lunes, 2 de mayo de 2016

Las leyes inmutables de la seguridad digital

Las  leyes inmutables de la seguridad digital



Si quieres preservar tu seguridad digital, lo primero que debes hacer es comprender estos principios.


Hace dieciséis años desde que Scott Culp, entonces investigador de seguridad en Microsoft, escribió un artículo titulado "Diez leyes inmutables de la seguridad". 

Estos leyess siguen vigentes, ya que nos permiten comprender la manera en la que son creadas las vulnerabilidades más relevantes: 
estos problemas no derivan de fallas en la forma en que los productos fueron creados, sino más bien de la manera en que funcionan los ordenadores y la forma en que los usuarios se relacionan con ellos, y es que por mucho que lo digamos, la gente no entiende que el 80% de los problemas del usuario con la informaica es por culpa de su mal uso y/o desconocimiento real de lo que con sus maquinas pueden y/o deben hacer.

1: Si un "tipo malo" puede persuadirte de ejecutar su programa en tu ordenador, ya no es más tu ordenador

Cuando ejecutas un programa o aplicación, estás tomando la decisión de entregarle cierto nivel de control sobre tu equipo. Ésta es la razón por la cual es importante no ejecutar jamás un programa que venga de una fuente en la que no confíes. Una simple búsqueda en internet de cualquier cosa que desees descargar (ese último episodio de Juego de Tronos) te llevará a miles de resultados llenos de phishing y malware, y con frecuencia basta simplemente con hacer clic en ellos para entregar el control de tu equipo a un software malintencionado.


2: Si un "tipo malo" puede alterar el sistema operativo de tu ordenador, ya no es más tu ordenador

¿Qué es un sistema operativo? Archivos almacenados en tu equipo que le dicen qué debe hacer. Si alguien más puede cambiar esos archivos, pues tu equipo puede hacer cosas completamente diferentes, como entregar tu información, almacenar tus pulsaciones de teclado, o borrar tus archivos. Ésta es la razón por la cual existen privilegios de administrador, y la razón por la cual no deberías usar una cuenta de administrador para tus actividades cotidianas.


3: Si un "tipo malo" tiene acceso físico a tu ordenador, ya no es tu ordenador


Sin importar que tu ordenador esté protegido con contraseña, hay cientos de maneras increíblemente sencillas de obtener acceso a toda la información contenida en él si tu adversario obtiene acceso físico al dispositivo. 
Ésta es la razón por la cual tus dispositivos deben estar físicamente protegidos contra un atacante (hay candados y alarmas par portátiles, y en general cifrar tus datos nunca es mala idea).

4: Si permites que un "tipo malo" ejecute contenido activo en tu sitio web, ya no es más tu sitio web


Si tu sitio web ofrece espacios abiertos donde las personas pueden subir archivos, y si esto permite que alguien suba programas que puedan ejecutarse en tu servidor o en el navegador de las personas que visiten el sitio web, esta persona podría obtener control de tus servidores, del almacenamiento de datos o de la red misma, y si hay otros sitios hospedados en la misma infraestructura, esto crearía peligros para ellos también.

5: Las contraseñas débiles derrotan la seguridad fuerte (y no digamos escribirlas en un posit en tu pantalla)

De nada sirve usar contraseñas en todos tus dispositivos y cuentas en línea, si el "tipo malo" puede hacerse con tu contraseña. Aprender a desarrollar contraseñas complejas es probablemente una de las medidas más esenciales que puedes tomar para preservar tu seguridad digital.


6: Un ordenador sólo está seguro en la medida en que su administrador es confiable, pero los usuarios suelen cargarse este principio


Todo ordenador tiene un administrador: alguien con los privilegios suficientes para instalar software, administrar el sistema operativo, añadir nuevos usuarios, etcétera. Esto significa, una persona con control absoluto sobre el ordenador: si el administrador no es confiable, está en capacidad de modificar o revertir cualquier medida de seguridad que hayas tomado, así como de borrar cualquier evidencia de ello. Por ende, sólo debes otorgar privilegios de administrador a personas en las que puedas confiar por completo.

7: Los datos cifrados sólo están tan seguros como la llave de cifrado y no siempre


En el mismo orden de ideas de las contraseñas débiles, si dejas la llave de tu casa debajo de una maceta en la puerta, no importa qué tan buena sea la cerradura. Tu llave de cifrado debe estar almacenada en algún lugar, y si el lugar donde está almacenada no es un lugar seguro, tus comunicaciones cifradas tampoco lo está. Si tu llave de cifrado es una contraseña, hazla tan fuerte como sea posible, y memorízala.


8: Un antivirus/antimalware desactualizado es sólo ligeramente mejor que ningún antivirus


Todos los días se crea nuevo malware: si la base de datos de malware está desactualizada, no reconocerá el malware más reciente. El malware tiene un tiempo de vida relativamente corto, dado que se esparce precisamente en el tiempo en el que los antivirus aún no pueden detectarlo: es indispensable acortar esa ventana de oportunidad tanto como sea posible, actualizando el software regularmente.

9: El anonimato absoluto no existe, online u offline


A menos que te mudes a una cueva en medio de la nada. Toda interacción humana implica un intercambio de datos, y si bien puedes protegerte en gran medida (usando anonimizadores, deshabilitando las cookies, navegando a través de Tor), la realidad es que no tienes control sobre la gran mayoría de la información que existe sobre ti en el mundo, y sumar una cantidad suficiente de información para identificarte es extremadamente fácil. Esto es lo mismo que decir que puedes tomar medidas para proteger tu privacidad, en particular si sabes de quién la estás protegiendo, pero si lo que buscas es completo y total anonimato, tendrás que empezar por desconectar el WiFi y mudarte al bosque.

10: La tecnología no es LA panacea


No existe tal cosa como la tecnología perfecta, ni menos aun,  100% segura. No existe tal cosa como "seguridad perfecta". Si alguien te está vendiendo eso, te está mintiendo como un bellaco y lo mas  probablelo haga para hacerte comprar un producto y si no mirar los usuarios de mac con el mackeeper, . 

El primer paso es comprender que la seguridad está compuesta de varios elementos, y que la tecnología es apenas un aspecto de ésta. 
Tener buenos hábitos, una comprensión amplia del riesgo y un poco de sentido común es tan importante, o incluso más, que tener buen hardware y buen software.
El aspecto más importante de la seguridad digital es comprender cómo funciona el riesgo, y entender estas diez reglas es una buena parte de eso.

 Léelas de nuevo. Envíaselas a tus amigos y a tu familia: es hora de protegernos, y todos podemos empezar por algún lado.


FUENTE: Por www.elbpresse.de (Own work) [CC BY-SA 4.0], via Wikimedia Commons

No hay comentarios:

Publicar un comentario

Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias