La Seguridad en las impresoras, ese gran desconocido.

La Seguridad en las impresoras

 

Todos  hablamos de seguridad en las empresas y qué activos proteger, de los posibles vectores o formas de ataques y su protección, y a todos,  enseguida se nos vienen a la cabeza las mil maneras y formas  de ataque de nuestros sistemas de información. Pero……  ¿qué ocurre con la seguridad en las impresoras?

 

La Seguridad perimetral, seguridad en las comunicaciones, seguridad en el puesto de trabajo, seguridad en los dispositivos móviles… son ejemplos de protección de activos de la empresa, pero nos olvidamos de algo.

Continue reading “La Seguridad en las impresoras, ese gran desconocido.”

Share Button

Proteger tus impresoras, puedes tener un disgusto


una de las cosas que no se mira nunca es la seguridad de nuestras impresoras, aunque por desgracia, nadie esta atento a ellas, cabe recordar que pueden ser un pozo de problemas y de hacking e infltración en nuestros sistemas, dandonos mas de un disgusto y problemas, ademas de poder ser utilizada como un almacen oculto de soft ¿ no te lo crees? lee el siguiente articulo y veras.

La Seguridad en las impresoras

Comencemos

Cuando hablamos de seguridad en las empresas y qué activos proteger, enseguida se nos vienen a la cabeza los distintos modos de ataque de nuestros sistemas de información y cómo protegernos de 
estos. Pero, ¿qué ocurre con la seguridad en las impresoras?

temas como la Seguridad perimetral, seguridad en las comunicaciones, seguridad en el puesto de trabajo, seguridad en los dispositivos móviles… son algunos de los ejemplos de protección de los activos de  nuestra empresa.

Pero, por desgracia, estamos pasando por alto un tema/agujero muy importante de seguridad en este planteamiento, y se trata de las impresoras
¿Existen posibles metodos de ataque a este tipo de dispositivos? Si es así, ¿cuáles podrían ser?. desde hace bastante tiemposi que es posible, pero el problema radica en que vemos a la impresora como una “simple” máquina cuya función es imprimir, pero no es realmente asi.
Detengmonos un momentoen analizar qué es una impresora, ya que, además de la electrónica y mecánica pura de una impresora, está dotada de una serie de puertos, interfaz de red, controladores, disco duro y un pequeño ordenador, con su BIOS y con su sistema operativo, que maneja estos 
recursos. ¿a que no lo habas pensado ¿?¿

¿Vas pillando La idea?  y ¿qué riesgos hay realmente? son varios, pero vamos a ver si podemos explicarlos mas o menos:

Metodo de ataque 1

La Confidencialidad del documento impreso
En los entornos corporativos es muy normal que se utilicen impresoras de red que está ubicadas en un lugar remoto de la oficina. pero.. ¿Qué ocurre si mandamos a imprimir un documento con información sensible? Desde que nos levantamos del puesto de trabajo hasta que recogemos el 
documento de la bandeja de la impresora, ¿Alguien ha podido ver o fotocopiar ese documento? ¿si la respuesta es no, mas vale que lo compruebes al 100%, te evitaras mas de un susto.

Algunas  impresoras suelen incluir una funcionalidad llamada impresión privada, que permite proteger con un PIN la impresión del documento, si no tiene esto tu impresora, creo que estas tardando en cambiartela/activarlo.

Con esta funcion el documento queda en cola hasta que el usuario llege, después de enviar el documento a imprimir, introduce su PIN de seguridad en la impresora para que ésta imprima el documento.

Vulnerabilidades

Nuestra impresora ejecuta una serie de servicios que se publican en unos puertos, por ejemplo para su administración. 
Hoy en día es bastante habitual que las impresoras puedan ser gestionadas vía Web, por lo tanto disponen de su propio servidor Web que permite esta administración. ¿tampoco lo habias pensado?
lo mas preocupante , es que el software que gestiona dicho servicio puede verse afectado por algún tipo de error que pueda dar lugar a una vulnerabilidad que podría ser aprovechada por un posible atacante y explotada para, por ejemplo, provocar una denegación del servicio, o un ftp.

Modificación de firmware

Las impresoras para mejorar sus funcionalidades o corregir posibles errores de sus software, permite la actualización de su firmware. 
y aunque el firmware normalmente está disponible en la Web del fabricante, puede pasar que un posible ataque podría hacer una alteración de este firmware para tomar el control de la impresora de forma remota, capturar tráfico o para lanzar ataques a otros dispositivos de la red. ¿ a que ya la cosa no es tan relajante como antes?

Robo de información

Existen muchas impresoras que incluyen un disco duro para el almacenamiento de información, como pueden ser trabajos, históricos de impresiones, documentos escaneados, etc. 
Lo peor, es que al final ese disco duro podría ser extraído de la impresora, y si no has tenido la precaucion del  cifrado o Encriptación de en la información de éste, se podría consultar sin ningún problema información sensible de los trabajos realizados en la impresora.

Indexación de impresoras en Internet

Una cosa que, personalmente, me da mas miedoes el que algunas impresoras, por razones extrañas, 
son publicadas directamente en Internet. 
Esta publicación da lugar a que motores de indexación de dispositivos como Shodan acaben añadiendo a su base de datos información de la impresora como puede ser:  
banner del servidor Web, dirección IP pública, servicios publicados, localización… Si además, la administración Web no ha sido protegida de forma adecuada, se podría dar el caso de que algún atacante tuviera fácilmente acceso a ella.   terrorifico

Instalación de aplicaciones maliciosas

Algo no menos importante, es la posibilidad de instalar aplicaciones en las impresoras. 
 Estas Aplicaciones que pueden ser potencialmente peligrosas y pueden ser usadas de forma maliciosa para controlar la impresora con fines fraudulentos, como puede ser la captura de tráfico de la red o acceder a trabajos de ésta. 
Se han dado casos muy curiosos como la instalación del juego Doom en una impresora. Otro metodo de ataque a tener muy en cuenta.

Con los posibles metodos de ataque que acabamos de comentar, creo  que son lo suficientemente peligrosos para que a los dispositivos como las impresoras, le demos mucha mas importancia de la que la damos actualmente y las vigilemos, aplicando una serie de políticas de seguridad para reducir al minimo los posibles riesgos que estos metodos puedan suponer para la empresa. 

En pocas palabras, estar muy atento, no nos podemos olvidar de la seguridad en las impresoras.
Share Button

Reglas basicas de protección contra el espionaje y hackers

Reglas de protección contra el espionaje y los ‘hackers’


Está claro que no todos podemos ser expertos en informática y codificación para proteger nuestros equipos y a nosotros mismos de los espías y delincuentes en la Web, pero si toma nota de estas claves, podras reducir reducirá  las posibilidades pero , si van a por ti, lo tienes malaun asi, aqui 
 teneis lo mas basico y necesario, mas que nada para dificultar este trago

1º Utilizar contraseñas seguras

¿Te suena,  verdad? Las contraseñas, la forma básica de proteger sus datos se deben elegir de manera cuidadosa. 

Las claves creadas a partir de conjuntos simples de números, palabras (incluso modificadas) o cualquier dato personal pueden ser ‘hackeadas’ por piratas cibernéticos en cuestión de segundos con ayuda de varios programa.
Recomendable: utilizar una combinación de letras en diferentes registros, mezclando números y
caracteres especiales.

Personalmente  mejor si la contraseña tiene más de 16 caracteres (por ejemplo: @ # — X< Rd_wM4Qu3p0_c0Wpl1c4 ^ 3D), de manera que para descifrar una contraseña, un atacante con un
‘software’ moderno necesitaría más de 200 años.

hay mucho soft en el mercado que permite la generacion de passwords aleatorios y seguros, eso ya es
cosa de vuestro bolsillo.

2º Cifrar los datos

Si, Es posible cifrar los datos de los discos duros y memorias extraíbles, lo que es  de gran ayuda si algún extraño se lleva su ordenador o le extrae el disco duro, ya que se requiere de una contraseña para poder leer el contenido o incluso no funciona sin el ordenador original.
Para los que usamos apple, tenemos eso resuelto: se puede utilizar el programa FileVault, que da la opción de cifrar completamente la información del disco duro, pero ojo, ralentiza nuestro equipo.

Para usuarios Windows: Las versiones profesionales del sistema operativo (Enterprise, Pro, Ultimate Edition) de Microsoft existe el programa integrado BitLocker.

Ademas, existen programas como,  VeraCrypt, cuyo desbloqueo le tomaría unos 40 años a los servicios de seguridad, contando con tecnologías modernas y actuales.

3º Cifrar el correo electrónico

Lo mas simple y utilizado para cifrar los mensajes de correo electrónico es utilizar la tecnología PGP, que cifra el mensaje antes de enviarlo y solo permite que lo lea el destinatario, que cuenta con una
contraseña. Aunque intercepten su correo electrónico, CASI no será posible leer el contenido.

4º Instalar una protección adicional contra el acceso sin autorización a sus cuentas

Ojo, es necesario activar, en lo posible, la identificación en dos factores, Una protección adicional de sus cuentas en las redes sociales, mensajería instantánea, correo electrónico, etc.
Cuando se activa esta función, al acceder a su cuenta tendrá que introducir no solo la contraseña, sino también un código que se crea en cada ocasión, el cual llega en un mensaje de texto al teléfono móvil o en la aplicación generadora de códigos(facebook, por ejemplo).

5º Almacenamiento remoto de datos, la famosa ‘ nube’

Muy aconsejable, ya que en caso de pérdida de cualquiera de sus dispositivos, la información se conservará intacta.

Apple y Google además ofrece el almacenamiento en icloud y en Google Drive, que está vinculado a su cuenta y que permite instalar la autenticación de dos factores, ver el historial de navegación y recibir notificaciones de acceso desde dispositivos desconocidos y validacion para el acceso de estos.
Los usuarios de Apple tienen acceso a iCloud, donde también se puede implementar el sistema de autentificación de dos factoresy la localizacion, Bloqueo y borrado de los dispositivos.

6º Introducir información importante solo en sitios con conexión segura

¿parece normal verdad? lo malo es que muy pocos o tuienen en cuenta, y es que, Cualquier información, desde el nombre de usuario y contraseña hasta el número de la tarjeta bancaria o su nombre, se deberia introducir solamente en sitios donde esté activo el protocolo HTTPS.

Este método de transmisión cifrada de información se diferencia de la habitual HTTP en que todos los datos que enviemos son encriptados y no ” pueden” ser interceptados.
Hay que prestar especial  atención al inicio de la dirección de las páginas web en tu navegador.
Si usted ve un candado verde y la abreviatura HTTPS, no hay problema. De lo contrario, los datos transferidos desde su dispositivo al sitio web no están cifrados y la información puede ser interceptada.
Google Chrome incluye automáticamente el HTTPS en todos los sitios donde está disponible, y en la mayoría de los sitios de banca también funciona de forma predeterminada, o también en el caso de Facebook. Pero en VKontakte, por ejemplo, tendrá que ajustarlo usted mismo.

Reducir al mínimo la posibilidad de espionaje y escucha de conversaciones

Los ‘hackers’ utilizan programas específicos y aprovechan las vulnerabilidades de los dispositivos para acceder a la cámara y el micrófono de los ordenadores, teléfonos o tabletas. La cámara web de un ordenador portátil puede cubrirse, pero no el micrófono, por lo que es mejor mantener las conversaciones importantes con el dispositivo apagado. Y si le preocupa que alguien pueda saber su ubicación, puede deshabilitar la función de geolocalización de su ‘smartphone’ o poner el aparato en modo de avión.

Bono extra (para los lectores aplicados que lo leyeron todo): consejos del buen usuario
* Para hacer transacciones importantes o compras por Internet, debe usar una computadora de cuya protección esté totalmente seguro. Es preferible no usar un equipo ajeno y recuerde que el ordenador que utiliza en el trabajo no le pertenece a usted, sino a su empleador.
* El ordenador debe tener ‘software’ original, ya que las versiones piratas pueden llevar ‘malware’ y ‘spyware’. Actualizar con frecuencia el dispositivo reduce el riesgo de ataques, ya que en las nuevas versiones los desarrolladores pueden haber eliminado las mayores vulnerabilidades.
* No conecte en su dispositivo medios extraíbles (memorias USB, tarjetas SD, teléfonos inteligentes) de dudosa procedencia. Incluso una simple lámpara de escritorio con USB puede contener una memoria con ‘software’ malicioso.
* No es bueno cargar el móvil o la tableta en cualquier lugar, a menos que sea absolutamente necesario, ya que al utilizar cargadores públicos como kioscos o una ‘caja con cables’, no se sabe exactamente qué aparato se está conectando. Es mejor buscar una toma de corriente y conectar su propio cargador.
* Utilice un antivirus. Muchos programas de antivirus populares tienen versiones gratuitas con capacidad suficiente para el usuario medio. Por ejemplo, puede instalar los productos de AVG, Avast o Kaspersky, y no se olvide de actualizarlo regularmente.

Share Button

Las nuevas leyes de la robotica

Cuando Issac Asimov publico:
Tres leyes de la robótica
En la ciencia ficción las tres leyes de la robótica son un conjunto de normas escritas por Isaac Asimov, que la mayoría de los robots de sus novelas y cuentos están diseñados para cumplir. En ese universo, las leyes son “formulaciones matemáticas impresas en los senderos positrónicos del cerebro” de los robots (líneas de código del programa que regula el cumplimiento de las leyes guardado en la memoria principal del mismo). 
Aparecidas por primera vez en el relato «Runaround» (1942), establecen lo siguiente:

  1. Un robot no hará daño a un ser humano o, por inacción, permitir que un ser humano sufra daño.
  2. Un robot debe obedecer las órdenes dadas por los seres humanos, excepto si estas órdenes entrasen en conflicto con la 1ª Ley.
  3. Un robot debe proteger su propia existencia en la medida en que esta protección no entre en conflicto con la 1ª o la 2ª Ley.
parece ser que estas se están quedando anticuadas y limitadas, y  Estas son las nueve leyes que recoge el documento «European civil laws rules in robotics» elaborado por la Eurocámara y que espera que Bruselas apruebe:

1. Proteger a los seres humanos de los daños causados por robots. Cabe recordar que la Carta de los Derechos Fundamentales de la Unión Europea (7 de diciembre de 2000), establece la dignidad humana como fundamento de todos los derechos.
2. Respetar el rechazo de la atención por parte de un robot. Este principio sigue al primero y establece el derecho de una persona a negarse a ser cuidado por un robot. La normativa se refiere a cuando una persona «se siente tan profundamente incómoda con su presencia (la del robot) que hace que sea insoportable». Afectaría a los casos en los que los robots, por ejemplo, den de comer a personas mayores o discapacitados.
3. Proteger la libertad humana frente a los robots. «Algunos robots autónomos podrían pisotear todas las libertades, con el pretexto de proteger a una persona», señala el documento. Por ejemplo, podría impedir a una persona enferma (un alcohólico, por ejemplo) comportarse de una manera peligrosa, impidiéndole beber. «Sin embargo, en Europa, la libertad humana está protegida. Para los parlamentarios, «es importante establecer un verdadero principio roboético» porque consideran que es muy difícil «aceptar que un robot puede imponer ciertos comportamientos» ya que la máquina «debe respetar la autonomía de decisión de una persona». El debate está en cómo actuaría el robot cuando alguien le contradiga, especialmente en torno a la seguridad. «Esto significaría adaptar el mensaje en función de la edad de la persona y el nivel de conciencia y comprensión. En segundo lugar, el robot debería tener derecho a un veto absoluto cuando la otra parte estuviera en peligro. Como tal, el robot no podría ser utilizado como un arma».
4. Proteger a la humanidad contra las violaciones de la privacidad cometidas por un robot. Los expertos recuerdan que «con sus muchos sensores, los robots autónomos, como los de seguridad o de cuidado de la salud, pueden tener acceso a un volumen de información para realizar varias funciones». Por tanto, la vida no solo de la persona dependiente, sino también de sus familiares, amigos o ayudanete, estaría expuesta ante la máquina. «El derecho a la intimidad ya está consagrado en el Convenio Europeo para la Protección de los Derechos Humanos y los Derechos Fundamentales de los Libertades», recuerdan.
5. Gestión de datos personales procesados por robots. Es un problema que recopilen «grandes volúmenes de datos» porque «una vez que los robots tengan las habilidades para comunicarse e interactuar, no sólo los intercambiarán sino que esta «comunicación puede ser imperceptible para los seres humanos». Para los ponentes, «el principio roboético de la gestión de datos personales procesados por robots es, pues, crucial».
6. Proteger a la humanidad contra el riesgo de manipulación por robots. Estos pueden generar miedo o fascinación. La empatía artificial es una realidad y, por tanto, un peligro para la persona. «Por lo tanto, siempre que un robot simule emociones, existe el riesgo de que una persona desarrolle el mismo tipo de vínculo». Por esta razón, hay que crear «un principio roboético que proteja a las personas manipulados por los robots».
7. Evitar la disolución de los vínculos sociales. El documento recuerda que los «robots autónomos ofrecen un remedio a varios problemas relacionados con el envejecimiento de las poblaciones» por lo que los servicios de salud perderían terreno. También los profesionales del sector.«Se supone que el robot mejora la calidad de vida de una persona» pero sin aislar al paciente de la sociedad. Por tanto, consideran que la máquina debe «acomo como un agente que ayuda a las personas mayores, enfermas o discapacitadas a ser más independientes» y que «no puede sustituir a seres humanos por completo».
8. Igualdad de acceso al progreso en robótica. La división digital es una realidad pero tanto usuarios profesionales como no profesionales deben tener las mismas oportunidades de acceso.
9. Restringir el acceso humano a las tecnologías de mejora. «Podría parecer paradójico tratar de promover el acceso a la robótica y luego pedir que sea restringido», rocoge el documento. Pero no. Los expertos se refieren a la posibilidad de crear un nuevo tipo de criatura híbrida: un «cyborg». «Los seres humanos en su forma actual quedarían en el olvido, obligándolos a mejorar o desaparecer. Por lo tanto, es esencial que se elabore un principio roboético para frenar tales errores».
Share Button

Ya lo tenemos, MacOs Sierra

Aunque hace dos meses que lo tenemos en prueba, desde el pasodo dia 20 ya es oficial, y el nuevo MacOs Sierra ya ha llegado, y estas son algunas de sus caracteristicas mas llamativas

1º Es mucho más eficiente, tratando de  intentar partido a las sugerencias de contenidos,

2º mejor integración de los servicios Siri y Cloud. 

Así es la nueva versión del sistema operativo de Apple  y tras quince años de existencia, cambia de nombre,  de Mac OS X a  macOS Sierra.


3º  más Integración con los dispositivos móviles
Aunque las novedades y cambios estéticos son mínimos, , la nueva versión pone ordenr a cada uno de los dispositivos Apple y que, por supuesto, como disponga el propietario.
Todo (por fin) sincronizado, una de sus novedades mas llamativas, junto al Siri es la función llamada «Auto Unlock», que sirve para que el ordenador se desbloquee automáticamente sin la necesidad de introducir contraseña.

De esta forma, si el usuario porta un Apple Watch, el sistema lo reconocerá de forma automática y no habrá que hacer nada más para acceder a él. Rápido y efectivo. pero tenéis que recordar,  q ue en caso de tener que reiniciar el sistema, éste volver a  pedir al usuario que introduzca la contraseña. lo normal, vamos. 😉

Además, el sistema de pagos móviles, Apple Pay, se levanta en la web para hacer de las operaciones algo más sencillas desde el Mac.

 De hecho, la llegada del servicio a la web permite pagar y completar la compra con el sensor biométrico Touch ID, presente en los iPhone y iPad más avanzados.
Según Apple, os datos de la tarjeta de crédito o débito no se comparten con el vendedor y toda la comunicación entre el dispositivo del usuario y los servidores de Apple «está protegida mediante cifrado seguro».

4º Siri: el gran invitado, llega para quedarse y ser un pilar fundamental

Era de lo mas esperado y que mas expectativas lleva causando desde su salida en los teléfonos APPLE y por fin esta aquí .
Sí, Se trata del asistente virtual Siri, convertido aquí en un valor añadido y la ventana a un control de las funciones más intuitivo y fácil de usar.

Con Siri, el sistema traspasa la limitación de inter-operabilidad  de los dispositivos móviles para adentrarse al entorno del ordenador, añadiendo, si cabe, una serie de características distintas y específicas para los ordenadores, aunque se echa en falta compatibilidad con otras plataformas de terceros, aunque según los rumores, puede que pronto sea también posible.

Y es que ahora, Siri está diseñado para que puedas enviar mensajes y emails, buscar documentos, consultar información, encontrar fotos en la biblioteca fotográfica del usuario, cambiar las preferencias del sistema y búsquedas en internet, el tiempo, etc…..  y una cosa de lo mas llamativa y util, es la posibilidad de arrastrar y soltar los resultados de Siri dentro de un documento o añadirlos a un panel para verlos más adelante, es decir, se pueden consultar posteriormente en un centro de notificaciones.

5º por fin, Llega el portapapeles universal, tan reclamado por los usuarios

Con la incorporación de un «Portapapeles Universal» apertir de este momento,  los usuarios podrán pegar en el ordenador un documento o foto que previamente han copiado en el teléfono móvil, por ejemplo.

Es completamente transversal y permite que los dispositivos se «comuniquen» entre ellos, pero, se requiere que los aparatos se encuentren bajo la misma red de internet.
Se trata de una funcionalidad muy útil a la que hay que sumarle una función por la que Apple ha permitido liberar espacio del disco duro almacenando directamente documentos antiguos o poco usados en la nube. Para ello, el espacio gratuito pasa de 20 GB a 150 GB.

6º Algunos cambios en Fotos

Fotos se ha actualizado con la nueva prestación llamada «Recuerdos», que capaz de crear colecciones de forma automática con una selección de las mejores fotos y vídeos, muy parecido a lo disponible en la nueva versión  iOS 10.
También se ha añadido una nueva herramienta de edición, Brillo, que ilumina las zonas oscuras y añade tonos más claros. Todo ello inspirado, en cierto modo, de su máximo rival, Google Photos.

7º Por fin, Mejora en las pestañas

Ahora  el concepto de pestañas existente en los principales navegadores de internet se extiende a otros servicios.
De esta forma, la prestación en modo «Pestañas» (ya era hora) está disponible en otras aplicaciones con varias ventanas, tales como Mapas, Mail, Pages, Numbers, Keynote, TextEdit e, incluso, algunas de terceros.

8º Imagen sobre imagen

Con la nueva forma de trabajo, En forma de capas, macOS Sierra permite el uso de la opción llamada «Imagen sobre Imagen» (Picture to Picture, en inglés), que permite que el usuario pueda reproducir, por ejemplo, un video (desde el navegador Safari e, incluso, desde la plataforma YouTube) al mismo tiempo sobre el escritorio o una determinada aplicación, al estilo de las últimas versiones de iOS.
 El diseño y funcionamiento es muy sencillo, Aparece una ventana flotante que puede cambiar de tamaño, mover o fijar en una esquina para seguir viendo el vídeo mientras trabaja en otra cosa. Práctico para esos momentos en los que uno está cubriendo una conferencia.

9º Los mensajes se vuelven más móviles

Mensajes, es otro de los que tiene campos muy agradables e útiles  con un nuevo diseño. Ahora se ofrecen más opciones visuales para enriquecer las conversaciones. La idea es hacer de estas algo más completa. Para ello, se puede desde previsualizar los enlaces web, compartir «stickers» hasta reproducir los vídeos sin salir de la propia aplicación, así como marcar un bocadillo de la conversación con un corazón.

10º Otra cosa que casi a pasado desapercibida, 

pero que se agradece mucho, es que el sistema detecta si un documento o web usa una tipografía no existente, te lo dice y te ofrece la opción de que el sistema te la cambie directamente (que es lo que hacia antes) o te da la opción de descargártela y añadirla a tu catalogo tipográfico.
ha varias cosas mas, y algunas muy interesantes, pero las dejaremos para próximos artículos y para nuestro programa JOBSIANOS

Share Button

Los 10 Mandamientos de la Seguridad Informática

    Los 10 Mandamientos de la Seguridad Informática

Hoy en día, la sociedad se encuentra informatizada en gran medida. 

Cada vez mas, nuestras actividades cotidianas las realizamos online. 
Y Los delincuentes, por desgracia, también forman parte de la sociedad y para poder seguir llevando a cabo sus robos y estafas han tenido que modernizarse. Todo tipo de delitos virtuales se suceden a diario, sustrayendo millones de dólares por año a personas de todo el mundo, que pecan de una inocencia extrema a la hora de operar una computadora. Por desgracia evitar caer en sus garras no es fácil: se necesita mucho rigor y constancia. 
por la red ley un gran articulo en ingles publicado en la revista de tecnología e informática dattamagazine donde se explican, las diez leyes que deberiamos seguir todos para reducir al mínimo la posibilidad de que seamos víctima de los cyberdelincuentes.

1. Cuidaras la seguridad del sistema Operativo:


Elegir el sistema operativo (S.O) adecuado según la importancia y pribacidad de los datos a almacenar y tratar, en el equipo es vital.

Si la información es crítica, lo ideal es emplear Sistemas Operativos muy seguros (como OpenBSD) o bastante seguros (GNU/Linux) y evitar a toda costa los menos fiables (todos los de la familia Windows, particularmente Vista y los anteriores a Windows 2000). 
Se debe eludir la utilización de cuentas privilegiadas, como Administrador o root, a las que sólo se recurrirá para instalar software o cambiar la configuración del sistema. Para las tareas de uso diario, debe emplearse una cuenta de usuario común, sin “superpoderes”. Todas las cuentas deben tener siempre contraseña y la misma contará con al menos 8 caracteres de largo y contendrá tanto letras como números, rehuyendo siempre al empleo de palabras que se hallen en el diccionario. Lo conveniente es usar directamente frases clave. En inglés, son conocidas como “passphrases” y un ejemplo típico sería algo así: “ 3 3 t i g r e s c o m e n d e 3 3 p l a t o s detrigo”. Ocurre que hasta una contraseña aleatoria, pero de únicamente ocho caracteres de longitud, se encuentra expuesta a ser vulnerada en pocas horas mediante un ataque de fuerza bruta. Pero inclusive al equipo más poderoso de la actualidad le llevaría años crackear por fuerza bruta una contraseña de 30 caracteres de longitud.

2. Aplicaras regularmente las actualizaciones de seguridad. 

 


Hasta los S.O. más seguros tienen vulnerabilidades. Lo que los hace confiables no es solamente una baja cantidad de errores explotables, sino también la velocidad de sus desarrolladores para implementar una solución lo más rápidamente posible una vez que los mismos han sido detectados. Los S.O. de la familias *BSD y GNU/Linux suelen publicar actualizaciones de seguridad en forma diaria. Microsoft libera parches para sus S.O. bastante más esporádicamente. En cualquier caso, es responsabilidad del administrador del sistema controlar regularmente si se disponen de actualizaciones de seguridad para su correspondiente S.O. y aplicar las que sean indispensables. Nunca es buena idea configurar al equipo para que instale las actualizaciones de manera automática. Siempre es preferible que se nos notifique y poder elegir el momento en que se realiza la instalación de los parches e, incluso, excluir algunos en particular si no los necesitamos o no deseamos actualizar algún paquete determinado por razones de estabilidad.

3. Emplearas analizadores de integridad, antivirus y antispyware. 

 

 


Los usuarios de todos los S.O., pueden beneficiarse con los chequeos de integridad. Los programas o scripts que llevan a cabo esta labor son capaces de detectar cualquier modificación sobre un archivo o lote de archivos. Modificaciones inesperadas sobre documentos o, lo que es peor, sobre archivos del sistema revelarán la presencia de un malware o una intrusión no autorizada. En cambio, la utilización de antivirus y antispyware es imprescindible solamente para los usuarios de Windows. No es que no existan virus para otros S.O. como GNU/Linux, por ejemplo, pero la cantidad de virus reconocidos para esta familia de Sistemas Operativos se encuentra alrededor de los ochocientos, mientras que los virus para Windows ya han superado el medio millón. El antispyware también es fundamental para los usuarios de los S.O. de Microsoft, si buscan garantizar su privacidad. Multitud de programas gratuitos para Windows que se descargan por Internet instalan subrepticiamente programas ocultos que estudian nuestros hábitos y comunican esa información a sus creadores, quienes la convierten en valiosos datos estadísticos. Luego, se comercializan por mucho dinero a distintas empresas dedicadas al marketing y la publicidad.

4. Encriptarás la información sensible. 

 

 


Nunca debe almacenarse información crítica, como contraseñas, números de cuentas bancarias o de tarjetas de crédito, o cualquier otro tipo de datos confidenciales sin haber tomado la precaución de encriptarlos. Hay diversas maneras, algunas más sencillas (y, por lo tanto, menos seguras) y otras más sofisticadas. Lo importante es elegir los métodos a aplicar de manera acorde a la confidencialidad de dichos datos. Para guardar contraseñas, por ejemplo, existen diversos paquetes de software (incluso software de código abierto) que permiten resguardar en un único archivo, encriptado con una contraseña maestra, todas las cuentas de usuario que se necesiten junto con las correspondientes credenciales de acceso. Dado que es pésima idea usar la misma clave en más de un website o servicio, la cantidad de usuarios y contraseñas que tiene una persona promedio es tan elevada que, sencillamente, es imposible memorizarlas todas. Nunca deben alojarse, entonces, sin ningún tipo de protección. La misma norma rige para los documentos con información sensible. Si no se dispone de otra solución mejor, lo mínimo que se puede hacer es preservar la información sensible en un archivo ZIP o RAR codificado con contraseña o frase clave.

5. Usarás sólo modos seguros de acceder al e-mail. 

 

 


Si se dispone de una conexión permanente de banda ancha a Internet, y nuestro proveedor de correo ofrece el servicio de Webmail, lo mejor es utilizar directamente dicho servicio y no instalar ningún cliente de correo. Proveedores de Webmail como Google o Yahoo brindan capacidad casi infinita de almacenamiento y un servicio muy fiable, optimizan la seguridad en forma constante y proveen sus propios chequeos antivirus para los archivos adjuntos. Si no se cuenta con Webmail o, de todas maneras, se desea emplear un cliente de mail para acceder a los correos fuera de línea, se deben evitar los clientes de correo inseguros (usuarios de Windows: nunca valerse del Outlook ni Outlook Express) y nunca abrir archivos adjuntos a correos de desconocidos. Hay que prestar atención aun a los correos de nuestros propios conocidos, ya que ellos pueden estar infectados y enviando virus sin saberlo. Si un familiar nos manda un correo escrito en un idioma o estilo distintos de los habituales, conviene no abrir el archivo adjunto sin analizarlo e x h a u s t i v a m e n t e.

6. Utilizarás únicamente navegadores seguros para acceder a la web.


Los usuarios de Windows deben eludir el Internet Explorer como si fuera el peor de los males. No importa la versión, inclusive las recientes son muy inseguras debido a que su problema está en la misma arquitectura con la que fue concebido y lo arrastrará generación tras generación, salvo que se reescriba nuevamente el código desde cero. Ni siquiera nos detendremos en lo incorrectamente que renderiza las páginas y la escasa compatibilidad que tiene con los estándares que rigen la web actualmente, como XHTML/CSS. Cualquiera de los otros navegadores modernos es mejor: Firefox, Opera, Safari o Chrome son todos más seguros, veloces y estables que los navegadores de Microsoft. De todas formas, esto no quita que, asimismo, tengan sus problemas de seguridad, por lo cual debemos asegurarnos de actualizarlos siempre a la última versión apenas el navegador nos notifique que se han liberado actualizaciones. Firefox, por ser el más popular en este momento, es también el más atacado por los exploiters y se le han encontrado diversas vulnerabilidades. Pero dos hechos compensan este inconveniente: los veloces tiempos de respuesta para solucionar el agujero de seguridad por parte del equipo de desarrollo de Mozilla y la posibilidad de agregarle extensiones que lo tornan mucho más fiable, como Adblock Plus o No Script. (ver: Las mejores extensiones de FireFox para mejorar tu seguridad)

7. No abrirás enlaces ni archivos sospechosos.

 

 


Tanto el SPAM que llega por mail como el que recibimos por mensajería instantánea (MSN, Yahoo Messenger, etc.) suelen contener enlaces web o archivos adjuntos. La probabilidad de que estos archivos sean maliciosos es muy elevada. Lo mismo ocurre al visitar sitios web de software pirata o portales eróticos. En algunos, se abren innumerables popups que ofrecen de manera gratuita todo tipo de programas, hasta, con un dejo de ironía, supuestos antivirus y antimalwares que, en realidad, son todo lo contrario. No hace falta aclarar que nunca se deben descargar este tipo de archivos y, de hacerlo por error, eliminarlos sin ejecutarlos. Incluso a la hora de descargar software legítimo, lo preferible es realizarlo siempre desde la página oficial de su desarrollador o desde sitios de descarga reconocidos como Download.com, y evitar otros sitios más sospechosos, algunos de los cuales solicitan un pago monetario o el envío de SMS para habilitar la descarga de programas que sus creadores distribuyen en forma gratuita.

8. Ingresarás datos críticos, sólo en sitios seguros.

Una de las maravillas de internet, es la compra electrónica. Navegar por góndolas en la web, agregando productos al carrito, y, en un par de clicks, pagar con tarjeta de crédito para recibir los productos en la puerta de la casa, es una bendición para numerosas personas. Lo mismo para los hobbistas y aficionados a la lectura, o la música, o tantas otras actividades, que pueden encargar a otros países a través de la web productos inconseguibles en sus lugares natales y recibirlos a los escasos días. Lo mismo ocurre con el Home Banking. Evitar tener que ir al banco y sufrir horas de cola para hacer un trámite, pudiendo llevarlo a cabo en minutos en nuestra computadora en la comodidad del hogar, es invaluable. Pero tantas ventajas entrañan sus riesgos. A través de la técnica conocida como phishing y otro tipo de ataques maliciosos, delincuentes podrían hacerse con nuestros números de tarjeta de crédito, o de cuentas bancarias, y provocar desastres. Pero podemos estar tranquilos siguiendo estas pocas precauciones. Nunca ir al sitio del banco o de compras electrónicas a través de un enlace recibido por mail o mensaje instantáneo. Siempre escribir la dirección en la barra del navegador o recurrir a un favorito hecho por nosotros mismos. Verificar que los sitios en los que operaremos usan HTTP Seguro (en la barra de direcciones, el protocolo que debe figurar es “https://” en lugar de “http://”, y en la barra de estado del navegador, en la parte inferior, debe mostrarse la imagen de un candado cerrado). Si no son sitios HTTPS (”sitios seguros”), no debemos introducir allí nuestros datos. Si dichos sitios proveen un “teclado virtual” para tipear las credenciales de usuario siempre hay que emplearlo: ello nos librará del peligro de que nuestros datos sean capturados por un “keylogger”, que puede hallarse instalado en nuestro sistema si el mismo fue infectado a través de un troyano.

9. Si debes correr riesgos, usarás sandboxing.


De ser ineludible abrir un archivo sospechoso, nunca debemos hacerlo en nuestro equipo principal, aunque el análisis con uno o más antivirus indique que el mismo no está infectado. Existen varios modos de “aislar” el archivo comprometedor para poder ejecutarlo sin peligro de afectar el sistema si ocurre lo más temido. Lo más recomendable es el del uso de software de virtualización, como VMWare (propietario, aunque hay versiones gratuitas) o VirtualBox (Open Source), que emulan a una PC completa, con su disco rígido, placa de red y demás periféricos, en una ventana de nuestro Sistema Operativo anfitrión. Si estamos en la duda de si un documento de Word que recibimos contiene una información importante que estábamos esperando o un virus, lo conveniente es tener una máquina virtual de prueba, en la que seamos capaces de abrir el archivo en forma segura. En el peor de los casos, si constatamos que se trata de un archivo infectado, podemos borrar la máquina virtual o revertirla a un estado anterior a la infección por medio del sistema de “snapshots” que proveen tanto VMWare como V i r t u a l B o x.

10. Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad. 

 

 


Una de las mejores formas de rehuir a dolores de cabeza es prevenir. Específicamente para quienes administran sistemas con datos críticos, tener conocimiento sobre las recientes vulnerabilidades y exploits que van surgiendo para las tecnologías que se aplican en su área es el modo de evitar que el problema nos sorprenda cuando ya es demasiado tarde. Para ello, contamos con la invaluable ayuda de diversos sitios especializados, entre los cuales podemos mencionar, puntualmente, a Secunia.com, portal danés que ya lleva siete años manteniendo al tanto a la comunidad informática sobre las diferentes vulnerabilidades que se hallan a diario en los miles de paquetes de soft que componen un sistema informático moderno. Es de gran ayuda visitar estos sitios periódicamente o suscribirse a sus feeds RSS para permanecer actualizado.

Fuente: dattamagazine

Todo esto se reduce a uno:
“No te fies ni de tu sombra, por que  a la minima tendras problemas”.
Share Button