Blog http://clemkey.com/inicio.aspx Blog de ClemKey http://www.rssboard.org/rss-specification mojoPortal Blog Module carlos@clemkey.com 120 Blog de ClemKey Blog de ClemKey carlos@clemkey.com no Los cinco falsos mitos sobre seguridad en la red Cinco mitos erróneos sobre seguridad en la red persisten en buena parte de los internautas, como, por ejemplo, pensar que un ordenador infectado se detectaría fácilmente porque se bloquearía del todo, funcionaría más despacio y crearía ventanas emergentes indiscriminadamente, revela un estudio.

El sondeo, realizado en once países, entre ellos los grandes de Europa además de Estados Unidos y de Rusia, con datos de casi 15.560 internautas de edades comprendidas entre los 18 y los 65 años, subraya que los piratas informáticos buscan pasar desapercibidos en sus ataques, para así lograr mejor sus objetivos.

Aparte del mito erróneo de pensar que es fácil detectar un ordenador infectado, también persisten las ideas equivocadas de que el correo electrónico es la principal vía de contagio,y de que no se puede infectar el ordenador sólo con visitar una página web.

Según el estudio, los otros dos mitos sin fundamento que persisten son pensar que las plataformas de intercambio de archivos son los grandes difusores de malware, y que las páginas pornográficas son las más peligrosas.

Según los datos manejados, sólo el 7% de los internautas opina que no percibiría nada extraño en caso de que su ordenador resultara contaminado; y eso es precisamente lo que sucede normalmente.

Hoy en día los piratas informáticos son verdaderos "profesionales" que intentan pasar desapercibidos para hacerse con suculentos botines, como la obtención de datos personales para beneficiarse en los mercados negros de Internet.

Por otra parte, de acuerdo con las cifras, el 54% de los entrevistados (el 58% en el caso de los internautas españoles) sustenta erróneamente la idea de pensar que el correo electrónico es la principal vía de entrada del malware.

Sin embargo, según el estudio, este sistema de infección está anticuado y actualmente los ciberdelincuentes recurren a otros para llegar a sus víctimas, principalmente las redes sociales y la manipulación de sitios web.

Por otro lado, alrededor de la mitad de los encuestados ignoran la posibilidad de resultar infectados sólo con visitar una página web, a través de las denominadas descargas silenciosas (drive-by-download).

El 37% considera las páginas porno más peligrosas que el resto, pero la realidad es la contraria, dado que el mantenimiento y la seguridad de este sector, que genera tantos beneficios, suelen encargarse a verdaderos profesionales informáticos.

«Los cinco falsos mitos sobre seguridad en la red». CincoDias.com. Estudio de G Data. Consultado el 24 de junio de 2011.


Carlos López-Echeto Marrero  ...Tweet This
]]>
http://clemkey.com/los-cinco-falsos-mitos-sobre-seguridad-en-la-red.aspx http://clemkey.com/los-cinco-falsos-mitos-sobre-seguridad-en-la-red.aspx http://clemkey.com/los-cinco-falsos-mitos-sobre-seguridad-en-la-red.aspx Fri, 24 Jun 2011 21:54:00 GMT
Consejos sobre seguridad  

Hoy recibí una llamada de las que podemos llamar curiosas. Un amigo quería saber como recuperar la contraseña de una cuenta de Hotmail en la que no tenía configurado ni la dirección deConsejos de seguridad correo alternativa ni la pregunta de recuperación. Hasta aquí solo cabe comentar que los sistemas de recuperación de contraseñas se debe tener preparados para cuando se necesitan, si no habrá que recurrir a la recuperación “manual” si es que está disponible, es decir, contactar con algún operador, que tras verificar nuestra identidad nos habilite una nueva contraseña. Pero la historia tenia un trasfondo que me ha parecido interesante comentar, entonces hablemos un poco de seguridad...

Realmente lo mejor, quizás, es mantener una lista de contraseñas para no olvidarlas, hay aplicaciones gratuitas (o bastante económicas) para gestionar estas listas que se instalan en el móvil, lo que nos permite tenerlas a mano, que además encriptan los datos para que no sean accesibles a ojos curiosos, y esto nos permite tener que recordar solamente una contraseña, la de la aplicación en la que la que guardamos el resto. Si se elige este método es muy importante tener una copia de seguridad actualizada de estos datos. Otro método es tener solamente tres o cuatro contraseñas, una para las cosas importantes (bancos, sitios oficiales, Paypal, …), una segunda para los correos personales y los sitios de los que nos podemos fiar, la tercera para las cosas del trabajo y una cuarta para todas las demás tonterías. Esto, de todas maneras, no es muy seguro, ya que una vez que nos descubran una podrán acceder a todos los servicios que usen la misma contraseña.

Con respecto a la seguridad de las contraseñas hacer un apunte, cuesta tanto recordar una palabra como una frase, el título de un libro o una canción. Los sistemas ya no limitar los tamaños, con lo cual “El año en que nos conocimos” o “Las mil y una noches” son fáciles de recordar y mucho mas seguro que “pepe71” o que “12@Cucu”. Para las cosas importantes se debería extremar un poco más las seguridad, hacer una “sustitución sistemática de caracteres” no es mucho más seguro, pero es mejor. ¿Que es esto?, pues tener unas reglas del tipo: La “e” la sustituyo siempre por un “3” o la última letra de cada palabra va en mayúsculas. Si la frase elegida contiene mayúsculas, minúsculas, números y símbolos mucho mejor. “¡Todo el mundo al suelo, coño!” es una contraseña genial.

Un apunte de seguridad sobre las preguntas de recuperación de contraseñas, en general son bastante inseguros. ¿Por que?, por que recurren a información que tu conoces bien, pero esta información también suele ser compartida o fácilmente accesible. Hay una anécdota que circula por el mundo digital cuenta como consiguieron la clave de la cuenta de correo de Paris Hilton, y por tanto acceso información que para alguna gente puede ser muy interesante. Simplemente siguieron el enlace de recuperación y cuando el sistema le preguntó el nombre del perro lo pusieron. No creo que les costara mucho hacer una búsqueda en Google del nombre del animalito. No se si es verdad, pero posiblemente muchas de las respuestas de las preguntas de recuperación las sabrán la gente de tu entorno, y si no con un poco de búsqueda, o quizás acceder a tu perfil público de Facebook, y pueda tener la respuesta. Ni siquiera “¿Cual es el nombre del profesor de matemáticas de sexto?”, del que tu tienes que hacer un poco de memoria, o ni te acuerdas, puede ser una cosa muy difícil de averiguar. La solución a esto es mentir en las respuestas, por ejemplo, si me preguntan el nombre de tu perro, tengas o no, una respuesta puede ser Zapatero o Rajoy, mientras siempre use la misma respuesta y sea algo que recuerdes, vale cualquier cosa.

Pero lo que me hizo escribir esto fue lo que originó la pérdida de la contraseña del familiar de mi amigo. Resulta que estando conectado al Messenger había recibido la petición de un amigo de que le dijera la contraseña para hacer algo, no se el que, pese a que le recomendaron que no la diera le facilitó la contraseña al “amigo”. El tiempo que el “amigo” tardo en iniciar una sesión con la contraseña, cambiarla y resultar no ser el “amigo”no creo que sea medible fuera de un laboratorio. Capaz que hasta tenía ya abierta la ventana del navegador con el usuario escrito. El mayor problema, el punto más débil, en un sistema de seguridad solemos ser nosotros. Vamos a ver, que razón puede tener alguien para necesitar tu contraseña, ninguna, nunca. Realmente nunca deberíamos dársela a nadie por ningún motivo, ni si quiera por que no importa, puede que en el futuro esa contraseña proteja cosas que si son importantes. De todas maneras todos lo hacemos en algún momento, le damos la contraseña a alguien en quien confiamos, pero entonces hagámoslo bien, si no conozco o confío en la otra persona no se la doy, si no puedo verificar la identidad de la otra persona no se la doy, si la tengo que decir en voz alta no la doy.

Por cierto el personal de los servicios técnicos no es gente de nuestra confianza, no los conoces. Curiosamente cuando llamas al servicio telefónico de CajaCanarias te piden tu contraseña completa, un operador, al que no conoces y le estas dando el medio para poder acceder a tu dinero, por lo menos que sea un sistema automático el que te autorice, preferiblemente que sólo te pregunten determinadas posiciones de un número que cambian cada vez. Si no lo hacen quéjate. Un profesor de seguridad que tuve contaba que una vez, en una visita a un amigo informático, responsable de seguridad de una gran empresa, este le aseguraba que su sistema informático era tan seguro que ni mi profesor, un verdadero experto en seguridad (y “contraseguridad”) podría conseguir contraseñas de su sistema. Tras la pertinente apuesta mi profesor cogió el teléfono de la mesa de su amigo, llamó a cada una de las extensiones memorizadas de mismo, se identifico como el director de informática y le pidió a los usuarios que le facilitaran su contraseña, la mayoría de los usuarios le dieron sus contraseñas.

Más cosas, una contraseña no la escribo en un papel, la enseño y lo tiro en una papelera, me lo llevo en el bolsillo y lo tiraré cuando sea seguro, no guardo el papel en la cartera, no escribo el el papel “contraseña de ...”, tampoco escribo el nombre del usuario. El uso, preferiblemente, ha de ser inmediato, las contraseñas de los demás las olvidamos mas fácilmente, así que tendemos a apuntarlas, si tenemos un programa de mantenimiento de claves seguro bien, pero si no, es mejor no dejarlas por escrito. Debes hacer saber a la otra persona la importancia de la contraseña y la importancia de la custodia.

Se que puedo parecer pesado, pero la persona que perdió la cuenta personal de correo por una cosa tan tonta resulta que la necesitaba para poder recibir una información importante en este momento y ahora no sabe ni siquiera, si va a poder recuperarla. Además alguien ya ha estado revolviendo entre sus cosas y tiene una copia de su agenda. Y por no decir que habrá tenido que ponerse a cambiar en todos los sitios que use esa autentificación, y que recuerde, las contraseñas por una nueva.


Carlos López-Echeto Marrero  ...Tweet This
]]>
http://clemkey.com/consejos-sobre-seguridad.aspx http://clemkey.com/consejos-sobre-seguridad.aspx http://clemkey.com/consejos-sobre-seguridad.aspx Mon, 17 Jan 2011 00:03:00 GMT
DropBox Hace unos días me tropecé con DropBox. Es un sistema que te permite tener ficheros replicados en Internet, esto es, te crea una carpeta e tu ordenador en la que todo lo que grabes se copia a un servidor en Internet. Además lo puedes instalar en varios ordenadores al mismo tiempo, de esta manera, si tienes un ordenador de sobremesa y un portátil tienes una carpeta que se sincronizara en ambos ordenadores. Por si fuera poco funciona en múltiples plataformas, Windows, Mac y Linux. También soporta dispositivos móviles, iPhone, BlackBerry y Android, con lo que tienes tus documentos siempre a mano para poder mandarlos por correo electrónico o visualizarlos en cualquier momento.

Tiene una suscripción para tener más espacio (opciones de 50Gb y 100Gb), pero con los 2Gb iniciales para muchos de nosotros es más que suficiente. Además puedes obtener más espacio gratuito si tus amigos se registran e instalan el software. Por ejemplo si usas el siguiente enlace para darte de alta: DropBox te darán 250Mb adicionales a ti y a mi, pudiendo llegar hasta 8Gb.


Carlos López-Echeto Marrero  ...Tweet This
]]>
http://clemkey.com/dropbox.aspx http://clemkey.com/dropbox.aspx http://clemkey.com/dropbox.aspx Mon, 13 Dec 2010 19:04:00 GMT