

Ataques informáticos

En este método se introduce un intermediario (el cibercriminal o una herramienta maliciosa) entre la víctima y la fuente, en nuestro caso sería en el router aunque en otros casos podría ser una página de banca online o una cuenta de correo electrónico. Estos ataques son realmente efectivos y, a su vez, muy difíciles de detectar por el usuario, quien no es consciente de los daños que puede llegar a sufrir. Este método sólo necesita que el atacante se sitúe entre las dos partes que intentan comunicarse; interceptando los mensajes enviados e imitando al menos a una de ellas.

Por ejemplo, en el mundo offline se crearían facturas falsas, enviándolas al correo de la víctima e interceptando los cheques de pago de dichos recibos. En el mundo online, un ataque MiTM es mucho más complejo, pero la idea es la misma. El atacante se sitúa entre el objetivo y la fuente pasando totalmente desapercibido para poder alcanzar con éxito la meta.

ataque - Seguridad en el Lugar del Evento y para el Proveedor

En el ataque MiTM más habitual, se utiliza un router WiFi para interceptar las comunicaciones del usuario. Esto se puede realizar configurando el router malicioso para que parezca legítimo o atacando un error del mismo e interceptando la sesión del usuario. En el primero de los casos, el atacante configura su ordenador u otro dispositivo para que actúe como red WiFi, nombrándolo como si fuera una red pública (de un aeropuerto o una cafetería). Después, el usuario se conecta al router y busca páginas de banca o compras online, el criminal captura las credenciales de la víctima para usarlas posteriormente. En el segundo caso, un delincuente encuentra una vulnerabilidad en la configuración del sistema de cifrado de un WiFi legítimo y la utiliza para interceptar las comunicaciones entre el usuario y el router. Éste es el método más complejo de los dos, pero también el más efectivo ya que el atacante tiene acceso continuo al router durante horas o días. Además, puede husmear en las sesiones de forma silenciosa sin que la víctima sea consciente de nada.

Ciberdelincuentes

Una variante más reciente de este tipo de ataque es el ataque man-in-the-browser. En este contexto, el ciberdelincuente usa una serie de métodos para insertar un código malicioso en el equipo de la víctima que funciona dentro del navegador. Este malware registra, silenciosamente, los datos enviados entre el navegador y las páginas. Estos ataques han ganado en popularidad porque permiten al delincuente atacar a un grupo mayor de víctimas sin la necesidad de estar cerca de éstas.

hacker tarjetas - Seguridad en el Lugar del Evento y para el Proveedor

El ataque que es más habitual recibir en eventos es ARPspoof o envenenamiento de las tablas ARP que consiste básicamente en inundar la red con paquetes ARP indicando que la MAC address (identificador único de una tarjeta de red) es la asociada a la IP de la víctima y que la MAC está también asociada a la IP del router (puerta de enlace) de la red. De esta forma, todas las máquinas actualizarán sus tablas con esta nueva información maliciosa. Así, cada vez que alguien quiera enviar un paquete a través del router, ese paquete no será recogido por el router, sino por la máquina atacante, ya que se dirige a su dirección MAC, y cada vez que el router u otro equipo envíen un paquete a la víctima, sucederá lo mismo.

Ahora que entendemos el tipo de ataques que podemos recibir, surgen una serie de preguntas necesarias que hay que hacer a nuestro proveedor de Wifi para cerciorarnos de que podemos estar seguros de estos ataques.

¿Hay posibilidad de que unos usuarios no se vean con otros dentro de la misma wifi?

Cuando los usuarios de una red wifi pueden verse entre ellos (puedes hacer un ping o simplemente ver los archivos que tiene compartidos con la red), se puede realizar el ataque MiTM.

¿El router es capaz de detectar/detener ataques de ARP Spoofing?

Hay routers que son capaces de detectar estos ataques o simplemente vienen preconfigurados para que estos ataque sean inmediatamente mitigados. Es importante conocer si nuestro router tiene alguna de estas opciones.

Este tipo de ataque fue el que se llevó a cabo en el caso de Starbucks donde un atacante editó los paquetes que pasaban por el puerto 80 (el de internet) y modificó las cabeceras de las páginas que visitaban los usuarios de la red añadiendo un código en estas para minar criptomonedas.

web seguridad - Seguridad en el Lugar del Evento y para el Proveedor

¿Los dispositivos que se utilicen en el evento van a estar en una red separada de la red de los sistentes/invitados?

Si tenemos los dispositivos que vamos a utilizar en el evento en la misma red a la que acceden los asistentes, corremos el riesgo de que alguien realice un ataque MiTM y consiga el control de nuestros dispositivos. No queremos, por ejemplo, ver a un atacante poniendo contenido adulto en los monitores.

¿Los datos de acceso que vienen por defecto para la configuración del router van a cambiarse?

Uno de los errores más comunes es dejar los datos de acceso del router por defecto (que no la contraseña del wifi). Un atacante lo primero que va a hacer es entrar a http://192.168.1.1/ o http://192.168.0.1/ y probar si funciona el usuario admin y contraseña admin o 1234. Podemos evitar muchísimos problemas solo cambiando estos datos preconfigurados.

¿Se pueden tener logs de las conexiones al router y de los sitios a los que conectan cada una de las ip?

La mejor forma de saber si sufrimos un ataque es tener el tráfico de nuestra red controlado. Si tenemos logs de las conexiones de cada uno de los usuarios de nuestra red, podremos conocer si alguien está accediendo a un sitio malicioso.

¿Se puede mitigar un ataque de denegación de servicio/de autenticación dentro de la red?

Este ataque es menos común en redes wifi, pero si alguien quiere arruinar tu evento, será uno de los más efectivos. Consiste en congestionar la red de forma que cada usuario que se conecta a la red se desconecta al momento, denegando así el servicio y haciendo que ningún usuario pueda conectarse a internet.

¿Qué debemos preguntar al proveedor de servicios o plataformas (sitio web, registro en línea, aplicación de registro en el sitio, aplicación móvil, 1-2-1?

Muchas veces vemos en los medios cómo muchas plataformas y empresas han sido atacadas por hackers perdiendo así datos y dinero. Aunque nunca estamos seguros al 100%, debemos interesarnos en que los servicios y plataformas que contratamos estén al día con la seguridad y que trabajen activamente en la resolución de errores para evitar, en la medida de lo posible, que sufran uno de estos ataques que puedan afectarnos directamente.

Productos para Eventos Eventscase

Prueba la Plataforma de Gestión de Eventos EventsCase

Seguridad en eventos

Para estar al corriente de la seguridad de una plataforma, deberíamos conocer los siguientes siguientes datos:

  • ¿Se pueden contratar test de seguridad perimetrales y de penetración (pentesting) externos para comprobar la seguridad de la plataforma? Muchas veces la mejor manera de comprobar la seguridad de una plataforma o de un servicio es contratando tú mismo a otra empresa que realice tests de seguridad (aprobados previamente por la plataforma a testear). De esta forma te aseguras tener un informe fiable de las posibles fallas de seguridad que puedan tener, y en el caso de que las tuviesen puedes hablar con el equipo técnico que lleva los servicios para preparar un plan de resolución de estos.
  • ¿Las API son públicas o privadas? La mayoría de plataformas y servicios tienen una API pública o privada, es importante saber si el servicio que vas a contratar dispone de una y, sobre todo, como se solicita el acceso a esta.
  • ¿Qué información se puede obtener mediante las API? ¿Toda o parte de la información que se provee es sensible? Una vez sabemos que la empresa dispone de una API, tenemos que saber a qué tipo de información se puede acceder a través de esta y, sobre todo, ver si provee información sensible que pueda verse sin los permisos necesarios. Por ejemplo, que un usuario sin autenticar, o con un rol sin los suficientes permisos (un asistente por ejemplo) pueda ver datos privados de otros eventos a los que no tiene acceso.
  • ¿El proveedor se ha sometido a algún test de seguridad en el último año? Independientemente de que el proveedor te deje realizar tus propios tests de seguridad, es importante saber si ellos realizan tests regularmente (lo normal es que se los haga una empresa externa para corroborar la fiabilidad de los resultados) y, sobre todo, si se han sometido a algún test de penetración en el último año. Empresas como Tesla o Google pagan a los hackers que consiguen penetrar en sus servicios. Siempre tienen plataformas de test que son réplicas de las originales para que no afecten a los datos reales.
  • ¿Se trabaja activamente en la resolución de problemas de seguridad conocidos como, por ejemplo, los que se pueden encontrar en el Open Web Application Security Proyect (OWASP)? https://www.owasp.org/index.php/Main_Page. Los errores de seguridad aparecen cada día y los hackers pelean por encontrar cualquier hueco por el que colarse donde no pueden. Hay bases de datos abiertas que contienen la mayoría de los agujeros que se van encontrando como el caso de OWASP. Es importante que el equipo técnico de tu proveedor esté al tanto de los errores que puedan afectarles y trabajen continuamente en la resolución de estos.
  • ¿Tienen contratado algún tipo de firewall (como el WAF de Amazon o Cloudflare) para protegerse de ataques de denegación de servicio? Es importante que la plataforma o servicio de tu proveedor esté enmascarada con un firewall o balanceador de por medio como son el WAF de Amazon o Cloudflare ya que evitan que se conozca la IP directa del servidor. Además, estos firewall tienen reglas que permiten detectar y, en muchos casos, mitigar ataques de denegación de servicio o incluso algunos que afectan a la misma plataforma como XSS o SQL Injection.
  • ¿Tienen contratado algún monitor de rendimiento? ¿Qué ocurre si estás en mitad de tu evento y se cae el servidor de tu proveedor dejándote sin servicio? Muchos proveedores tienen contratados servicios como Pingdom (https://www.pingdom.com/), que se encargan de monitorear continuamente que un servicio esté activo. En el caso de una caída avisa inmediatamente al equipo técnico que puede encargarse de ver cuál es el problema y ofrecer una rápida respuesta evitando tiempos de demora.

eventscase tecnologia whitepaper es - Seguridad en el Lugar del Evento y para el Proveedor

Descarga nuestro Whitepaper: Tecnología para Eventos.

Jose Bort

Soy Jose Bort, CEO y Co-fundador de EventsCase, donde he conseguido un conocimiento más profundo de la industria profesional de eventos y las tecnologías que la rodean.
LinkedIn | Twitter

También te puede interesar...