Cosas Basicas sobre ciberseguridad que deberias saber.
Cuando das una charla sobre protecciones basicas de seguridad informatica y sobre fallos de seguridad, siempre salen a la paleta los grandes buos, noticias y tonterias sobre virus, de grupos de hackers sin escrúpulos que pueden ponerte en apuros, o peor, poner en apuros todo un país. tras intentar conservar la presencia y no reirme mucho, al final casi siempre tengo que explicar lo mismo, desmitificando y aclarando conceptos y bulos (HOAX)1.- Tener una contraseña fuerte realmente puede prevenir la mayoría de ataques
Cuando la gente que dedica la mayor parte de su tiempo buscando brechas de seguridad y tratando de descubrir cómo los ciber-delincuentes intentan sacar provecho a esos fallos. A lo largo de su trabajo, se a visto de todo, desde los ataques más retorcidos a las estafas mas sencillas de ingeniería social.
En ese tiempo, lo que se ha descubierto es que hay dos soluciones muy simples para la mayoría de usuarios: una contraseña fuerte y la verificación en dos pasos.
a continuacion damos unos consejos y enlaces a programas de gestión / creacion de contraseñas
🔑 Master Password: https://ssl.masterpasswordapp.com/
🔑 Keepass: http://keepass.info/download.html
🔑 Encryptr: https://encryptr.org/
Cómo gestionar todas tus contraseñas online de forma sencilla y segura
La era de las contraseñas ha muerto, pero hasta que llegue el relevo (probablemente algún sistema…Y es que el mayor problema es que las noticias se centran en los casos de ataques más complicados y eso deja en los usuarios cierta sensación de que no pueden hacer nada para defenderse por sí mismos, pero eso no es cierto. ¿como protegernos?
He notado un montón de nihilismo en los medios de comunicación, los expertos en seguridad y la propia opinión pública desde que los documentos de Snowden se hicieron públicos.
Este nihilismo suele expresarse levantando las manos y diciendo: “No hay nada que pueda hacer para estar a salvo”. Es cierto que una persona normal no puede hacer mucho contra la infraestructura de una gran agencia de inteligencia capaz hasta de reescribir el firmware de un dispositivo, pero eso no debería disuadir a los usuarios de hacer lo que esté en sus manos para protegerse de amenazas más probables, y a los expertos en seguridad de crear sistemas de protección prácticos contra adversarios mas reales. ¿Empezamos?
A nivel de usuario, las personas p ueden protegerse contra los ataques más probables y dañinos con solo seguir dos simples pasos:
1) Instalar un programa de gestión de contraseñas para crear códigos únicos para cada uno de los servicios que usemos.
2) Activar la verificación en dos pasos (generalmente vía mensajes de texto) en su correo electrónico y redes sociales.
Esto es especialmente importante porque una vez que los ciber-delincuentes descubren una contraseña de cualquier tipo la usan para probar suerte en otros servicios con el fin de hacerse con la mayor cantidad de información posible.
Ojala los medios de comunicación dejaran de extender la idea de que, por el hecho de que las amenazas de alto nivel sean cada vez mas sofisticadas, no es posible protegernos en la mayor parte de escenarios e incluso inventarse o exagerar noticias.
Adam J. O’Donnell, ingeniero en el Grupo Avanzado de Protección contra Malware de Cisco, comento hace poco:
Mi consejo para el ciudadano medio: Haz buenas copias de seguridad y ponlas a prueba a menudo. Usa un sistema de gestión de contraseñas y una contraseña diferente para cada servicio.
Realmente, tener una buena contraseña es fácil y sigue siendo la mejor protección que puedes tener.
2.-El hecho de que un dispositivo sea nuevo no significa que sea seguro
Lo se, cuando abres la caja de tu nuevo smartphone, tableta o PC huele a plástico nuevo y las baterías funcionan de maravilla, pero eso no quiere decir que el equipo no esté ya infectado con malware o lleno de vulnerabilidades. y si no mirar esta noticia de nuestro blog
Un consejo muy extendido en este mundillo, es no creer en el mitos que los dispositivos comienzan su vida útil completamente seguros pero van mostrando fallos con el tiempo.
Simplemente no es cierto. Algunos dispositivos hasta vienen con malware instalado de serie como el famoso Superfish que venía en tantos equipos Lenovo.
Un ejemplo, por lo que Superfish fue un caso tan extendido. Hicieron una puerta trasera, pero la hicieron tam sumamente mal, que cualquiera con minimos conocimientos podía utilizarla.
Y es que confías en un código escrito por otra persona o un servicio online sobre el que no tienes control hay posibilidades de que no actúen completamente en beneficio nuestro sencillamente porque su objetivo real es vendernos cosas.
Hay muchas posibilidades de que el sistema en cuestión ya esté comprometido o pertenezca a otra persona, Y no, no hay manera de gestionar la confianza para ello, y lo mas probable que haya muchas personas usando ya ese código.
El otro problema, que apareció a comienzos de este año con el ataque FREAK, es que muchas máquinas vienen con puertas traseras preinstaladas.
Estas puertas se instalan a petición del propio gobierno (por ahora el chino se lleva la palma) para que las agencias de inteligencia tengan más fácil hacer seguimiento a ciertos objetivos. El problema es que, una vez se conocen, estas puertas traseras pueden ser usadas por cualquiera:
Hay que tener en cuenta una cosa y es qué Es fundamental que entendamos que si se construye un sistema de monitorización en una red móvil o en un sistema de cifrado, cualquiera puede usarlo. Es una vulnerabilidad en el sistema y, por mucho que se intente controlar, una puerta trasera es una puerta trasera. Cualquiera puede entrar por ella si sabe cómo hacerlo.
3.- Hasta el mejor software tiene fallos de seguridad
Muchos imaginan que si el software es lo bastante bueno, es completamente seguro. FALSO y Debido a esta actitud, muchos usuarios se enfadan cuando las máquinas o software que usan resultan ser vulnerables a un ataque.
Después de todo, si somos capaces de diseñar un coche seguro, ¿por qué no vamos a poder diseñar un software seguro? Al fin y al cabo solo es cuestión de tener la tecnología adecuada ¿no?
Este concepto es totalmente erróneo. La información sobre seguridad se parece un poco a la medicina (un poco entre el arte y la ciencia) que a las ciencias puras. La razón es que la tecnología la fabrican seres humanos con motivaciones muy poco científicas.
La información sobre seguridad informática es, en muchos sentidos, parecido a la Medicina: es al mismo tiempo un arte y una ciencia. Es posible que sea porque los humanos han construido y diseñado, de manera expl ícita y desde cero, cosas como la seguridad e internet. Tenemos que asumir que deberíamos ser capaces de hacerlos a la perfección, pero la complejidad esto nos supera y ahora esa tarea parece casi imposible. Hacerlo seguro implicaría que no existiese ningún bug, algo imposible
Siempre habrá bugs en el software. Siempre. Algunos de ellos tendrá un impacto en la seguridad de muchos. El reto es darse cuenta de cuáles merece la pena arreglar y a cuáles merece la pena dedicar recursos. Mucha de esa especulación se basa en modelos básicos de amenazas que se beneficiarían enormemente si se fijasen más en las motivaciones humanas, como el crimen, la monitorización etc.
No hay ningún sistema 100% seguro. El objetivo de los que se encargan de protegerlo es hacer que el ataque resulte muy caro de realizar, no imposible:
Si se cuentan con suficientes recursos, siempre suele haber una manera para el atacante de romper la seguridad. “es una cuestión de cuando, no de si” . En su lugar, el objetivo de la seguridad informática es elevar los costes para los atacantes (en cuestiones como el tiempo, los recursos, la investigación... etc).4.- Cada página web debería usar HTTPS
Otro gran rumor habido y por haber sobre HTTPS. Que si es solamente para páginas que deben ser ultra seguras, que si no funciona realmente... todas son incorrectas. los investigadores sobre el uso de HTTPS desde hace varios años y trabajando con el proyecto de la Electronic Frontier Foundation llamado HTTPS Everywhere, afirman que hay un error de concepto muy peligrosos en el que la gente cree que la mayoría de webs y apps simplemente no necesitan HTTPS:
Es un serio error es algunos propietarios de páginas webs , como periódicos o redes de publicidad, pensando que “como no procesamos ningún pago online, nuestro sitio no necesita HTTPS”. Toda página en la web debería ser HTTPS, porque sin él es fácil para haceros, un ataque de curiosos o ver exactamente cómo la gente reacciona en el sitio, qué datos procesa tu aplicación o incluso alterar esos datos de manera maliciosa.
5.- La nube no es (100%) segura, de hecho sólo propicia nuevos problemas de seguridad
Una gran porcion de nuestros datos está en la nube en la actualidad. Ahí tienes tu correo, tus fotos, tus mensajes instantáneos, tus documentos médicos, tus datos del banco e incluso tu vida sexual. Y de hecho está ahí más segura de lo que cabría esperar. Al mismo tiempo, y sin embargo, crea nuevos problemas de seguridad que hay que tener en cuenta.
¿Como Funciona la nube?
Para tu casa , sabes exactamente el tipo de precauciones que debes tomar para protegerla contra intruso y además qué es lo que ganas y lo que pierdes para cada una de ellas. ¿Valla electrificada? ¿Un sistema de alarma? ¿Barrotes en la ventana? ¿O prefieres evitarlos porque afeaban la imagen de la casa?
¿Vives en un sitio con portero? Yo llegué a vivir en un sitio donde hacía falta una tarjeta de seguridad para ir a cada piso concreto: Era más enojoso y cansado, sí, pero también más seguro. El guardia de seguridad se aprendía los patrones de movimiento de los inquilinos y así puede reconocer intrusos potenciales. Tiene más información que el propietario individual.
Ahora una Comparativa de almacenamientos en la nube: cuál elegir y por qué
Hubo un tiempo en el que tener un pendrive de 32 Mb era como tener un tesoro. Poner tus archivos en la nube es parecido a vivir en uno de esos apartamentos. Sólo que más complicado ; Los servicios en la nube son capaces de correlacionar datos de sus clientes para deducir patrones que sean peligrosos para su seguridad. Puede que no tengas 100% acceso al lugar donde tus datos se están almacenando, pero hay alguien, un “portero”, en ese edificio virtual 24 horas 7 días a la semana y ese alguien ve los patrones y los logs del sistema, algo así como una protección derivada de ser una manada. Hay muchos que automáticamente lo hacen saltar: una única dirección IP accediendo a varias cuentas a al vez en varios países distintos donde nunca antes se ha accedido a esa cuenta. O que algunas de esas cuentas compartan un mismo tipo de archivo, indicando que puede ser malicioso.Si es un ataque más dirigido, los signos serán más sutiles. Ahí es prácticamente como buscar una aguja en un pajar, porque tienes que manejar muchos más datos. Hay mucho entusiasmo con el big data y el comportamiento de aprendizaje de las máquinas pero la verdad es que apenas estamos rascando la superficie ahora mismo. Un atacante con habilidad puede aprender a moverse de manera sigilosa y sin provocar que salten los sistemas de detección .
Resumiendo, algunos métodos de ataque automatizados hacen saltar las alarmas casi al instante. Pero también es sencillo esconderse. Honeywell aclara que los usuarios necesitan considerar cada clase de amenaza cuando elijan un servicio en la nube o uno local.
Los servicios en la nube son mucho más complejos que, digamos, un disco duro conectado a tu ordenador, o un servidor de email ejecutándose en tu casa. Hay muchos más lugares donde las cosas pueden salir mal, más partes móviles. Al mismo tiempo, también hay más gente encargada de que nada de eso ocurra. Lo que la gente debería preguntarse es: ¿es mejor que yo mismo me encargue de esto o debería dejar que gente con más tiempo, dinero y conocimientos se encargue? ¿En quién pienso cuando me viene a la mente un ataque informático: la NSA, un adolescente irritado o una ex-pareja? Conozco a gente que trabaja en Gmail y Outlook.com y hacen un mejor trabajo manejando ese tipo de asuntos del que yo habría hecho jamás. Es también una inversión de tiempo, porque administrar uno es un jaleo constante.
6.- Las actualizaciones de software son vitales
Una de las cosas que mas nos cabrea cuando usamos ordenadores, es que un popup salte recordando que tienes actualizaciones pendientes. A menudo tienes que enchufar el aparato a la corriente y en ocasiones pueden llevar un largo tiempo. Pero a la vez son lo único que se interpone entre tú y el malo de la peli.Los mensajes de actualización no están ahí exclusivamente para irritarte: la frecuencia con la que hace falta actualizar no depende tanto de las nuevas características sino más bien por fallos que algún atacante ha conseguido explotar. Estas actualizaciones lo identifican y lo arreglan. Lo más probable es que si tienes una herida en el brazo infectada no pases días sin tratarla. Aquí es lo mismo.
7.- Los hackers no son criminales (falso)
Los hacers son una cosa, los ciber-delincuentes otra, pese a que los medios de comunicacion se empeñen a meterlos a todos en el mismo saco, y eso a pesar de que décadas de historia indican lo contrario, los hackers no son lo que la mayoría de la gente piensa: adversarios con nada más que hace que robar sus preciados bienes digitales. La cuestión es que los hackers pueden llevar tanto un amable sombrero blanco como otro negro. Los que lo tienen blanco entran en sistemas antes que los del sombrero negro para parchar el problema.Los hackers no son criminales. Sólo porque alguien sepa como vulnerar algo no significa que utilizará ese conocimiento para hacer daño a los demás. La mayoría hacen de hecho que las cosas sean mejores.
Los hackers son necesarios porque el software sin más no puede protegernos al completo. Sí, los antivirus son un buen comienzo. Pero al final necesitas a expertos de seguridad como los hackers para defenderte contra adversarios que son, después de todo, seres humanos:
La seguridad no gira en realidad tanto en torno a construir muros de protección como en habilitar guardianes válidos para vigilar el paso. Las herramientas de defensa por sí mismas no pueden parar a un atacante con los suficiente recursos. Si alguien quiere entrar a toda cosa, comprarán toda herramienta de seguridad que les permita hacerlo y la probarán contra tí. Combatir eso requiere no solo buenas herramientas sino también buenas personas detrás de ellas.
Los hackers maliciosos raramente suponen la amenaza que la gente les atribuye. La mayoría de ataques, en realidad, vienen de gente que no te esperas y sus motivaciones suelen ser más complicadas que únicamente el hurto:
En muchas ocasiones un empleado supone una amenaza igual de grande en términos de seguridad, y puede hacer que esta vaya al traste de manera involuntaria. Al mismo, hay distinto tipos de ciberamenazas (cibercriminales, el estado, hacktivistas) con diferentes motivaciones y posibilidades. Por ejemplo, los cibercriminales que vulneraron Target y Anthem tenían un trasfondo completamente distinto a, por ejemplo, los gubernamentales que trajeron de cabeza a Sony Pictures.
8.- El ciberataque y el ciberterrorismo no son tan frecuentes, ni tan extendidos
Los expertos en seguridad lo confirman, tu mayor amenaza es que alguien entre en tus cuentas por culpa de una contraseña mal diseñada. Con todo, eso no impide que la gente se aterrorice por algún tipo de “ciberataque” criminal a más escala:
Sí, hay maneras de vulnerar un vehículo desde cualquier parte del mundo. Sí, los instrumentos de los hospitales como los marcapasos pueden controlarse remotamente y las bombas de insulina tienen direcciones IP o están disponibles vía Bluetooth. Pero a menudo al mayoría de ataques requieren un acceso por proximidad, y los exploits que son lo suficientemente útil requieren una buena cantidad de tiempo para desarrollarse e implementarse. Dicho eso, no deberíamos ignorar que millones de dispositivos conectados (el Internet de las Cosas) puede ampliar el número de cosas sobre las que se puede atacar y desde luego no es tan facl como las peliculas y los medios de comunicacion se empeñan en enseñarte.
Contraseña: 1234. La lamentable seguridad en hospitales españoles
La utilización de sistemas informáticos en hospitales y centros sanitarios no es nada nuevo.Básicamente, mucha gente tiene miedo de los ciberataques por el mismo motivo por el que tiene miedo de los asesinos en serie. Son la opción más aterradora, sí, pero también la menos plausible.
En cuanto al ciberterrorismo, a día de hoy no existe, lo que se atribuye al ciberterrorismo normalente pertenece a hacktivismo, conseguir acceder a la cuenta de Twitter de CENTCOM etc.
9.- Darknet y la Deepweb no son la misma cosa (ni de coña, ni es tanto como dicen)
Uno de los principales problemas en cómo los medios tratan el cibercrimen es no utilizar correctamente los términos “Darknet” y “Deepweb”La Deepweb se refiere a esa parte de Internet, dentro de la World Wide Web (así que tiene que empezar con www.) que no se indexa por los motores de búsqueda y por lo tanto es invisible para Google.
Darknet se refiere a redes que no están en la World Wide Web, y los usuarios necesitan un software especial para entrara, como es Tor. Por ejemplo, Silk Road y varios mercados ilícitos más operaban en la Darknet con redes como I2P y Tor.
Cómo empezar a utilizar el navegador anónimo Tor, paso a paso
Tor es una de las mejores herramientas para conectarse a Internet de manera segura (pero no es una panacea, y por si sola, no te protege mucho)
En conclusión: utiliza un gestor de contraseñas, utiliza la autenticación en dos pasos, visita sólo sitios que utilicen HTTPS y deja de preocuparte por ataques criminales ultra enrevesados. Por último, recuerda: los hackers están ahí para protegerte, al menos la mayoría de las veces.