seguridad de la información · seguridad de la información el equipo juntasnoscuidamos ha tenido...
TRANSCRIPT
Seguridad de la Información
1
Seguridad de la Información
El equipo JuntasNosCuidamos ha tenido una experiencia militante estrechamente vinculada
al manejo de datos informáticos y seguridad en las redes como estrategia de protección del
equipo sin sacrificar la distribución de la información que da acceso a los procedimientos y
tratamientos.
Para nosotras éste eje ha sido de vital importancia, ha marcado nuestro desarrollo, ampliado
nuestras capacidades de acercanos a las mujeres y difundir información sin exponernos, y
nos ha abierto a un mundo de posibilidades. ¡Las redes son nuestras!
Actualmente iniciamos nuestra asistencia a espacios de formación abierta como el proyecto
internacional de formación IA Escuela de Inteligencia Artificial y el proyecto internacional de
formación femenina en programación ‘DjangoGirls’, y deseamos incorporarnos a la red de
militantes de software libre que busca la equidad de género en éste espacio laboral, y social
y un soporte en el desarrollo de aplicaciones (IA) que nos permitan automatizar los proceso
de sistematización de datos de espacios de militancia feministas. También busca proteger
nuestros datos de ataques y rastreo, y potenciar de forma segura nuestras capacidades
comunicacionales.
Formadas también en el manejo de activos de la red Blockchain
2
Seguridad de la Información
(criptomonedas/criptodivisas/criptoactivos) como estrategia para mantener el anonimato
financiero de los recursos de la organización, y resguardar los mismos en un lugar seguro (a
salvo de confiscaciones e investigaciones financieras). Consideramos ésta otra herramienta
fundamental de seguridad, ya que muchas de las organizaciones como la nuestra operan en
la clandestinidad, por lo que no se puede realizar registro legal ni apertura de cuentas
bancarias en nombre de la organización y es igualmente riesgoso registrar una fundación o
empresa fantasma (con o sin fines de lucro) que no pueda justificar sus ingresos con alguna
actividad verificable. Razón por la cual los fondos de la organización por lo general son
gestionados desde cuentas personales, que, al estar vinculadas a una o más identidades,
ponen en riesgo a las compañeras que asumen la gestión financiera, cuando deben realizar
grandes gastos (como la compra de medicamentos, gastos en encuentros, formaciones,
pagos de servicios de envíos, etc.).
Las cuentas en sitios web para administrar criptodivisas; wallets y exchanges conectados a la
red blockchain, garantizan el almacenamiento y transacciones cifradas, y al encontrarse en
otra red diferente a la www –cuya única información transmitida (datos) son códigos cifrados
protegidos con un segundo hash (no transfiere otros datos: ni nombres, direcciones IP,
identificaciones de ningún tipo, ubicación, datos de cuentas o contactos)– podemos estar
seguras de que todas nuestras transacciones son seguras e irrastreables. Ninguna entidad
gubernamental ni de regulación de ningún país o institución internacional ha podido o podrá
intervenir la red blockchain por sus características.
Éste pequeño manual contiene las instrucciones más básicas para cifrar y proteger la
información de nuestras organizaciones, gestionar recursos voluminosos de manera segura,
administrar claves, y proteger nuestras direcciones IP, ubicación e identidades.
[juntasnoscuidamos@juntasnoscuidamos-pc ~]$ Datos_seguros
>>> Datos_estadisticos
===> Datos_abiertos
3
Seguridad de la Información
Equipo JuntasNosCuidamos
4
Seguridad de la Información
Tabla de contenidos:
Contenido
1. ¿Por qué proteger nuestra información?
7
2. Seguridad contra virus informáticos 12
3. Manejo de cuentas de usuario 21
4. Copias de seguridad 27
5. Cifrado de Información 30
6. Protegiendo nuestras conexiones (sobre riesgos y protección del wifi)
36
7. Buenas prácticas para crear contraseñas indescifrables
43
8. Asegurando nuestro acceso a Internet (VPN y Proxy)
50
9. Navegando de forma segura por Internet.
54
10. ¿Qué hay del popular Tor?: La redonion y sus características (DeepWeb)
59
5
Seguridad de la Información
11. Privacidad en los correos electrónicos.
64
12. Mensajería instantánea 71
13. Redes Sociales 80
14. Anexo: Criptomonedas y Blockchain.
83
Los números de página están referenciados (hipervinculados)Sólo deben hacer click sobre el número de página y las llevará al inicio del capítulo que desean revisar.
6
Seguridad de la Información
1.- ¿Por qué proteger nuestra información?
Actualmente el activo más importante para cualquier organización e incluso para cualquier
individuo, es la información, especialmente la información sensible que es aquella, así
definida por su propietaria o propietario, cuya revelación, alteración, pérdida o destrucción
puede producir daños a la organización o individuo que posee la misma. Las TICs han
cambiado nuestra forma de relacionarnos con el mundo. La utilización de redes sociales, el
uso masivo de correos electrónicos, la descarga de aplicaciones móviles, los juegos online,
la mensajería instantánea, etc. Han traído consigo un gran aumento en los peligros en la
Internet y la necesidad de estar más vigilantes que nunca con nuestra seguridad. Así que las
amenazas que ponen en peligro nuestra información, han crecido exponencialmente en los
últimos años y con ellas ha crecido la cantidad de herramientas para hacer frente a dichas
amenazas.
¿A qué se debe esto?
Todo esto es consecuencia directa del fenómeno del Oversharing que no es más que la
compartición excesiva de la información personal a través de canales abiertos a todo el
mundo. Nuestro mundo vive conectado y en línea las 24 horas del día, los 7 días de la
semana e inocentemente somos copartícipes de la evolución de la web 2.0 a la web 3.0. Sin
ánimos de profundizar demasiado en el tema trataré de explicar en pocas palabras este
hecho:
Anteriormente la web se basaba en documentos de hipertexto (lo que conocemos hoy como
páginas web) estáticos que eran diseñados y desarrollados para determinado fin, algo
parecido a tarjetas de presentación en la Internet. Posteriormente, con la llegada de la web
2.0 comenzamos a escuchar sobre la web social pues esta se basa en sitios dinámicos que
facilitan el compartir de la información, la interoperabilidad y el diseño centrado en el usuario.
Actualmente y a pesar de que podría parecer que la web 2.0 sigue en auge, la verdad es que
su evolución está en marcha hacia la web 3.0 que sería la transformación de la web a bases
de datos y su objetivo es crear contenidos accesibles a través de diferentes aplicaciones
non-browser (sin navegador de internet), el empuje de tecnologías de inteligencia artificial, la
7
Seguridad de la Información
web semántica y la web geoespacial. Como desarrolladora de sitios web puedo dar fe de que
parte de esto ya es un hecho, por ejemplo: actualmente la estructura de un sitio web se
escribe en un lenguaje de marcado conocido como HTML5 y este es en un 90% semántico y
se ha desarrollado de esta manera para ayudar a los Robots (programas informáticos
inteligentes que se dedican a diferentes actividades en toda la Internet) ha realizar lecturas
precisas del contenido y la estructura de un sitio. Además de esto el contenido de un sitio
web no se escribe directamente en el documento, prácticamente todo está siempre
almacenado en bases de datos y se carga dinámicamente en el sitio web o aplicación. Suena
complejo en terminología pero en realidad es bastante sencillo: la web actual es inteligente.
El lado oculto de Internet
Digamos que vamos a utilizar la computadora de alguien que conocemos. Si dicha persona
no es consciente de la vulnerabilidad de su información (común denominador) al comenzar a
navegar, así no tengamos acceso directo a sus contraseñas o correos electrónicos,
podremos darnos una idea de sus hábitos de navegación con solo observar los anuncios que
aparecen en las páginas web a las que entremos. Esto sucede gracias al Datamining
(minería de datos) que es un conjunto de técnicas y tecnologías que permiten explorar
grandes bases de datos de manera automática y con el objetivo de encontrar patrones
repetitivos, tendencias o reglas que expliquen el comportamiento de los datos en
determinado contexto. Todas las tecnologías de información y comunicación que usamos en
nuestra vida diaria utilizan esta técnica con el fin de recolectar información que puede ser
utilizada de innumerables maneras.
En el mundo de la informática existe un dicho que dice: “Si no pagas por el servicio eres
parte del producto”, y esta es la cruda realidad. Sobre todo si tienes una computadora con el
sistema operativo Windows de Microsoft o en su defecto, Mac OS de Apple. Sé que suena
conspiranoico, pero la realidad es que empresas como Google, Microsoft, Yahoo, Apple,
Facebook, Paltalk, Aol, Skype, Youtube, Whatsapp, Twitter, Dropbox, Amazon y muchas
otras participan en un programa de recolección de datos masivos conocido como BigData o
Dataminig, promovido por el ex presidente de Estados Unidos de Norteamérica George W.
Bush, después del 9/11, en el que la NSA (Agencia Nacional de Seguridad) recolecta unas
8
Seguridad de la Información
50 toneladas diarias de información clasificada, más de 100 Terabytes por minuto.
Esta práctica de recolección no es ilegal, pues para comenzar, nosotras y nosotros al aceptar
las políticas de uso, privacidad y cookies de cualquier sitio web, le damos permiso para que
registre todos esos datos, y además de eso, el fin fundamental del Datamining es en teoría la
venta de publicidad. Por ejemplo, Google o Facebook, registran tus hábitos de navegación
para mostrarte anuncios que puedan interesarte. Y esto no parece del todo malo desde un
punto de vista de seguridad, el punto está en el hecho de quienes tengan acceso a dicha
información. Cualquiera podrá decir ahora “¿Y a mí qué me importa que la NSA tenga
acceso a mi información si para comenzar no estoy haciendo nada malo y para continuar no
vivo en Estados Unidos?” No estás en lo cierto, de verdad sí es riesgoso. Ésta información
también es vendida. En éste momento esta actividad constituye una buena parte de los
ingresos de todas éstas empresas, si al gobierno de tu país le interesa saber quiénes son
ustedes puede comprar información sobre actividades que sean implicantes en la web, y
posiblemente conseguirlas. Si ésto no ha pasado es porque no las han buscado, o éste
gobierno, como es el caso de Venezuela, se encuentra en conflicto con EEUU.
Recordemos que los algoritmos que comprenden las herramientas de Datamining, mejor
conocidos como Robots o Bots, buscan patrones y tendencias así que las posibilidades de
que aparezcas rápidamente en una búsqueda en la BigData por realizar una serie de
búsquedas sobre el aborto son altas, considerando el hecho de que es una actividad común
para nosotras.
Recordemos también que en nuestra lucha por proteger a las mujeres de abortos mal
practicados y la promoción de la legalización/despenalización del aborto tenemos muchos
enemigos. Los provida que se encuentran en estructuras del estado y en todos lados son
particularmente violentos y algunos tienen poder, y en nuestro caso en Venezuela (y
supongo que para varias de ustedes también) las y los revendedores del tratamiento que
buscan enriquecimiento a costa de la salud de las mujeres, y que a nosotras se nos han
incrustado hasta en la organización, y muchas veces se presentan como feministas.
9
Seguridad de la Información
Todo esto que he dicho hasta ahora nos ayuda a darnos una idea de lo vulnerable que es
nuestra privacidad. Además de eso, si en algún momento resultas investigada, todos esos
datos pueden ser fácilmente obtenidos y usados en tu contra. Asimismo cualquier persona
con conocimientos de programación y manejo de datos está en la capacidad de interceptar y
manejar nuestra información y tener acceso a mucho más si en realidad eso busca.
Los riesgos fuera de Internet
Ya sabemos que nuestra vulnerabilidad no se limita al acceso directo a Internet, también se
extiende a nuestro ordenador y para muchas y muchos debe ser el punto de partida, pues en
él guardamos mucha de nuestra información sensible, por lo tanto es importante mantener
ciertos criterios de seguridad en el mismo, que evidentemente no eliminan el riesgo del todo,
pero ciertamente lo reducen. Todas hemos escuchado en algún momento el término virus
informático que hace referencia a Malware y se trata de un programa malicioso capaz de
colarse a un ordenador, Smartphone o tablet con el fin de robar datos privados, el secuestro
de archivos y carpetas, hacer que el dispositivo deje de funcionar correctamente o
simplemente tomar control para llevar a cabo otras acciones maliciosas. Existen infinidad de
métodos para minimizar el riesgo de infección, sin embargo y a pesar de que no elimina el
riesgo del todo, siempre voy a recomendar la migración a Software Libre.
Pero este proceso no necesariamente tiene que realizarse de un día a otro. Windows nos
facilita tantas cosas que nos sumerge en una zona de confort de la que puede resultar difícil
salir si no tienes la disposición para hacerlo, además de esto, el común denominador en
nuestros trabajos es la utilización de Windows. También está el hecho de que quienes
trabajen con aplicaciones determinadas de diseño, edición de video o audio, entre otras, a
pesar de tener alternativas buenísimas en Software Libre, deberán aprender a utilizarlas
antes de realizar una migración definitiva, aunque para dar un paso adelante, ten presente
que siempre puedes instalar Linux junto a Windows.
10
Seguridad de la Información
Los virus informáticos se guardan en nuestro ordenador, sin embargo, muchas de las
infecciones se producen mientras navegamos. Pero no son los únicos riesgos fuera de
internet. Ten presente que tu equipo siempre tiene riesgo de caer en manos de terceros de
los que no conozcamos sus intenciones y esto también podría resultar en una vulnerabilidad
para nuestra información sensible.
Seguridad Informática
Ya sabemos que somos vulnerables de muchas maneras, pero como todo riesgo potencial,
este puede ser prevenido y de esto precisamente trata la Seguridad Informática que es
sencillamente la práctica que se encarga de proteger la integridad de la privacidad de la
información almacenada en un sistema informático. Un sistema informático puede ser
protegido desde un punto de vista lógico (con la utilización de software) o físico (vinculado al
mantenimiento eléctrico, por ejemplo). Por otra parte las amenazas pueden proceder de
programas dañinos que se instalan en el sistema (como los virus informáticos) o por vía
remota (mal llamados en la mayoría de los casos, hackers con los conocimientos
informáticos suficientes para invadir cualquier sistema informático vía Internet). Además de
esto y como ya dije, cualquier tercero con acceso a nuestro equipo, bien sea con nuestra
autorización o sin ella, tiene acceso a toda nuestra información sensible si no llevamos a
cabo ciertas medidas de seguridad.
11
Seguridad de la Información
2.- Seguridad contra Virus Informáticos
Existen muchas medidas de seguridad para evitar la infección de nuestros dispositivos,
desde la instalación y actualización de un antivirus hasta la participación activa en foros de
seguridad informática,
¿Cómo se infectan nuestros dispositivos?
Un simple gusano puede colapsar un sistema operativo creando copias de todos los archivos
a gran velocidad, éste es un virus común y terrible, pero también el más inofensivo. Un
Troyano por su parte puede contener un Keylogger (programa que registra todas las teclas
que se utilicen). Y ese troyano puede fácilmente pasarle información a quien lo haya enviado,
incluso puede darle poder para realizar acciones remotas en tu PC.
La multitud de dispositivos y servicios que utilizamos hoy en día son una ventana abierta
para la inserción de virus informáticos. A continuación listaré las formas más populares.
Correos Electrónicos
El correo electrónico es una de las principales vías de infección ya que pueden contener
archivos adjuntos peligrosos o enlaces a sitios web maliciosos. En el caso del archivo
adjunto, puede tratarse de un simple PDF, un ejecutable (.exe) incluso un archivo
comprimido (.zip o .rar) y cualquiera puede contener un virus. Con los enlaces sucede lo
mismo. Un enlace que recibamos por correo electrónico nos puede llevar a un sitio web que
utilizando cookies inserte un virus en nuestro ordenador o instale extensiones en nuestro
navegador que no son ilegales pero sirven para hacer datamining. Incluso existe una práctica
llamada Phishing que es la copia de sitios web de bancos o sistemas de pago electrónico
que por medio de Ingeniería Social te hacen ingresar tus datos y estos van al servidor de la
persona que realizó la copia. Este tipo de correos se denominan spam y scam y a menudo
es fácil reconocerlos pues en la mayoría de los casos no viene de un remitente conocido, sin
embargo existen casos en los que sí procede de un contacto y esto puede pasar si el
ordenador de nuestro contacto está infectado o que se ha falsificado la cuenta de correo de
12
Seguridad de la Información
nuestro contacto por medio de la práctica del Mail Spoofing.
Unidades de almacenamiento externo (USB, disco duro extraíble, tarjeta de memoria,
etc.)
La infección se produce con la copia de archivos de la unidad a nuestro disco duro e incluso,
en ocasiones, con el simple hecho de conectar el dispositivo pues fácilmente se puede
escribir un programa autoejecutable que realice la infección al momento de insertar la unidad
en determinado puerto.
Descarga de Archivos
Evidentemente la infección se produce al momento de descargar determinado archivo
(multimedia, programas, juegos, documentos, etc) de Internet a nuestra computadora pues
este puede camuflar cualquier tipo de malware.
Páginas Web maliciosas
Algunas páginas web están desarrolladas para infectar a cualquier usuario que ingrese a
ellas, aprovechándose de los problemas de seguridad de un navegador no actualizado o los
complementos instalados: Java, Flash, etc. También puede existir el caso de una página que
haya sido manipulada por alguien para redirigir a un sitio malicioso o fraudulento. La manera
de llegar a estas páginas puede ser a través de enlaces cortos en Twitter u otras redes
sociales, búsqueda de programas, aplicaciones, juegos, etc en páginas poco fiables o a
través de un correo electrónico.
Redes sociales
Las redes sociales también son bastante utilizadas para infectar a sus usuarios debido a la
gran afluencia de público y la fácil propagación. Hay que tener especial cuidado con los
enlaces a páginas que parezcan raras o poco fiables, las solicitudes para instalar
aplicaciones, programas o extensiones en tu navegador y por supuesto la solicitud no
justificada de información sensible. Fallos de seguridad Son huecos que contienen algunos
programas, plugins, aplicaciones o sistemas operativos, por los que cualquier persona con
13
Seguridad de la Información
los conocimientos y la determinación necesaria pueden aprovechar para infectar cualquier
dispositivo, en ocasiones incluso sin que el usuario tenga que realizar alguna acción
sospechosa de manera consciente. Para evitar esto los proveedores desarrollan
constantemente actualizaciones que intentan suprimir estas vulnerabilidades y de allí la
importancia de mantener el software actualizado.
¿Qué puede sucederme si tengo un virus en mi ordenador?
Muchas veces nuestros equipos se infectan y ni cuenta nos damos pues hay muchos virus
casi inofensivos o sencillamente al no conocer los riesgos, no le damos la importancia
necesaria; pero como ya he dicho en reiteradas ocasiones, un virus no sólo es capaz de
colapsar un sistema operativo sino que también puede hacer muchas otras cosas, veamos
algunas.
Cifrado y/o borrado de información
Algunos virus pueden borrar información personal de nuestra computadora, tales como fotos,
videos, documentos, etc y en la mayoría de los casos esta información es difícil o imposible
de recuperar. También está la práctica conocida como Ransomware (ransom de rescate y
ware que hace referencia a software) y con ella, alguien puede cifrar el acceso a tus archivos
exigiendo un rescate para su liberación, en pocas palabras, un secuestro de datos.
Robo de datos
Hoy en día la mayoría del malware está destinado al robo de datos, bien sea información de
cuentas bancarias o cualquier otro tipo de información sensible. En el caso de producirse un
robo de información, las implicaciones pueden derivar en suplantación de identidad, comisión
de delitos en nuestro nombre y pérdidas económicas.
Suplantación de identidad
Si hemos sido víctimas de un robo de información, podemos sufrir una suplantación de
identidad tanto en el mundo digital como en el mundo físico y esto puede traer graves
consecuencias que prefiero dejar a la imaginación de cada una y de cada uno.
14
Seguridad de la Información
Pérdidas económicas
Hay virus que son desarrollados para robar nuestra información bancaria o cuentas de
servicios de pagos online y con esto, la persona que infectó tu dispositivo puede fácilmente
acceder a tus cuentas, hacer compras por Internet e incluso clonar tus tarjetas para realizar
compras en tiendas físicas o hacer retiros por cajeros electrónicos.
¿Cómo podemos protegernos?
No existe una receta o combinación mágica de herramientas que eviten del todo una
potencial infección, las persona que crean virus informáticos son personas con altos
conocimientos de seguridad y se mantienen constantemente actualizadas sobre los avances
en el tema y en muchos casos, su misión, más allá del robo o destrucción de información, es
buscar vulnerabilidades. Sin embargo, hay maneras de minimizar el riesgo y estas se pueden
aplicar en todos los sistemas operativos de nuestros ordenadores y dispositivos móviles y a
continuación las listaré.
Monserrat Boix nos recomienda en su Manual Práctico: el ordenador y la Internet:
Consejos prácticos para desafiar a los virus.
Es importante fijarse en la terminación del nombre del documento:
• Eliminar sin abrir los archivos terminados en .pif y los archivos que terminen en .exe
salvo que sea un programa que hayamos pedido que nos envíen de manera
específica. Transportan los virus más destructivos.
• Tener en cuenta que los archivos .doc de textos que recibimos pueden contener virus.
Para mayor seguridad, se aconseja enviar siempre los textos en formato rtf ya que
este formato no permite el transporte de virus. El formato se elige cuando estamos
trabajando en el office al guardar un documento. Archivo/Guardar como en la opción
Tipo de documento elegir rtf.
• Desconfiar en general de cualquier archivo adjunto recibido desde una dirección de
correo electrónico que no conocemos o de un archivo que llega solo o sin acompañar
de ningún texto introductorio coherente.
15
Seguridad de la Información
• Borrar inmediatamente el archivo sospechoso sin abrir, incluso si tiene el nombre más
atractivo... en este caso, la curiosidad puede perdernos.
• Debemos asumir que los virus circulan permanentemente en la red, la única manera
de prevenir el contagio es utilizar un anti-virus y renovarlo periódicamente. De nada
sirve ser especialmente cuidadosas... es fundamental establecer medidas estrictas de
prevención.
Instalación de antivirus: Deberíamos siempre instalar un antivirus efectivo en nuestros
ordenadores, tablets y smartphones. Muchos de estos programas, además de servir para
detectar Malware, pueden incorporar funcionalidades para validar la fiabilidad de las páginas
web por las que naveguemos.
Existen infinidad de antivirus, de pago y gratuitos pero siempre deberíamos asegurarnos de
instalar uno cuya compañía de desarrollo sea fiable. En el caso de Windows, para nadie es
un secreto que el funcionamiento de una PC con el sistema operativo sin antivirus es la cosa
más vulnerable que pueda existir, sin embargo, existen muchas herramientas para proteger
nuestro ordenador y aquí listaré algunos basado no sólo en la capacidad de protección sino
en el rendimiento del equipo y las utilidades de la herramienta.
Avast Free Antivirus
Sistema operativo: Windows
Protección: 88.9%
Carga de sistema: 77.8%
Acierto: 100%
Es una de las soluciones más utilizadas, con una comunidad de más de 230 millones de
usuarios en todo el mundo. Sus herramientas opcionales incluyen un gestor de contraseñas y
una utilidad que limpia nuestro navegador de adware (software de publicidad bastante usado
para robar información y/o pasar virus) y malware.
16
Seguridad de la Información
Avira Antivirus
Sistema operativo: Windows
Protección: 100%
Carga de sistema: 94.4%
Acierto: 100%
Otro antivirus bastante popular que además de analizar las amenazas constantemente desde
su nube privada, también cuenta con una extensión de navegador, un foro donde la
comunidad puede participar y otras herramientas desde donde puedes controlar todos tus
dispositivos.
Panda Antivirus Pro
Sistema operativo: Windows, Android, MacOS e IOS
Protección: 100%
Carga de sistema: 75%
Acierto: 100%
Su popularidad ha ido en aumento dentro del mundo de la seguridad informática y a pesar de
ser pago, cuenta con una versión para navegadores, gratuita e igual de poderosa (Panda
Internet Security). Su popularidad es tal, que incluso hay grupos de hackers que dedican todo
su esfuerzo en desarrollar programas que puedan vulnerar equipos protegidos con este
antivirus. Cosa que no debe preocupar a los usuarios pues este antivirus es de los mejores
en el mercado.
AVG Free
Sistema operativo: Windows, MacOS y Android
Protección: 97.2%
Carga de sistema: 72.2%
Acierto: 100%
Otro antivirus bastante conocido para los usuarios de Windows, su versión gratuita también
está disponible para Windows 10 y sirve para promocionar sus herramientas de pago como
las mejoras en el rendimiento de los equipos, VPN personal, entre otras.
17
Seguridad de la Información
Kaspersky
Sistema operativo: Windows, MacOS, IOS, Android
Protección: 97.2%
Carga de sistema: 100%
Acierto: 100%
Kaspersky ha venido posicionándose entre los líderes en la defensa contra el malware y
junto a los mencionados anteriormente, se consolida como una de las opciones más firmes y
seguras.
Bitdefender
Sistema operativo: Windows y MacOS
Protección: 100%
Carga de sistema: 100%
Acierto: 100%
Es uno de los antivirus más discretos, su interface se esconde en la barra de inicio del
sistema y molesta sólo para escanear y detectar amenazas. Además también presume de no
incluir adware en su instalación y de no afectar en lo más mínimo el rendimiento de Windows.
Como vemos si es posible proteger nuestra computadora así tenga Windows instalado, pero
también es interesante notar el hecho de que todas estas herramientas vienen para ese
sistema operativo y Mac OS principalmente y esto es debido a que Software Libre es mucho
más seguro en muchos niveles, pero esto lo veremos más adelante.
Recomendación: Descarga el antivirus de la página oficial del fabricante, mantenlo
actualizado y nunca instales dos antivirus en un mismo sistema operativo, pues ellos se
pueden reconocer entre sí como virus y bloquearse, o impedir que funcionen bien.
Actualizaciones de seguridad
Para evitar que nuestro equipo tenga vulnerabilidades en su seguridad es importante
18
Seguridad de la Información
mantener todo el software actualizado, tanto el Sistema Operativo como los programas que
utilicemos. Hoy día, la mayoría de programas y sistemas nos notifican de las actualizaciones
que hacen falta, así, con solo tener conexión a Internet, podemos mantener nuestro software
actualizado.
Recomendación: Si usas Windows pirateado, sin licencia, o ésta se encuentra vencida,
recomiendo migrar a Software Libre, pues aplicar actualizaciones puede concluir en el
bloqueo de tu sistema operativo y además de eso Microsoft cuenta con un algoritmo llamado
Carnivor que fue desarrollado en conjunto con el FBI y ayuda a acceder al registro del
sistema operativo sin importar el lugar en el que se encuentre el dispositivo (La piratería en
Estados Unidos es un delito federal).
Copias de seguridad
Dado a que muchos virus buscan borrar nuestra información, es importante realizar copias
constantes de seguridad de toda la información que consideremos sensible. La copia se
debe realizar en una unidad externa al equipo y antes de realizarla es importante analizarla
en busca de virus para asegurarnos de que no esté infectada y corramos el riesgo de
perderla.
Limitación de permisos de usuario
Para su funcionamiento, todo sistema operativo dispone de diferentes tipos de usuarios con
diferentes permisos. En Windows, el usuario administrador tiene permisos para instalar
programas y manipular archivos vitales para el sistema operativo y a menudo un virus
necesita modificar aspectos solo accesibles por el usuario administrador, por lo que
recomiendo la creación de cuentas de usuario y utilizar en la cotidianidad una cuenta
estándar, de esta manera, si un virus entra al equipo, no tendrá acceso a estos archivos ni a
la instalación de programas. En el caso de Linux, por defecto tenemos un usuario root o
súper usuario con acceso a los archivos vitales del sistema operativo y el poder para instalar
aplicaciones, sin embargo, siempre nos pedirá contraseña para realizar dichas acciones, por
lo tanto no corremos mucho riesgo.
19
Seguridad de la Información
Cortafuego personal (firewall)
El firewall es una herramienta vital para evitar infecciones, ya que hace invisibles las
vulnerabilidades del sistema operativo para los virus en la Internet. Este tipo de aplicaciones
vigilan las conexiones que entran y salen de un ordenador, bloqueando cualquiera que
parezca sospechosa. Por ejemplo, una práctica bastante común es la de enviar un archivo a
cualquier contacto por mensajería de alguna red social, y al éste descargarlo, utilizando
MSDos y con algunos comandos, podía obtener la dirección IP y muchos otros datos útiles
para un hacker. Con el cortafuego se puede evitar esto. Windows por defecto trae un
cortafuego que debe estar activado, En linux debe descargarse dependiendo de qué sistema
operativo se trate.
Sentido común
Esta es la mejor manera de evitar una infección. Debemos tener siempre precaución y tener
presente que a pesar de que las probabilidades son bajas, el riesgo existe y podemos poner
a disposición nuestra información sensible a cualquiera que tenga los conocimientos y las
ganas de obtenerla. Con todo esto dicho, quiero reiterar la importancia de considerar la
migración a Software Libre pues serán muchos los dolores de cabeza que nos quitaremos en
cuestiones de seguridad. Esto es sólo en principio de la protección de nuestra información.
20
Seguridad de la Información
3.- Manejo de cuentas de UsuarioCuando varias personas comparten el mismo ordenador, y luego el mismo usuario las
probabilidades de perder información, o de que se disponga de nuestra información sensible
son muy altas. Por lo tanto es importante administrar quienes se conectan a nuestra
computadora y de qué manera lo hacen. En este aparato me limitaré a hablar de los usuarios
en Windows y Linux específicamente.
En Windows
El sistema operativo de Microsoft cuenta con tres tipos de usuarios con diferentes permisos
de acceso.
Usuarios administradores
Sólo los usuarios de este tipo pueden instalar programas y aplicaciones, también pueden
modificar aspectos Importantes de la configuración del sistema operativo como por ejemplo
las conexiones a Internet.
Usuarios estándar
Todos los dispositivos de Windows deben tener un usuario administrador que se encargue de
gestionar la instalación de programas, configuraciones y usuarios como este, que sería
cualquier usuario normal del ordenador.
Usuario invitado
Sirve para que cualquier usuario sin cuenta personal tenga acceso al ordenador. Las cuentas
de usuario en Windows y la seguridad. En lo personal recomiendo tener los tres tipos de
usuarios, el administrador, protegido por contraseña, para que instales programas y hagas
configuraciones, el estándar para tu uso cotidiano (en caso de que haya otro usuario
frecuente de tu computadora, puedes crear una cuenta por usuario) y un usuario invitado
especialmente para las personas que no utilizan el ordenador comúnmente pero necesitan
tener acceso por equis motivo. Crea un usuario administrador protegido por contraseña al
21
Seguridad de la Información
que sólo tú tengas acceso. Con esta cuenta podrás administrar las otras cuentas, decidir que
se comparte entre ellas, hacer las configuraciones pertinentes para el buen funcionamiento
de tu equipo e instalar todos los programas y aplicaciones que necesites.
En relación a los usuarios estándar, crea uno para ti y cada persona que utilice el ordenador
de manera frecuente, cada uno puede tener su propia contraseña. De esta manera evitas el
uso de la cuenta de administración y minimizas los riesgos de infección por virus
informáticos, además de que cada una y cada uno de los usuarios de la computadora puede
mantener su información sensible protegida.
Crea una cuenta de usuario invitado.
De esta manera, cualquier persona ajena a tu computadora, puede acceder a ella sin
contraseña sin vulnerar tu información y sin tener acceso a la administración del sistema
operativo.
Control parental en Windows
Esta es una funcionalidad que trae Windows y que más allá del asunto de “protección infantil”
(Nombre que trae la funcionalidad) me resulta interesante pues el usuario administrador
puede controlar el tiempo de uso, los sitios webs a los que puede entrar, además de obtener
un informe de la actividad del usuario en la web. Creando cuentas de Usuario en Windows
Según la versión del sistema operativo puede haber cambios, pero básicamente siempre es
lo mismo:
En la cuenta “Administrador” ve a Inicio > Panel de Control y allí dale clic a “Cuentas de
Usuario y protección infantil”, luego en “Agregar o quitar Cuentas de usuario” y por último
donde dice “Crear cuenta” En la ventana que te aparece podrás crear una cuenta definiendo
su nombre y el tipo de cuenta bien sea de Administrador o estándar. Para activar la cuenta
de invitado ve a Inicio > Panel de control y allí dale clic a “Cuentas de usuario y control
infantil”, luego en “Agregar o quitar cuentas de usuario”. Allí tendrás una lista con todas las
cuentas de usuario que tenga tu Windows y al dar clic sobre la cuenta “Invitado” te dirá si
22
Seguridad de la Información
está o no activada y te dará la opción de cambiar su estatus.
En Linux
Linux es un sistema multiusuario, por lo tanto, la tarea de añadir, modificar y eliminar
usuarios se convierte en algo no solo rutinario, sino importante, pues tomar esta actividad a
la ligera puede resultar en un gran hoyo en la seguridad de tu sistema operativo. Linux es un
poco más complejo: aquí cada usuario posee un identificador único (UID) y puede pertenecer
a un determinado grupo de usuarios, identificado también con un ID (GID). Básicamente
existen tres tipos principales de usuarios en Linux:
Superusuario o Root
Su ID es 0 y es la única cuenta con acceso a todos los archivos y directorios del sistema
además de tener privilegios sobre el mismo. Puede administrar otras cuentas de usuario,
ejecutar tareas de mantenimiento del sistema, instalar y actualizar software y además tiene
acceso al kernel de Linux (el núcleo del sistema operativo).
Usuarios especiales
Se llaman también cuentas del sistema y a pesar de no tener todos los privilegios de root,
dependiendo de la cuenta, puede tener asignados ciertos privilegios. Esto es así
precisamente para proteger al sistema de vulnerabilidades. Este tipo de cuentas no están
protegidas por contraseña pues no están diseñadas para “iniciar sesión” por lo tanto se les
conoce también como cuentas nologin. Se crean automáticamente al momento de la
instalación de Linux y su ID es un número comprendido entre 1 y 100.
Usuarios Normales
Se utilizan para el uso cotidiano del ordenador. Cada usuario tiene su propio directorio de
trabajo alojado en /home y con el nombre de la cuenta. Cada usuario puede modificar
libremente su entorno de trabajo y tiene privilegios completos sobre su directorio de trabajo.
23
Seguridad de la Información
En las distribuciones de Linux actuales generalmente se utiliza un User ID mayor a 500 Los
usuarios Linux y la seguridad.
A pesar de que me gustaría explicar detalladamente cómo funciona la gestión de usuarios en
Linux además de prácticas necesarias como la asignación de permisos, eso haría este
documento interminable, por lo tanto, sólo daré mis recomendaciones en base a mi
experiencia con el manejo de usuarios en Linux. Cuando instalamos cualquier distribución de
Linux se nos pide crear una cuenta de usuario y asignarle una contraseña. Al hacer esto,
automáticamente tenemos un usuario root (que sería como el administrador de Windows) y
un usuario normal (como el estándar de Windows). Esto no está mal, pero el problema es
que la contraseña de nuestra cuenta de usuario será la misma del usuario root, por lo tanto
es importante hacer un cambio de alguna de las dos contraseñas, de esta manera tendremos
una para acceder a nuestro entorno de trabajo y una que servirá para hacer tareas
administrativas.
Hay que tener claro que a pesar de que tengamos un equivalente a la cuenta de
administración de Windows en nuestro Linux, no funciona de la misma manera. Cuando
entramos a nuestro entorno de trabajo, lo hacemos como un usuario normal, no como root,
pero al momento de realizar alguna tarea administrativa como por ejemplo la instalación de
algún programa, se nos solicitará la contraseña del usuario root, si la contraseña de nuestra
cuenta de usuario, coincide con la contraseña del usuario root, tendremos un posible bache
de seguridad. En pocas palabras quien conozca la contraseña de tu computadora, tiene la
posibilidad de acceder a tu información.
Además de esto, en Linux tenemos los mismos posibles problemas que en Windows: si
varias personas utilizan nuestra computadora, pueden tener acceso a nuestra información,
por lo tanto recomiendo también la creación de diferentes usuarios.
Creando usuarios en Linux Para administrar usuarios en Linux, en la mayoría de los casos,
necesitas conocimientos técnicos del sistema operativo, ya que muchas de las distribuciones
24
Seguridad de la Información
no cuentan con herramientas gráficas para la gestión del sistema (Me refiero a una ventana
que te da las opciones) por lo tanto es recomendable siempre utilizar la terminal de Linux que
no es más que un intérprete de órdenes: una aplicación para realizar todas las tareas de un
sistema operativo con letras. Dependiendo el sistema operativo vas a Inicio, menú,
aplicaciones o actividades y en el buscador que aparece tecleas “terminal” y te aparecerá
inmediatamente. Una vez hecho esto puedes crear y gestionar los usuarios desde allí.
Sintaxis: useradd opt nombre-usuario El comando useradd es el que se utiliza para la
creación de usuario, opt serían las opciones del comando que explicaré a continuación y
nombre-usuario el usuario que quieras crear.
Opciones:
-g Grupo al que pertenece el usuario
-d Directorio de trabajo del usuario (suele ser /home/nombre-usuario)
-m Crear directorio de trabajo del usuario
-s Intérprete que utilizará el usuario (suele ser /bin/bash)
Ejemplo: Digamos que queremos crear el usuario quinchoncho, abrimos la terminal y
tecleamos lo siguiente.
sudo useradd –d /home/quinchoncho –m –s /bin/bash quinchoncho
La orden “sudo” es para invocar al usuario “root” o superusuario y es importantísimo que
vaya de primera pues sólo este usuario puede hacer tareas administrativas y la gestión de
usuarios es una. Con “useradd” creamos el usuario, “-d /home/quinchoncho” determina cuál
será el directorio de trabajo del usuario, “-m” crea dicho directorio, “-s /bin/bash” determina el
intérprete de comandos y “quinchoncho” define al usuario.
Una vez hecho esto debemos asignarle una contraseña y lo hacemos de la siguiente forma.
sudo passwd quinchoncho
25
Seguridad de la Información
Al darle “Enter” el sistema te pedirá colocar dos veces la contraseña y listo, el usuario
quinchoncho está creado y tiene contraseña. Por cierto, al escribir las contraseñas en la
terminal no aparece nada, no te asustes, el sistema está registrando las teclas que presionas
así no puedas ver nada. Recomendación: Asígnale a los usuarios nombres solo con
minúsculas y si requieres espacios, separa las palabras con guiones preferiblemente.
26
Seguridad de la Información
4.- Copias de seguridad
La pérdida de información puede darse de manera inesperada y puede provocar daños
irreparables. Puede suceder también una avería total o parcial del disco duro, como dije en la
sección de cifrado de disco duro, que puede evitar la recuperación de datos. También
puedes perder o sufrir un robo de algún dispositivo y en ese caso, así el acceso a tu
información esté seguro por cifrado, tú también habrás perdido tu información. Puede
suceder que borres accidentalmente tu información o peor aún, que un virus informático entre
en tú sistema y se apodere de esta. Lo cierto es que tarde o temprano podemos
encontrarnos con la desagradable situación de haber perdido nuestra información y/o que
esta quede a disposición de terceros. De aquí la importancia de hacer siempre copias de
seguridad.
Cómo hacer copias de seguridad
Las copias de seguridad son “segundas copias” de nuestros archivos que deben guardarse
siempre en dispositivos diferentes al original. Imagina que que estás escribiendo un libro,
antes de perder todo tu avance, puedes aplicar alguna de estas formas de copia de
seguridad.
Discos externos
Es la forma más recomendable, actualmente los dispositivos extraíbles que se conectan por
USB tienen bastante capacidad y pueden almacenar gran cantidad de información.
En la nube
Existen servicios en la Internet que nos brindan un espacio en la nube para almacenar
nuestros archivos. DropBox, Box, One Drive o Google Drive, Mega son algunos de ellos. Por
favor sube siempre archivos comprimidos con clave.
Importante: Todos los mencionados, con la excepción de Hornet Drive no guardan tus
archivos de forma cifrada, sin embargo, como dije en la sección de Cifrado de la información,
27
Seguridad de la Información
existen herramientas como BoxCryptor que te permiten cifrar los archivos antes de subirlos a
la nube. También puedes comprimirlos y asignar una clave al archivero.
DVD o Blu-Ray.
Si deseamos hacer copias de seguridad en soportes físicos, esta es una buena opción,
teniendo siempre en cuenta que estos sean compatibles con nuestro grabador de discos.
Recurrir a discos regrabables puede ser una buena elección, ya que nos evita la acumulación
de un gran número de ellos, especialmente si no hemos utilizado el total de almacenamiento
del mismo.
Herramientas para hacer copias de seguridad
Siempre podemos realizar las copias de seguridad de manera manual. Simplemente
copiando y pegando en otro dispositivo, seleccionando lo que subiremos a la nube o
seleccionando lo que grabaremos en un disco.
Recomendación: Si utilizas Windows ten cuidado de analizar los archivos y directorios en
busca de virus antes de hacer copias de seguridad, de esta manera evitaras reproducir el
virus. Estas tareas de copia de seguridad también pueden ser automatizadas. De esta
manera no tendremos que estar al pendiente de realizar las copias de seguridad. Existen
herramientas que nos permiten, después de realizar la primera copia de seguridad,
programar que la siguiente solo respalda archivos y directorios que hayan sido modificados,
lo que supone un ahorro importante de tiempo.
En Windows
Existe una herramienta en Inicio > Panel de control, llamada “Copias de seguridad y
restauración”, que permite realizar esta tarea.
En MAC
Los equipos MAC cuentan con Time Machine.
En Android
28
Seguridad de la Información
Ve a Ajustes > Copia de seguridad y restablecimiento.
En IOS
Con IOS tienes el servicio Icloud y el servicio Itunes.
En Linux
En Linux existen varias herramientas, pero la más utilizada es Rsync, sin embargo hay que
tener ciertos conocimientos en el uso de la consola para facilitar la creación de copias de
seguridad, ya que a pesar de ser una herramienta bastante flexible, no está automatizada del
todo, pero esto se puede solucionar creando scripts y programándolos con Cron para que se
ejecuten cada cierto tiempo.
29
Seguridad de la Información
5.- Cifrado de información
En criptografía, el cifrado es un procedimiento que utiliza un algoritmo de cifrado que
transforma un texto que no atiende a su lingüística o significado, de tal forma que se hace
incomprensible para alguien que no posea la llave de cifrado.
¿Y para que sirve eso?
Imagínate que tienes un teléfono móvil y en el no sólo guardas tus contactos, fotografías y
algún que otro documento, sino que tienes aplicaciones de tus redes sociales instaladas y
con sesión iniciada y además tienes activas aplicaciones de pago electrónico. Ahora imagina
que pierdes o te roban ese teléfono, ¿qué harías? Lo más común es que llamemos a nuestro
proveedor de servicio de telefonía móvil para que suspenda la línea, sin embargo esa acción
sólo evitará que la persona que tiene ahora nuestro teléfono pueda hacer llamadas, enviar
mensajes y utilizar datos, pero no le quita acceso al resto del teléfono. Además de esto, hoy
día lo más común es que alguien que roba un teléfono, lo apague y saque el chip para evitar
ser rastreado.
También puedes bloquear el teléfono a través del IMEI, no obstante casi nadie conoce ésta
opción. Para ese tipo de situaciones existe el cifrado. Cabe destacar que el cifrado no se
aplica sólo a dispositivos móviles, también puedes cifrar la información contenida en una PC
o laptop, archivos que subirás a la nube e incluso existen herramientas que permiten
comunicaciones cifradas.
Cifrando un smartphone
El proceso de cifrado de un dispositivo móvil hace que hasta el encendido del mismo esté
condicionado a una contraseña, ahora bien, cifrar no es añadir un simple PIN, patrón o
contraseña. Si pierdes tu teléfono, esos métodos de seguridad no evitarán que pierdas tu
información ya que si la persona que tiene tu teléfono lo conecta a una computadora vía USB
podrá de igual forma tener acceso a tu información sensible. Por lo tanto, el cifrado se refiere
a la protección de todo el espacio de almacenamiento, y esto quiere decir que todos tus
archivos estarán mezclados por un algoritmo y no podrán ser ordenados a menos que
introduzcas una contraseña que bien diseñada le puede tomar siglos a un programa de
30
Seguridad de la Información
cracking el poder descifrarla. En el caso de Iphone, desde la versión 4 todos sus teléfonos
vienen cifrados de fábrica pero con Android tenemos que hacerlo de manera manual
exceptuando algunos dispositivos lanzados después de la versión Lollipop del sistema
operativo de Google, que al igual que Iphone, vienen cifrados de fabrica.
Antes de realizar el cifrado de tu dispositivo Android, deberás asegurarte de tener una
contraseña o PIN, de otro modo no podrás realizar la tarea.
Para esto ve a Configuración > Bloqueo de pantalla y activa un PIN o contraseña. Procura
que no sea algo como 12345678, ¡por favor! esta será tu contraseña de cifrado. Más
adelante veremos buenas prácticas para crear contraseñas indescifrables.
Ahora ve a Configuración > Seguridad > Cifrar teléfono.
Te aparecerá una caja de advertencia, dale tap en “Cifrar” y procede a enchufar tu teléfono al
tomacorriente si no lo has hecho previamente. En este punto se te pedirá de tu PIN o
contraseña, al introducirla elige “continuar” y espera. El proceso toma de 15 minutos a una
hora y por ningún motivo debes interrumpirlo. Ten en cuenta que el teléfono se reiniciará solo
unas cuantas veces durante el proceso pero podrás ver una barra de progreso. Cuando haya
finalizado el proceso el teléfono se reiniciará por última vez y te pedirá tu PIN o contraseña
para completar el proceso de encendido. Algo importante y a tener en cuenta es que cifrar tu
dispositivo puede tener un importante impacto en el rendimiento del mismo, especialmente si
se trata de dispositivos antiguos, además de esto el proceso no puede ser deshecho a
menos que restaures la configuración de fábrica y en ese caso perderás todo lo que tengas
guardado en el teléfono. Sin embargo, esto no es motivo de preocupación, cifrando tu
teléfono puedes estar seguro de que la información sensible en tu dispositivo está a salvo.
Cifrando unidades de disco
Si tienes una buena computadora con bastantes recursos en lo que a hardware se refiere, te
recomiendo esta práctica, de otra forma, sucede lo mismo que con un dispositivo móvil, el
31
Seguridad de la Información
rendimiento del ordenador disminuirá. Cada vez que hagamos una petición en nuestra
computadora ejecutar un programa, por ejemplo; primero deberá introducirse la llave de
cifrado y luego nuestra computadora deberá analizar el algoritmo de cifrado para determinar
la ubicación del archivo ejecutable y luego utilizar el algoritmo para leer correctamente dicho
archivo, es demasiado trabajo para algunos ordenadores… Sin embargo, no es para
preocuparse, podemos cifrar también volúmenes específicos de nuestro disco duro así como
archivos y carpetas.
Cifrado completo del disco duro
Existen muchas herramientas para este fin, tanto libres y gratuitas como de pago e incluso
que vienen por defecto con el sistema operativo.
Cifrando en Windows
BitLocker es la opción por excelencia en este sistema operativo de Microsoft y es perfecta
para protegernos de ataques físicos, como por ejemplo alguien que obtenga nuestro disco
duro y lo conecte como unidad extraíble en otra computadora. Viene desactivado por defecto,
pero instalado con Windows.
Para activarlo ve a Inicio > Panel de control y entre las opciones, haz clic en la que dice
“Cifrado de unidad BitLocker”. Se puede seleccionar el disco o la unidad que quieras cifrar
con simplemente dar clic en “Activar BitLocker”. Al hacer esto, el asistente nos pedirá
introducir una contraseña que posteriormente servirá para ingresar a la unidad. Luego podrás
elegir donde guardar un archivo que te servirá para recuperar tus datos en caso de que
pierdas tu contraseña. Puedes elegir si quieres cifrar el disco completo o solo los espacios
que estén en uso. El primer de los casos es el más recomendable para equipos que ya estén
en uso pero es la opción que reduce más el rendimiento; el segundo caso lo recomiendo
para equipos nuevos y no tendrás muchos problemas de rendimiento.
Cifrando en Linux
32
Seguridad de la Información
Linux, más complejo en ocasiones, pero mucho más versátil. La mayoría de las
distribuciones te permiten el cifrado directamente en la instalación del sistema operativo. Por
ejemplo, Ubuntu, Debian, Manjaro y Fedora te permiten cifrar la carpeta personal del usuario
principal al momento de la instalación, por su parte OpenSUSE te permite cifrar particiones
del disco a tu gusto. En general, las posibilidades resultan bastante interesantes respecto a
este tema y además el cifrado, como ya he dicho en reiteradas ocasiones, es una práctica de
seguridad muy importante y recomendable sobre todo para ordenadores portátiles. Sin
embargo hay quienes desaconsejan este hábito por dos razones fundamentales que
veremos a continuación.
Dificultad para recuperar información Si llegaras a tener algún problema con tu sistema
operativo, cosa que sucede más seguido de lo que se piensa, la recuperación de tus datos
sin cifrar sería sólo cuestión de utilizar un Live CD (disco de arranque de equis distribución
de Linux) o conectar tu disco como unidad externa en otro ordenador. Sin embargo, si el
disco está cifrado, a arremangarse las mangas, preparar un buen café, echarse la cobija en
la cabeza y comenzar a buscar soluciones que de paso sólo se realizan por consola.
Evidentemente hay formas para evitar eso y la mejor es utilizar buenas prácticas a la hora de
instalar la distribución de Linux. Siempre es importante que el directorio raíz o root (el que
contiene al sistema operativo) se instale SIEMPRE en una partición aparte del resto. La
razón es sencilla. Si tienes problemas con tu sistema operativo, sólo tendrás que formatear
esa partición y restaurar y tu información seguirá intacta y cifrada en otra partición del disco
duro.
Pero ¿qué pasa si en vez de un daño en el sistema operativo, sufrimos un daño en el disco
duro? Esto es lo peor que nos podría pasar en realidad. Un daño en el disco duro puede
impedir la reinstalación del sistema operativo y los datos pueden ser recuperados o no. Si lo
son, teniendo el directorio raíz en una partición diferente, con sólo conectar el disco duro
como secundario en otra computadora, podremos recuperar los datos de forma gráfica, sin
necesidad de consola. Pero ¿Y qué si no lo son? Sólo hay algo por hacer y forma parte del
abc de la informática.
33
Seguridad de la Información
Copias de seguridad, no importa cómo se hagan siempre que se hagan. Más adelante
hablaré más de este tema. Posible impacto de rendimiento El mismo punto que vimos en
Windows, pero la verdad en Linux es diferente. Con un disco cifrado solo se resentirá el
tiempo de carga del sistema luego de introducir tu contraseña y ya... Tendrás tu sistema
operativo igual que siempre.
Cifrado de volúmenes
Cifrando volúmenes en Windows
contamos con la herramienta VeraCrypt que nos ayuda a cifrar volúmenes de disco que
pueden ser utilizados como cualquier unidad o medio de almacenamiento al que
ingresaremos por medio de una contraseña. Esta herramienta nos permite crear volúmenes
que pueden ser montados y desmontados fácilmente y por su seguridad, permite el
almacenamiento de información sensible sin dejar rastro de ella en tu ordenador. Cifrado de
archivos En el caso de que lo que queramos es cifrar archivos independientes existe una
alternativa mucho más sencilla que es AxCrypt. Al tenerla instalada en Windows sólo
deberás dar clic derecho sobre el archivo y seleccionar la opción “Encrypt”. El asistente no
pedirá una contraseña que luego servirá para desencriptar el archivo. También podemos
generar un archivo que servirá de llave para descifrar el contenido del archivo.
Cifrando volúmenes en Linux:
Cryptkeeper es la herramienta indicada para Linux. Sólo debes instalar (por la terminal o con
ayuda del gestor de aplicaciones –Añadir o quitar software – > Buscar cryptkeeper >
seleccionar > aplicar)
Una vez instalado buscalo en tu panel de inicio, ejecútalo, aparecerá un ícono con una llave
o un candado (dependiendo de la versión) entre los íconos principales (debe estar junto al
indicador de batería, sonido, redes wifi) click sobre el icono > selecciona la opción New
encrypted folder > Indica el nombre de tu carpeta cifrada > Indica la ubicación en la que
quieres que se aloje la carpeta cifrada > Asigna una clave y crea la carpeta,
34
Seguridad de la Información
Ahí podrás almacenar toda la información resguardada por tu clave. Si ya tienes archivos
sensibles córtalos y pégalos dentro de ésta carpeta.
Para hacerlos invisibles sólo coloca un punto antes del nombre: .juntasnoscuidamos
Desaparecerán todas las carpetas con puntos al inicio del nombre.
Para verlas presiona Ctrl + h al mismo tiempo. Haz lo mismo para que desaparezcan
nuevamente.
Cuando necesites acceder a tus archivos cifrados busca nuevamente Cryptkeeper y
ejecútalo > busca el ícono (llave o candado) y haz click sobre él > selecciona la carpeta que
creaste > introduce tu clave secreta en la ventana de Cryptkeeper y listo.
Cifrado en la nube
Para este fin tenemos BoxCryptor que trabaja con DropBox, One Drive, Google Drive, entre
otros y lo que hace es crear una unidad virtual en la PC que permite cifrar documentos de
forma local antes de subirlos a la nube. Todos los archivos que se guarden en la carpeta de
BoxCryptor, quedarán cifrados de manera instantánea.
35
Seguridad de la Información
6.- Protegiendo nuestras conexiones
Todo lo que hemos visto hasta ahora es sólo un abrebocas de todo lo que implica la
seguridad informática. Sin embargo, todas estas vulnerabilidades residen sólo en nuestros
equipos, y en algunos casos no se requiere de una conexión a Internet para poner en riesgo
nuestra información sensible; bien sea en caso de robo o pérdida o por simplemente darle
acceso voluntario a un tercero a nuestro dispositivo. Sin embargo, el mayor riesgo está en las
conexiones a Internet, y esto no sólo se limita a los virus informáticos y las comunicaciones
no cifradas. También existen riesgos en nuestras redes locales e incluso las redes a las que
nos conectamos.
Protegiendo nuestro WiFi
Cuando tienes un Router, compartes tu conexión de Internet con otros equipos y esto puede
implicar grandes riesgos en sentidos de la seguridad de tu información entre otras cosas
bastante delicadas.
¿Qué puede pasar si alguien tiene acceso a mi red WiFi? Imagina que tienes tu conexión
WiFi abierta (sin contraseña) y por mala suerte tienes un vecino con conocimientos y
malicia... Esto podría pasar.
Reducción del Ancho de banda
Dependiendo del número de dispositivos y del uso que hagan de la red, pueden llegar incluso
a impedir que nuestros equipos se conecten correctamente. Y como se supone que nuestro
vecino hipotético sabe lo que hace, decide comenzar a descargar videojuegos utilizando tu
red. En ese caso no podrías conectarte a Facebook, Twitter, incluso de ver videos en
Youtube o Vimeo ya que todos estos servicios requieren un considerable ancho de banda.
Probablemente cuando intentes descargar archivos se perderán tus conexiones y tardarás
horas en descargar archivos que podrían tardar segundos si no tuvieras un intruso.
Robo de información transmitida
36
Seguridad de la Información
Cuando te conectas a una red, constantemente envías y recibes datos. Esta persona con
conocimientos podría fácilmente interceptar esos datos y así tener acceso a tu información.
Conexión directa con nuestros dispositivos
Los conocimientos de tu vecino podrían darle la capacidad de utilizar cualquier fallo en la
configuración de tu red o incluso alguna falta de actualización para acceder a todos los
equipos de la red y de esa forma tener en su poder toda tu información.
¿Cómo puede alguien utilizar mi WiFi?
Para este fin, los intrusos utilizan cualquier incorrecta configuración de seguridad en un
Router. Según el método de seguridad que utilicemos, ofrecemos más o menos resistencia,
pero ten por seguro que podrán conectarse si tenemos algunas de las siguientes fallas:
Red abierta
No es muy común que suceda hoy en día, sin embargo es una posibilidad. A una red abierta
cualquiera puede conectarse y puede ser un riesgo tanto para la persona dueña de la red
como para quien decida conectarse.
Seguridad obsoleta
Algunos Routers venían configurados con un sistema de seguridad conocido como WEP, que
con el tiempo ha resultado débil e inseguro. Con los conocimientos suficientes, se puede
descubrir la clave en poco tiempo. Utilizar este sistema de seguridad es prácticamente igual
a tener la red abierta.
Clave WiFi débil
Puede que la red cuente con otro sistema de seguridad robusto y fuerte, pero de nada sirve
si la contraseña es débil. Más adelante veremos buenas prácticas para crear contraseñas
indescifrables.
Clave WiFi por defecto
37
Seguridad de la Información
En este caso puedes tener un buen sistema de seguridad y además una buena clave, pero si
es la que viene por defecto en el Router, ésta ya rueda por los foros en Internet y con una
simple búsqueda y tras unos intentos, darán con ella. Recomiendo cambiar la contraseña del
Router que viene por defecto.
¿Cómo me protejo?
Si no queremos ser víctimas de un ataque en nuestra red WiFi debemos revisar su
configuración. La que viene por defecto en los routers no siempre es la más indicada.
Debemos fijarnos que el router incorpore por lo menos el protocolo de seguridad WPA, de
otro modo recomiendo sustituirlo. Para saber los protocolos de seguridad ingresa a sus
configuraciones, para ello verifica el manual de usuario y si no lo tienes, busca en Internet el
manual para tu marca y modelo. En la mayoría de los casos ingresamos a su configuración a
través de un navegador y escribiendo la dirección 192.168.1.1 Las medidas de seguridad
recomendables son las siguientes.
Asigna el sistema de seguridad más avanzado: WPA2 con cifrado AES
Cambia la contraseña por defecto: Mínimo 12 caracteres entre minúsculas,
mayúsculas, números y símbolos.
Cambiar el SSID o nombre de la WiFi: procura utilizar un nombre que no haga
referencia al proveedor de servicio, marca o modelo del router o la contraseña misma.
Modifica la contraseña para acceder a la configuración: esta suele ser muy sencilla,
algo como: “1234” o “admin”. Conviene cambiarla pues así alguien pueda entrar a tu
red, no podrá acceder fácilmente a la configuración de tu router.
Apagarlo si nos ausentamos un tiempo: Si no vamos a utilizar nuestra conexión, ¿para
qué dejar encendido el router? Además del ahorro energético, evitaremos que alguien
intente aprovecharse de nuestras conexiones.
Habilitar la dirección MAC: También llamada dirección física y es el identificador único
de cada dispositivo de red. Con esta opción podemos limitar el acceso a nuestra red,
solo a aquellos equipos que cuenten con una dirección MAC registrada en nuestro
38
Seguridad de la Información
router.
Recomendación final: aunque pueda parecer que este tipo de cosas sólo le suceden a
otras personas, el riesgo de tener un intruso en nuestra red es latente. Hay infinidad
de tutoriales en Internet que explican cómo hackear una red WiFi y son muchas las
personas que en la mayoría de los casos sólo quieren saberlo para aprovecharse de
las conexiones de otros pero ¿Qué hay de los que buscan algo más? Protegiéndonos
en redes WiFi públicas Imagina que un día vas por la calle y recibes un Whatsapp de
algún contacto que contiene un video. Como tu contacto es de confianza, quieres ver
el video pero sabes que puede consumir todos tus datos entonces de pronto pasas
por una plaza pública en la que hay un café y de pronto en tu celular suena la alerta
de WiFi libre disponible… Al abrir la configuración de tu dispositivo notas que la red se
llama café y al estar cerca de un café decides conectarte. Estás consciente de que
conectarse a una red pública puede representar un riesgo, sin embargo ¿qué podría
pasar si aparentemente es la red del café? ¿a quién allí le interesa tu información?
Luego de eso pasan un par de días y olvidas el asunto, de pronto recibes un email de
alguien que te dice que tiene archivos comprometedores de tu propiedad y que si no le
pagas de alguna forma las hará públicas y virales o las utilizará como herramienta de
denuncia. ¿Te das cuenta ahora? La red a la que te conectaste era un fraude y solo
sirvió para que alguien robara la información de tu teléfono para luego chantajearte.
Esta práctica se llama Black mailing y es más común de lo que crees.
Muchas personas dejan redes WiFi abiertas y con nombres amigables para atrapar a
incautos y pueden utilizar la información que obtengan, como en el ejemplo, o de muchas
otras formas, así que debes estar pendiente con la red a la que te conectas.
Riesgos de utilizar redes públicas
Cuando nos conectamos a una red pública no sabemos quién la administra ni cuales sean
sus intenciones. Además no sabemos qué medidas de seguridad implementa para evitar
ataques dentro de la red.
39
Seguridad de la Información
Robo de datos transmitidos
Si la red es abierta, los datos son accesibles no sólo para el administrador, sino para
cualquier usuario de la red y no se requieren conocimientos muy elevados para obtener
dichos datos. Por otro lado si la red está protegida, es seguro que los datos se transmiten de
forma cifrada, sin embargo no sabemos qué tipo de protocolo de seguridad utiliza la red y
como vimos anteriormente, si este es WEP, nuestros datos corren el mismo peligro que si la
red es abierta.
Robo de datos almacenados en nuestro equipo
Al formar parte de una red pública, toda nuestra información está expuesta a otros usuarios.
Para evitar esto es necesario cifrar nuestra información sensible. Infección de dispositivos:
Ya sabemos que nuestro dispositivo está expuesto, alguien con la intención y el
conocimiento, puede infectar nuestro dispositivo con un virus. Para evitar esto procura tener
un antivirus actualizado y realizar todas las tareas que explique en el capítulo de Seguridad
contra Virus Informáticos.
Equipos intermediarios malintencionados
Un usuario de la red podría configurar su equipo para hacer de intermediario de
comunicaciones entre nosotros y algún servicio como Facebook, por ejemplo y toda la
información que enviemos pasará previamente por este equipo, pudiendo este almacenarla,
desviarla o eliminarla antes de llegar al servicio.
El hacker inocente
En algún momento alguien puede sentir la tentación de conectarse a alguna red ajena para
practicar técnicas de hacking WiFi, puedes encontrarte con el caso de intentar hackear la red
de un hacker y salir más perjudicado de lo que imaginas. También ten presente el caso del
ejemplo del principio, hay redes abiertas destinadas a cazar a incautos.
Recomendaciones a la hora de conectarse a una red pública: Ya sabemos que hay riesgos,
pero no quiere decir que no podamos conectarnos, solo debemos tener cuidado y en caso de
40
Seguridad de la Información
una red abierta poco confiable, jamás compartas información sensible:
Debemos evitar el uso de cualquier servicio en el que la información transferida tenga un
componente de seguridad, en pocas palabras no compartas información privada. Puedes
usar estas redes para leer noticias, ver blogs, buscar algo en la web, etc, pero siempre ten
presente que estos servicios también pueden comprometer tu privacidad y en ese contexto
de riesgo por todos lados, podemos hacer lo siguiente.
Cortafuegos
Es muy importante tener instalado y activado un cortafuegos si te conectas desde una PC o
laptop. Esto evitará las conexiones entrantes de otros equipos conectados a la red.
Antivirus
Está de más decir que se requiere, especialmente si usas Windows, pero es interesante
saber que además de proteger tu equipo contra malware, también puede detectar ataques
desde otro dispositivo.
Actualizaciones de seguridad
Esto aplica a todos los sistemas operativos y dispositivos. Mantén tu software siempre
actualizado para evitar baches de seguridad por los que puedes recibir ataques.
Desactivar la sincronización
Muchos de nuestros dispositivos realizan tareas en segundo plano de las que usualmente no
somos conscientes: sincronización de actividad, notificaciones, calendario, descarga de
correos electrónicos, etc. Es importante desactivar estas funciones debido a que en ellas se
transfieren datos no cifrados que podrían ponerse en riesgo en una red pública.
Desactivar el sistema WiFi
En nuestros dispositivos móviles es importante que desactivemos el WiFi una vez no
alejemos de nuestras redes de confianza ya que un ataque puede suplantar a una de las
41
Seguridad de la Información
redes de nuestra lista de redes de confianza obligándonos a conectarnos a ella de forma
automática y transparente para nosotros y nosotras.
Limpiar la lista de puntos de accesos memorizados
Conviene revisar nuestra lista de redes para eliminar las esporádicas y dejar sólo aquellas de
verdadera confianza.
42
Seguridad de la Información
7.- Buenas prácticas para crear contraseñas indescifrables
La mayoría de los usuarios o bien utilizan contraseñas fáciles de hackear o bien olvidan las
contraseñas complejas que han creado. Aquí aprenderemos no sólo a crear contraseñas
indescifrables sino también prácticas y herramientas que te ayudarán a no olvidarlas. Las
contraseñas son llaves que dan acceso a los servicios que utilizamos, por ende a toda
nuestra información, el robo de una contraseña puede concluir con suplantación de identidad
y robo de información, de allí la importancia de crear buenas contraseñas.
Bajo ninguna circunstancia compartas tus contraseñas con nadie
Aunque suene trillado, una contraseña nunca debe ser compartida con nadie, NADIE. Una
contraseña compartida por dos o más personas deja de ser secreta y así sea alguien de
confianza.
El tamaño importa, no hagas contraseñas cortas Vigila la longitud. Más importante que la
complejidad de la contraseña es su longitud pues de esto depende su nivel de eficacia. Lo
mínimo recomendado es 8 caracteres. Crea las contraseñas tan largas como importante sea
la información que guarda el servicio. Pero ¿por qué? Existen programas diseñados
específicamente para probar millones de contraseñas por minuto.
La tabla siguiente muestra el tiempo que tarda un programa de este tipo en averiguar una
contraseña.
43
Seguridad de la Información
Impresionante ¿no?
Creando contraseñas robustas
Desde hace mucho tiempo ya los gurúes de la informática recomiendan cada vez que sea
posible las verificaciones en dos pasos que veremos más adelante. Cada día aumenta
considerablemente los casos de robo de información y demás, ésto nos coloca frente a un
panorama en el que nuestra información sensible está en sumo riesgo.
Por este motivo, se hace necesario compartir los conocimientos para que cada una y cada
uno pueda crear la contraseña más segura, actualizable, memorizable y a la vez
indescifrable posible, para cuantos sistemas y servicios posean.
¿Qué no debemos hacer?
Números consecutivos: 123456
Nombres propios: EvaMaria.
Palabras de diccionario: Password.
Números de teléfono: 04161154070
Números de identificación: 20434556
Letras consecutivas del teclado: Qwerty
44
Seguridad de la Información
Cualquier fecha especial: 17-12-1985
Contraseñas formadas por la concatenación de varios elementos obvios:
EvaMaria20434556. Es segura en cuestión de longitud y combinación de caracteres
pero un atacante podrá fácilmente descifrarla.
¿Cómo comienzo entonces?
Digamos que vas a crear la contraseña para el inicio de sesión de usuario de tu nuevo
sistema operativo Linux. Te doy tres opciones para comenzar.
1. Parte de una frase. Busca una frase. Preferiblemente algo que tenga significado para
ti y para nadie más. Que no sea ni muy corta para que sea difícil de adivinar, ni muy
larga para que la puedas recordar. Si hay números, y símbolos, mucho mejor.
enelbardelaViudasebebecerveza1.000Bs
2. Combina dos o más palabras. En caso de que no se te ocurra una frase, busca tres o
más palabras y combínalas, de nuevo, debe ser algo que tenga significado para ti:
Viudacerveza
3. Combina una palabra y una secuencia de números Igual que el caso anterior, que
tenga significado para ti. Digamos que escogiste “Viuda” y el código postal de la
ciudad en la que está el bar “5101”: Viuda5101cerveza.
Ahora tenemos tres posibles contraseñas que por sí solas son bastante difíciles de averiguar.
Según la tabla de dificultad según longitud, a un programa informático diseñado para
descifrar contraseñas, le tomaría 20 milenios averiguar la más débil de estas tres. Pero no te
confíes. Los atacantes no solo son personas con altos conocimientos de informática y
seguridad, sino que aplican la Ingeniería social y son expertos en averiguar información sin
que te des cuenta. Por lo tanto, en mi opinión, estas tres contraseñas siguen siendo
descifrables.
45
Seguridad de la Información
Fortalece tus contraseñas
Tomando como punto de partida los tres ejemplos, te daré algunas técnicas para fortalecer
tus contraseñas.
1. Mezcla palabras. En el caso del segundo ejemplo, que son dos simples palabras, y el
tercero: una palabra y una secuencia de números, podemos optar por mezclar ambas.
Viudacerveza > Viuda5101 > Viu51dacer01veza.
2. Convierte las vocales en números o elimínelas. Veamos el caso del primer ejemplo:
enelbardelaViudasebebecervezaa1.000Bs >
3n3lb2rd3l2V48d2s3b3b3c3rb3z22.000Bs. En el caso del segundo ejemplo: Viceversa
> V4c3rv3z2. Tercer ejemplo: Viu51da01 > V4851d201 Otra opción es eliminar las
vocales, esto funciona para contraseñas construidas con frases largas y que
contengan números como el caso del primer ejemplo.
enelbardelaViudasebebecervezaa1.000Bs > nlbrdlVdsbbcrvz1.000Bs
3. Aprende a camuflarte en el entorno: Un estudio del proveedor de servicios de antivirus
y protección web para dispositivos revela que el 74% de los usuarios utiliza la misma
contraseña para todas sus cuentas. ¡Error número uno! Si alguien obtiene una de tus
contraseñas, fácilmente tendrá acceso a toda tu información sensible. Es importante
que las contraseñas no se repitan NUNCA, pero con la gran cantidad de servicios que
utilizamos hoy en día y que requieren contraseña, es demasiado complicado recordar
la que hemos asignado para cada una. Una técnica efectiva para esto es partir de una
buena contraseña base como cualquiera de las del ejemplo y agregarle como prefijo,
sufijo o entre palabras el servicio que utilizaremos. Por ejemplo, si estamos creando la
contraseña de nuestra cuenta de usuario en Linux y luego necesitamos una para el
usuario root y otra para el Facebook podemos hacer lo siguiente con cada ejemplo de
contraseña:
3n3lb2rd3l2V48d2s3b3b3c3rb3z221.000Bs >
Linux: Linux_3n3lb2rd3l2V48d2s3b3b3c3rv3z221.000Bs
46
Seguridad de la Información
Root: 3n3lb2rd3l2V48d2s3_root_b3b3c3rv3z221.000Bs
Facebook: 3n3lb2rd3l2V48d2s3b3b3c3rv3z221.000Bs_Facebook
Viu51da01 >
Linux_ Viu51da01
Viu51_root_da01
Viu51da01_Facebook
V4c3rv3z2 >
Linux_ V4c3rv3z2
V4_root_ c3rv3z2
V4c3rv3z2_Facebook
A estos prefijos y sufijos también le podemos aplicar técnicas de abreviación,
traducciones, sustitución o eliminación de vocales e incluso hacer referencia a nuestro
modo al servicio. Por ejemplo utilizando la contraseña del tercer ejemplo para
Facebook y twitter. Facebook > P0rt2d2_V4c3rv3z2; Twitter > Trr_V4c8d2r8d2 En el
primer caso pasé de “Facebook” a “Portada”, que es la traducción al español y cambié
las vocales por números. Y en el segundo cambié “Twitter” por “Tuirer” que es su
transcripción fonética (como me suena), y elimine las vocales. Además de esto,
utilizando esta técnica de sufijos, prefijos y palabras intermedias, podemos agregar un
símbolo que no necesariamente tiene que ser el guion bajo y esto hará mucho más
indescifrable nuestra contraseña.
4. No sigas a la masa: Estas técnicas, más que reglas son ideas. Las posibilidades son
infinitas así que hazte tu propia técnica. Por otro lado ten presente que los atacantes
no son sólo personas con altos conocimientos en programación, sino que son
personas que conocen todo esto que he escrito y además dedican su tiempo a buscar
técnicas para obtener contraseñas. Ten presente que una variable sobre lo
convencional puede hacer la diferencia, así que utiliza la imaginación.
47
Seguridad de la Información
Precaución con las preguntas de seguridad para recuperar claves
Algunos servicios ofrecen la opción de utilizar preguntas de seguridad para que, en caso de
olvido, podamos recuperar la contraseña. Sin embargo, muchas de estas preguntas son
simples y cualquier persona que nos conozca mínimamente o que disponga de acceso a
nuestras redes sociales podría averiguar la respuesta. Por ejemplo: ¿Cómo se llama tu
mascota? Por ello, no debemos utilizar las preguntas de seguridad con respuestas obvias.
Podemos facilitar una respuesta compleja o bien una respuesta falsa y sólo conocida por
nosotros.
Mantén tus contraseñas a salvo
Si inventas una técnica que te facilite recordar todas tus contraseñas es perfecto, pero en
caso contrario haz un respaldo de las mismas y mantenle siempre a salvo. Puedes optar por
guardarlo en tu equipo, sin embargo ten presente que cualquier persona que pase por allí
podrá acceder al archivo y de igual manera si eres víctima de un ataque informático, puedes
perder tus contraseñas por lo tanto, si vas a guardar tus contraseñas en tu equipo, procura
hacerlo en un lugar discreto y con un nombre que no invite a la apertura del archivo y en la
medida de lo posible, cifrar el archivo. También puedes guardarlas en algún dispositivo
extraíble pero ten presente que si lo pierdes, perderás con él tus contraseñas. Entonces, la
solución más segura de todas es usar un gestor de claves.
Utiliza un administrador de contraseñas
La opción que recomiendo es KeePass, una herramienta gratuita y de código abierto que
facilita la administración de todas tus contraseñas, haciendo respaldo seguro de las mismas
y de forma cifrada por lo que sólo tú, por medio de una contraseña maestra y un archivo llave
(foto, documento, etc, opcional), podrás desencriptar.
Los gestores de contraseña con almacenamiento en la nube tienen muchos defectos.
FALLAN. No recomiendo su uso.
Usando KeePass puedes descargar también la app móvil en android y enviar tu archivo .kdb
48
Seguridad de la Información
a tu móvil cada vez que actualices una clave o crees una cuenta con una nueva contraseña,
sólo recuerda borrar el anterior para que no los confundas. Puedes acceder a las claves
desde cualquier dispositivo!
El archivo se ve así:
No se parece a ningún otro archivo en tu computadora, por lo que puede ser confundido con
un archivo malicioso. Por favor respáldalo y mantenle a salvo, sobre todo si compartes tus
dispositivos. Recuerda que la extensión de éste archivo es .kdb
Usa una contraseña muy fuerte, pero que no olvidarías jamás como tu contraseña maestra.
49
Seguridad de la Información
8.- Asegurando nuestro acceso a Internet
Todos los dispositivos que se conectan a Internet poseen una IP que es como un número de
identificación único que se utilizan los diferentes equipos para comunicarse entres sí. El
anglicismo IP viene de la abreviación de las palabras Internet Protocol (protocolo de Internet)
y es en términos técnicos una matrícula identificativa que define a un dispositivo en una red,
bien sea esta interna (casa, trabajo, comercio) o externa, de cara a la Internet. Una dirección
IP se compone de una secuencia de cuatro grupos con un máximo de tres números cada
uno, algo como 168.192.1.1 y en un equipo, no necesariamente tiene que ser la misma
siempre. La IP puede variar en función al entorno en el que nos encontremos. Por ejemplo,
dentro de nuestra red interna podemos asignar al router la tarea de repartir las IP a los
diferentes equipos que se conectan a la red, de esta forma estaríamos utilizando el protocolo
DHCP (Dynamic Host Configuration Protocol o protocolo de configuración de alojamiento
dinámico).
¿Cómo funcionan las direcciones IP?
El router se encarga de asignar una dirección IP diferente a cada equipo que se vaya
conectando a la red. Esto hará imposible que dos equipos tengan la misma IP y haya alguna
clase de conflicto. Pero también hará que cada vez que un equipo se conecte tenga una IP
diferente, por lo que será imposible mantener conexiones fijas entre varios dispositivos (por
ejemplo carpetas e impresoras compartidas). Esta configuración es segura, pero si
requerimos de este tipo de configuraciones, podemos asignar una IP estática. De esta forma
seremos nosotros quienes nos encargamos de determinar las diferentes direcciones IP para
cada equipo, teniendo cuidado de que no se repitan para evitar conflictos. Algo similar pasa
en Internet. Así como tenemos asignada una IP en nuestra red, tenemos una IP pública que
dependiendo del servicio puede ser estática o dinámica.
En la mayoría de los casos las IPs asignadas por los servicios que contratamos son
dinámicas, lo que quiere decir que irán cambiando con el tiempo sin que nos demos cuenta,
sin embargo hay casos en los que la IP es estática y no puede ser cambiada. Para acceder
remotamente a otro equipo, es necesario conocer la IP del mismo y esta es una práctica que
50
Seguridad de la Información
realizamos a diario. Cuando queremos acceder a un sitio web, digamos
https://www.juntasnoscuidamos.org un protocolo de Internet llamado DNS (Domain Name
Server o servidor de nombre de dominio) se encarga de averiguar la dirección IP asociada a
la URL traduciendo esta al navegador para que sepa a donde debe dirigirse.
¿Qué guarda una dirección IP?
Ya sabemos que son nuestros identificadores en una red y sirven para la comunicación entre
equipos, pero ¿qué información se guarda en una IP? Te sorprendería. Como ya dije las IPs
están formadas por cuatro grupos de tres dígitos, en términos técnicos 32 bits en cuatro
grupos de 8 bits. Suficiente espacio para guardar lo siguiente.
Información geográfica: País, Estado o región, ciudad y código postal.
Información de geolocalización: Zona horaria, Latitud y longitud.
Información de hospedaje: Proveedor de Internet y nombre del servidor.
Información del equipo: Sistema operativo con versión y todo, y navegador de internet
con versión también.
Suena de película pero es cierto, nuestra IP nos revela por completo en Internet y esto puede
ser una vulnerabilidad bastante grande.
¿Cómo me protejo?
Como todo, este hueco de seguridad en las direcciones IP se puede evitar por medio de la
ofuscación u ocultamiento de la misma y existen diferentes formas de acuerdo a tus
necesidades. Imagina que vas a conectarte al sitio web cualquiecosarandom.com y este es
poco fiable y quieres asegurarte de que no obtenga la información contenida en tu IP. Tienes
varias opciones:
Proxy
Un proxy es un intermediario entre dos equipos que permite conectar a un cliente que está
solicitando recursos a otro servidor sin que este sepa a quién va dirigida la información.
Volvamos al ejemplo, cuando te conectas a la página, le haces una petición al servidor que
aloja al sitio para que muestre la información en nuestro navegador. Sin la intervención de un
51
Seguridad de la Información
proxy, quien envía la información puede obtener los datos alojados en nuestra IP y de esta
forma acceder a información que revele nuestra identidad y locación. Al utilizar un proxy, este
forma una especie de barrera entre nosotros y el servidor al que le hacemos la petición. De
esta forma, el sitio al que ingresamos, no obtendrá nuestra información sino la información
del proxy. A pesar de que un proxy es una herramienta bastante útil, no evitará que tus
comunicaciones sean rastreables. Un proxy se recomienda para cosas puntuales, como el
acceso a un sitio web cuyo contenido esté bloqueado para tu nacionalidad, sin embargo
gastaras tiempo configurando el mismo, por lo tanto puedes utilizar para este fín servicios
web gratuitos como hidester (https://hidester.com/es/proxy/) donde podrás introducir una
dirección web y hacer que todo su contenido apunte al proxy.
VPN
La mejor manera para asegurar el anonimato en la web es la utilización de VPN (Virtual
Private Network o red privada virtual) que te permite crear una conexión segura a otra red.
Cuando utilizas una VPN tu dispositivo actúa como si formara parte de la red en la que se
encuentra la VPN ocultando de esta manera tu dirección IP, aparentemente te estarás
conectando desde cualquier lugar del mundo menos el real y más allá de esto todo el tráfico
de datos es enviado a través de la VPN de manera cifrada.
¿Qué VPN puedo usar?
Entre las opciones profesionales tenemos TorGuard y PureVPN, ambas igual de buenas,
pero a menos que tengas una tarjeta de crédito con dólares disponibles para gastar, son
inaccesibles pues no cuentan con versiones gratuitas. Existen dos alternativas más:
TunnelBear con planes gratuitos y de pago dependiendo de tus necesidades. En el plan
gratuito tu conexión se limita a 500MB por mes y funciona para Windows, MAC, Linux,
Android e IOS.
Hola es el mejor VPN gratuito y cuenta con versiones para todos los sistemas operativos.
También cuenta con una versión de pago, pero su versión gratuita funciona bien, con buenas
52
Seguridad de la Información
velocidades y sin restricciones de datos.
Si el pago o la configuración del VPN te resultan complicadas puedes utilizar extensiones en
tu navegador:
Chrome o Chromium: Para este navegador el indicado es Hoxx VPN proxy. Es fácil de usar
y de instalar, y puedes activarlo y desactivarlo con un solo click, además de darte la
posibilidad de decidir con qué país quieres encubrir tu dirección IP, herramienta en extremo
útil.
Opera: este navegador tiene en sus últimas versiones su propio VPN preinstalado, sólo
debes buscarlo en herramientas y activarlo.
Firefox: Las opciones de Firefox son muchas y muy seguras, pero ¡por favor investiga! En
algún foro o página de recomendaciones sobre la extensión VPN que elijas antes de
instalarla.
Safari: Para el navegador de apple no existen extensiones gratuitas. Debes comprarlas, por
lo que recomiendo un VPN pago general en lugar de una extensión de navegador.
Bajo ninguna circunstancia recomendamos el uso de Internet Explorer.
Recomendación final: Si tienes la posibilidad de comprar un VPN hazlo, si no utiliza alguno
gratuito pero siempre ten presente que esta práctica es indispensable para nuestra
seguridad, especialmente si utilizamos redes abiertas o ajenas.
53
Seguridad de la Información
9.- Navegando de forma segura por internet
Con todo lo que hemos visto hasta ahora podemos navegar de forma segura por Internet, sin
embargo, aún nuestro navegador puede guardar información extra sobre los temas a los que
ponemos atención, entre otras cosas, y sólo podemos especular sobre el uso de esa
información. Podemos decir que no importa, pues con todo lo que sabemos en este punto,
las probabilidades de sufrir un ataque informático, bien sea directo o a través de un virus, se
han reducido bastante, sin embargo, y como dije al principio de este texto, las principales
empresas de tecnología y comunicaciones, almacenan toda la información posible sobre
nuestros hábitos de navegación y estos datos siguen siendo accesibles. Los gobiernos
pagan grandes cantidades de dinero por buscar y obtener información relevante para ellos, si
de verdad somos un blanco de investigación debemos ser en extremo precavidas.
Los navegadores
Siempre he pensado que es bueno conocer las herramientas que usamos para entender
mejor los riesgos y buscar así soluciones, por lo tanto, veamos que es un Navegador: Un
navegador es un tipo de software que te permite el acceso a la web interpretando
información contenida en diferentes archivos para que estos puedan ser visualizados. Así
que básicamente un navegador te permite ver de forma legible documentos de texto con
contenido multimedia además de permitir pasar de un documento a otro vía enlaces. Los
navegadores son parte de nuestra vida cotidiana, tanto en ordenadores de mesa cómo
laptops e incluso tablets y smartphones, entre muchos otros dispositivos. Los más conocidos
son Internet Explorer (muy malo e inseguro por cierto) Firefox, Google Chrome o Chromium
en Linux y Safari (de Apple) pero existen muchos más.
Poco a poco han ido evolucionando y obteniendo inteligencia desde el punto de vista
informático. Ahora incluyen buscadores, autocompleta textos, corrigen errores ortográficos e
incluso recuerdan por nosotros nuestros datos de acceso a servicios. Esto, por un lado no es
malo… con la gran cantidad de servicios que utilizamos hoy día, utilizar todas las
funcionalidades de un navegador nos puede facilitar muchas cosas e incluso optimizamos
tareas y tiempo valioso. Sin embargo siempre debemos recordar que los navegadores
54
Seguridad de la Información
también son utilizados por personas malintencionadas y estas pueden obtener la información
que almacenamos con ellos aprovechándose de la más mínima vulnerabilidad. Por ello
hemos de conocer sus riesgos para poder así adoptar precauciones que nos ayuden a
navegar de forma segura.
La pérdida de privacidad, el lado oscuro de la navegación fácil
Como ya sabemos, los navegadores pueden incluir muchas funcionalidades para hacer
nuestra vida más sencilla, sin embargo, en ocasiones, estas funcionalidades pueden poner
en riesgo nuestra privacidad. El historial. Allí se guarda el registro de toda nuestra actividad
en la web, cualquiera con acceso a éste, sabrá todo lo que hacemos en Internet y en que
momento lo hemos hecho.
Hábitos de navegación
El navegador registra cuántas veces entramos al mismo sitio o a sitios similares. Esto ayuda
a brindarnos información que pueda interesarnos y nos facilita el encontrar contenido. Sin
embargo, alguien con acceso a nuestro navegador también puede conocer esta información
y así hacerse una idea de nuestros gustos, intereses y preferencias.
Usuarios y contraseñas
Evidentemente el navegador también guarda estos datos y creo que está demás decir que
alguien con acceso al mismo, puede incluso suplantar nuestra identidad sin ningún problema.
Sesiones
Cuando entramos a algún servicio (Facebook, Twitter, Google+, etc) de esos que tiene un
checkbox que dice algo como “mantenerme conectado”, al hacer clic, el navegador guardará
la sesión, de esta forma, así cerremos el sitio, cualquier persona que acceda a nuestra
computadora y vaya a alguno de estos servicios, tendrá acceso a nuestra información. Si
deseas guardar tus claves para facilitar su acceso hazlo sólo en tu ordenador y en tu usuario
privado!
55
Seguridad de la Información
Las Cookies no son galletas, no son amigables
Las cookies son archivos que se guardan en nuestro ordenador mientras navegamos por
sitios que las usen y se encargan de almacenar información sobre los sitios que visitamos,
nuestras preferencias, hábitos e información personal. De las dos funciones principales de
una cookie, una puede ser un arma de doble filo, la otra puede ser de incluso más filos…
veamos. Las cookies llevan el control de usuarios. Cuando accedemos a un sitio e iniciamos
sesión usando un nombre de usuario, correo o número telefónico y una contraseña, se crea
una cookie que generalmente guarda estos datos además de la IP, navegador y sistema
operativo desde el que estás ingresando. Todo esto con el fin de que al momento de cerrar
sesión, al regresar luego, tus datos sean recordados y no debas introducir de nuevo tus
datos. Las cookies guardan tus hábitos de navegación. Ya lo he dicho en reiteradas
ocasiones, así que no ahondaré en el tema. Ahora bien, en el caso de la primera función,
resulta que la información que registra la cookie es sensible… Puedes estar utilizando VPN y
tomar mucha otras previsiones, pero tu nombre de usuario y contraseña siguen estando en
riesgo. Respecto a la segunda función, tenemos una vulnerabilidad más delicada y se trata
del spyware que es una forma de malware que se encarga de recopilar información del
usuario. Su fin, la mayoría de las veces, es simplemente vender publicidad, pero en otros
casos, ya que la información siempre es enviada a un tercero, puede ser utilizada con otros
fines.
No sé si han notado el siguiente fenómeno: Cuando abrimos un correo electrónico, sin
mucho recibimos correos de bienvenida de los servicios a los que nos vinculamos utilizando
dicho email, pero con el tiempo comenzamos a recibir correos electrónicos con información
que nos puede resultar interesante, por supuesto, vinculada a nuestras preferencias. Esa es
una de las cosas que se pueden hacer con toda esa información que recopilan las cookies.
Utilizar tu correo para enviarte spam e incluso posibles ataque vía email con el fin de
perjudicarte.
¿Qué hago entonces?
Todo tiene solución en esta vida menos la muerte o un disco duro dañado…Así que mantén
56
Seguridad de la Información
la calma toma las siguientes precauciones.
Navegación privada
Navega utilizando la opción de “ventana privada” que trae la mayoría de los navegadores
actuales con solo dar click derecho sobre el ícono y seleccionar la opción del mismo nombre.
Esta acción reduce mucho la información que el navegador guardará sobre nuestra
navegación lo que resulta muy útil, especialmente si utilizamos un navegador ajeno.
Recomiendo principalmente la utilización de Firefox y si usas Linux Chromium (Chrome al ser
de google no lo es tanto, ya que google es de los principales proveedores de información, y
de los gestores de ‘bigdata’) pues estos son, de los navegadores comerciales y
convencionales, los que más se ha preocupado por resguardar la privacidad de sus usuarios.
Complementos y plugins
Los complementos o extensiones son elementos que se instalan en nuestro navegador para
extender sus funcionalidades sin embargo, algunos de estos componentes pueden ser
desarrollados con fines malintencionados, por lo tanto debemos ser precavidos con las
extensiones que instalamos y más aún con los programas y sitios web que nos piden instalar
sus extensiones. También debemos tener cuidado con los plugins que tenemos instalados
sin ser conscientes de ello, como Javascript o Flash, pues estos pueden ser utilizados para
enviar ataques debido a sus fallos de seguridad. Revisa los comentarios de los usuarios, y
aún mejor, investiga por internet sobre cada complemento o plugin que desees instalar antes
de tomar la decisión de hacerlo.
Actualizaciones
Los navegadores también están expuestos a fallos de seguridad que pueden suponer una
puerta de acceso para personas con conocimientos y mala intención, para que tomen control
de nuestro dispositivo y accedan a nuestra información.
Por este motivo es de suma importancia mantenerlos actualizados, preferiblemente con
actualizaciones automáticas. Esta opción se encuentra en la configuración de cualquier
57
Seguridad de la Información
navegador. En el caso de Internet Explorer, a menos que seas desarrolladora web y debas
probar tus sitios web en ese navegador, desaconsejo totalmente su uso, desinstálalo.
Recomendaciones finales: Navegar por internet no es como leer una revista, por lo tanto si
quieres disfrutar de las ventajas de la tecnología sin problema alguno, toma en consideración
los siguientes consejos.
Evita utilizar la opción “recordar contraseña”.
Cierra sesiones con la opción “logout” o “cerrar sesión” en vez de cerrar la ventana.
Desmarcar la opción “mantener sesión abierta” especialmente si estamos en un
dispositivo compartido.
Revisar de vez en cuando las extensiones instaladas y verificar que las que
instalemos provengan de fuentes fiables y sean descargadas de la página oficial del
navegador. Emplea la opción de “ventana privada” siempre que utilicemos equipos
públicos o compartidos. Instalar un verificador de páginas web, normalmente
proporcionado por un antivirus o extensión del mismo.
Actualiza constantemente tu navegador.
Mantente alerta y no visites sitios sospechosos. Si no lo has hecho ya, por favor migra
a Software Libre.
58
Seguridad de la Información
10.- ¿Qué hay del popular Tor?Últimamente todo el mundo habla sobre la red Tor como una herramienta vital para la
privacidad en la Internet, además de crecer en popularidad por los curiosos de la Deep Web
o web profunda pero ¿Qué es y cómo funciona esta herramienta? ¿Quiénes y con qué
propósito la usan? Antes de entrar en detalles quisiera aclarar lo que no es Tor y eso es
precisamente un Navegador de Internet. Pero entonces…
¿Qué es Tor?
Tor es una red que se gestiona desde su propio paquete de software y sirve para navegar de
manera anónima en la Web. Concretamente, Tor oculta el origen y gestión del tráfico de
Internet haciendo que otros no puedan averiguar tan fácilmente quién eres y qué estás
viendo online. Tor también oculta el destino del tráfico, lo que quiere decir que permite
saltarse ciertas formas de censura que se practican en países diferentes al nuestro. Tor
también es un proyecto en constante desarrollo desde hace bastante tiempo ya, siendo en
este momento un producto maduro y estable, además de gratuito.
¿Cómo funcionan Tor y el enrutado cebolla?
La red Tor implementa una técnica llamada onion router (enrutado cebolla), diseñada con el
fin de proteger las comunicaciones de la Marina de los Estados Unidos. Tengamos presente
que la mayoría de las TICs que utilizamos hoy día, privadas y de código abierto, fueron
diseñadas primordialmente con fines parecidos (aplicaciones militares). La idea fundamental
es cambiar el modo tradicional de enrutado de la Internet para garantizar el anonimato y la
privacidad de los datos. El enrutado que utilizamos tradicionalmente para conectarnos a un
servidor en la Internet es directo. Por ejemplo si quieres ingresar a
https://www.juntasnoscuidamos.org tu dispositivo se conecta de forma directa al servidor en
que se aloja el sitio web. La ruta es, a grandes rasgos, directa: de tu dispositivo al router de
tu red (si utilizas uno), de ahí a los enrutadores de tu ISP (el proveedor de servicios de
Internet), y de ahí, directamente a los servidores de https://www.juntasnoscuidamos.org. Fácil
y sencillo, salvo que si alguien intercepta los paquetes de datos transferidos (y créanme que
sucede) sabrá perfectamente de dónde vienen y a dónde se dirigen. Por ejemplo cuando
59
Seguridad de la Información
visitamos una página de esas que comienzan con https, los datos están cifrados, sin
embargo no lo están las cabeceras y por lo tanto los datos del remitente y el destinatario,
entre muchas otras cosas, siguen siendo visibles. Por esto es que al principio comenté que
hagas lo que hagas tu proveedor de internet lo sabe y Google también… Aquí es donde entra
el onion router.
Primero el ordenador A que quiere enviar información a B, calcula una ruta más o menos
aleatoria al destino, pasando por varios nodos intermedios. Después consigue las claves
públicas de todos ellos utilizando un directorio de nodos. Usando cifrado asimétrico, A, cifra
el mensaje como una cebolla: por capas. Primero cifra el mensaje con la clave pública del
último nodo de la ruta, para que sólo él lo pueda descifrar. Además del mensaje incluye,
también cifradas, instrucciones para llegar al destino, B. todo este paquete, junto a las
instrucciones para llegar al último nodo de la lista, se cifra de nuevo para que sólo pueda ser
descifrado por el penúltimo nodo de la ruta. El paquete viaja en el centro, protegido por varias
capas de cifrado para cada uno de los nodos por los que pasa. Con todo esto ya tenemos
todo el paquete de datos listo, así que toca enviarlo. El dispositivo A conecta con el primer
nodo de la ruta y le envía el paquete, este nodo lo descifra y con él, las instrucciones y lo
envía al siguiente nodo de la lista, este hará lo mismo y así sucesivamente hasta que los
datos lleguen al nodo de salida que enviará el paquete a su destino.
Sé que es complejo pero creo que a simple lectura se puede notar que se trata de un sistema
bastante seguro, pero no infalible. Es cierto que ninguno de los nodos, exceptuando el
primero y el último, saben de dónde viene y a dónde va el mensaje, ni siquiera conocen el
lugar que ocupan en la ruta y mucho menos conocen el mensaje. De esta forma se garantiza
que aunque se intercepten los mensajes entre nodos, sea imposible saber de dónde vienen,
a dónde van o el contenido del mensaje. Incluso, aunque hubiese un nodo infiltrado, un topo
en la red, no tendría nada que hacer con los mensajes que recibe. Por otro lado, la tarea de
intentar tumbar la red Tor es virtualmente imposible, al estar todos los nodos distribuidos,
habría que tumbarlos a todos para colapsar la red y detener las comunicaciones. A pesar de
todo esto, como cualquier otro sistema, no es infalible. Por ejemplo, una forma curiosa de
saber analizar de donde provienen las comunicaciones, es el tiempo. Si un determinado
60
Seguridad de la Información
paquete se envía desde A en un determinado momento y justo 300 milisegundos después
llega a B, es muy posible que A y B estén conectados entre sí y sin la utilización de nodos
intermedios. Algo que también hay que tener en cuenta es que el nodo final puede leer el
mensaje, por lo tanto es recomendable cifrar el mensaje de antemano. A pesar de todo esto,
la red Tor, sigue siendo bastante segura y garantiza un nivel de privacidad extremadamente
alto. Por algo es la red de preferencia para que lxs periodistas protejan a sus fuentes, y esto
nos lleva al siguiente punto.
¿Quiénes y para qué usan la red Tor?
La red Tor es utilizada principalmente por personas que requieren mantener seguridad y
anonimato en sus comunicaciones. Desde periodistas que requieren comunicarse con
fuentes anónimas, hasta una rama de inteligencia de la Marina de Estados unidos. Pasando
por activistas perseguidos en sus países, voluntarios de ONGs o usuarios que quieren
acceder a servidores bloqueados por su ISP y/o gobierno.
Recomiendo siempre tener precaución, con la red Tor se puede acceder a contenido que
forma parte de la polémica Deep Web. No entraré en detalles, pero es necesario tener
presente que en estas capas de la Internet es posible conseguir contenido no convencional:
Librerías anarquistas, contrato de asesinos a sueldo, compra venta de drogas y armas,
contenido gore, snuff e incluso pedofilia. Además de eso, la Deep Web es hogar de personas
con conocimientos extremos en lo que a técnicas de hacking se refiere y esto podría
representar un gran riesgo. Las más justas luchas y sus activistas, y lo peor del mundo se
encuentran todxs juntxs en la red onion.
¿Qué puedo y qué no debo hacer con Tor?
Con lo que comenté anteriormente creo haber dejado claro que Tor esconde sus peligros,
por lo tanto recomiendo seguir estos consejos a la hora de utilizar la red.
No uses Tor en Windows
Se puede usar, pero no es recomendable debido a sus grandes fallos en seguridad. Menos
61
Seguridad de la Información
aún si no tienes licencia o ésta se encuentra vencida, pues en este puntos ya debes tener
claro que muchas de las técnicas para mejorar la seguridad en Windows no se pueden
realizar sin una versión registrada del sistema operativo.
Existe una versión de Tor para Linux
De hecho hay una distribución, Tails, que realiza todas sus conexiones automáticamente en
la red Tor. No uses Tor si no has actualizado tu software No entraré en detalle pues ya debes
saber la importancia de mantener el software actualizado, así que si no lo has hecho,
actualiza antes de usar esta red, si no sabes cómo sólo consulta con nosotras, y especifica el
sistema operativo que usas y te diré qué comando usar para forzar la actualización por la
terminal y resolver todos los conflictos entre paquetes.
No entres a sitios http
Como ya dije, Tor es vulnerable en la salida de los datos, ya que en ese punto, estos no
están cifrados. El software de navegación basado en Firefox que viene al descargar Tor, trae
un complemento para forzar el HTTPS-mode de manera automática, cifrando así los datos
de entrada y de salida. Por otro lado, si utilizas Tor en Firefox, recomendable, instalar
extensiones para forzar el HTTPS-mode. Encripta tus datos locales Tor encripta sólo el
tráfico que entra y sale de la web, no los archivos que recibes y envías. Para este fin, utiliza
las herramientas que mencioné en el capítulo de cifrado de la información.
Evita, siempre que puedas, utilizar el navegador de Tor
Recientemente el FBI cerró un servidor denominado Freedom Hosting que proporcionaba un
servicio de alojamiento para la red Tor. El rastreo se realizó utilizando la herramienta de
navegación que viene con Tor y ahora dime ¿si fueron capaces de rastrear un servidor
“anónimo” donde seguro trabajaban expertos en seguridad informática, por qué no podrían
rastrear tus datos?
Desactiva Java, Javascript y Flash
Estas tecnologías son independientes, ya que se ejecutan con permisos especiales del lado
62
Seguridad de la Información
del navegador y por lo tanto representan vulnerabilidades en cuestiones de seguridad.
Desactivándolas a la hora de usar Tor, nos aseguramos de que la privacidad de nuestra
navegación sea más fuerte. En el caso del navegador que viene con la herramienta que
descargamos, ya estas tecnologías están desactivadas.
Elimina las cookies y datos locales antes de usar Tor y durante su uso
Recuerda que las cookies almacenan tu información, así que asegúrate de eliminarlas antes
de ingresar a la red Tor. Ahora bien, si navegas en la red Tor desde Firefox, instala alguna
extensión que borre las cookies automáticamente cada vez que dejes un sitio. No uses tu
correo electrónico personal De nada servirá utilizar una red que proteja la información que
envías y recibes, una red que te oculta del rastreo indiscriminado de datos, si utilizas tu
identidad “real”. Sería como usar una máscara en una fiesta de disfraces colocando tu
nombre a la vista de todos en la frente de la misma. Créate una identidad virtual, una que
sólo uses cuando quieras anonimato total y procura que no se vincule a ti de ninguna forma.
No uses Google, no es seguro, por favor no lo utilices como tu buscador en la red Tor. Para
realizar búsquedas utiliza StartPage o DuckDuckGo.
63
Seguridad de la Información
11.- Privacidad en los correos electrónicos
Los correos electrónicos son una de las principales formas de comunicación de la actualidad
que como cualquier otro espacio, se presta para diferentes actividades malintencionadas que
pueden poner en riesgo tu privacidad. Hoax En español, engaños, son relativamente
frecuentes en Internet y se difunden vía correo electrónico. Por lo general no son peligrosos
pues no traen archivos adjuntos ni enlaces en su contenido, pero pueden resultar
convincentes y bastante molestos.
¿Cómo funcionan?
Difunden supuestas noticias que intentan despertar nuestra sensibilidad, como personas que
necesitan urgentemente una donación de órganos, niños ingresados que necesitan una
transfusión urgente. También puede tratarse de noticias falsas, o bulos a empresas o
productos muy conocidos. En otras ocasiones ofrecen regalos por nuestra respuesta, o por
reenviar el correo a cierta cantidad de contactos.
Quien vivió los 90 y principios de este siglo conectado, de seguro recuerda las cartas
cadenas tan populares en Hotmail. ¿Qué pretenden? En algunos casos su intención es
simplemente difamar una empresa o producto, sin embargo, como ya he dicho en reiteradas
ocasiones, las personas que se dedican a realizar ataques informáticos y robo de
información, no sólo son expertos en programación, redes y seguridad informática, sino que
también lo son en ingeniería social, y el Hoax puede ser utilizado para este fin. Con esta
técnica pueden lograr colapsar servidores de correo electrónicos para luego obtener
información de los mismos o pueden buscar simplemente acumular listas de correos
electrónicos para hacer spam (punto que ya veremos) u otras actividades malintencionadas.
¿Cómo detectarlos?
Normalmente no tienen fechas en su texto. Esto es para que no caduquen y puedan ser
reutilizados durante mucho tiempo en Internet. Tratan de un tema que atrae al lector. Noticias
de falsos, regalos, injusticias, peticiones de ayuda, noticias sorprendentes, etc. Suelen ser
anónimos. No identifican claramente quien suscribe. De una manera más o menos directa
64
Seguridad de la Información
solicitan el reenvío del correo.
Spam
“SPAM” era una marca de carne enlatada que los soldados norteamericanos recibían por
correo durante la segunda guerra mundial. El spam es correo basura y hace referencia
mensajes no solicitados, principalmente del tipo publicitario, y enviados de forma masiva. De
ninguna manera es un problema menor, aunque se está logrando reducir, las estadísticas
indican que más del 70% del correo electrónico que circula es spam, aunque en su mayoría
está escrito en inglés y circula por Estados Unidos y Asia.
¿Cómo funcionan?
En algunos casos sólo se trata de inofensiva publicidad no solicitada, Pero en la mayoría de
los casos se trata de publicidad engañosa y falsa y la estrategia más frecuente es seducir al
lector con ofertas en productos lujosos. En otros casos se juega con la curiosidad de quien
recibe el spam, ejemplo: videos graciosos o videos en los que se ha cazado a alguna
“celebridad” en alguna circunstancia comprometedora.
¿Qué pretenden?
Como ya dije, a veces es simple e inofensiva publicidad, pero la mayoría de las veces un
spammer (persona que crea el spam) busca dos cosas: una lista de correos electrónicos o
víctimas para insertar un malware. El spam puede contener enlaces o archivos adjuntos que
pueden contener virus informáticos.
¿Cómo detectarlos?
Sencillo: no confíes en ningún correo que no sea de uno de tus contacto o de un servicio al
que estás suscrito por correo electrónico como por ejemplo las notificaciones de tus redes
sociales, algún periódico o revista online, alertas de correo, etc. Los principales proveedores
de correo electrónico tienen filtros anti spam muy eficaces, sin embargo certifico que algunos
cuelan y si no eres precavida, en el peor de los casos, podrías sufrir un robo de información a
través de un virus informático.
Scam
Cuando el objetivo es estafar a la persona que recibe el correo, estamos frente a un scam
65
Seguridad de la Información
(estafa) y en este caso el objetivo está más que claro: lo que buscan es tu dinero.
¿Cómo funcionan?
La estrategia de esta técnica es aprovecharse de las necesidades económicas del receptor o
simplemente de su ingenuidad. Bien sean supuestas loterías o sorteos ganados, mujeres
extranjeras que buscan pareja (horroroso!), cartas de países pobres o en guerra u ofertas de
empleo falsas, todos buscan conseguir datos para entrar a tus cuentas o simplemente que
hagas depósitos para recibir equis premio, pero ojo, nada de esto llegará nunca y si aceptas,
habrás sido víctima de scam.
¿Qué pretenden? Evidentemente quien envía un scam pretende quedarse con nuestro
dinero. Un depósito previo para pagar impuestos correspondientes a un premio que
ganamos, un depósito para pagar los pasajes para viajar a nuestro trabajo soñado. En otros
casos pueden solicitar datos que ayuden a acceder a nuestras cuentas bancarias, así que
debemos ser precavidas con este tipo de correos.
¿Cómo detectarlos?
Normalmente utilizan un lenguaje ambiguo y confuso. Y en muchas ocasiones tienen errores
sintácticos e incluso ortográficos. No estoy 100% segura pero supongo que esto sucede
porque la mayoría de scam es realizado por personas que hablan otro idioma y para llegar a
nosotros utilizan herramientas como el traductor de Google y pues ya tas y todos sabemos
que dicho traductor no es muy eficiente que digamos. Utilizan cuentas de correo gratuitas.
Los correos que envían son modelo y apenas están personalizados. Solicitan envío de dinero
con cualquier excusa. Las empresas que utilizan para el envío de dinero son usualmente
Western Union y MoneyGram. El correo nos llega sin haber iniciado un contacto previo. Un
premio de una lotería en la que no hemos participado, una oferta de un trabajo que no hemos
solicitado, etc. En la mayoría de los casos son promesas fuera de nuestro país y con moneda
extranjera.
¿Y qué pasa con los correos que envío?
Estas tres formas de peligro en los correos electrónicos no son las únicas amenazas a
nuestra información y privacidad. Igual que cuando navegamos por Internet sin asegurar
nuestra conexión, los correos que enviamos viajan de un punto a otro y como cualquier otro
66
Seguridad de la Información
paquete de datos, puede ser interceptado y accedido, y en el caso de la utilización de la red
Tor, puede viajar cifrado pero en el nodo de salida nuestro correo seguirá siendo accesible
por cualquiera.
¿Qué hago entonces?
Existen diferentes herramientas para cifrar tus correos electrónicos y proteger así tu
privacidad.
PGP
Pretty Good Privacy (privacidad muy buena) es la opción por excelencia en lo que a
seguridad de correos electrónicos se refiere. Es un programa informático cuya finalidad es
proteger la información distribuida por Internet mediante el uso de criptografía de clave
pública, así como facilitar la autenticación de documentos gracias a firmas digitales. Lo hace
de la siguiente manera: Se crean dos llaves, una pública y una privada, que están
directamente relacionadas con una dirección de correo electrónico especificada por ti. La
llave pública se comparte con tus remitentes para que encripten los mensajes con ella para ti.
Cuando recibes el mensaje, para desencriptarlo, debes utilizar tu llave privada y tu
contraseña.
Enigmail
Es una extensión para el cliente de correos Mozilla Thunderbird (gestor de correos). No es un
motor criptográfico por sí mismo, sino que utiliza GPG (GNU Privacy Guard) para realizar las
operaciones de cifrado criptográfico, lo que facilita el trabajo, ya que no es necesario firmar o
cifrar ficheros de texto desde un intérprete de comandos para luego pegarlos manualmente a
un mensaje de correo electrónico. También permite generar y administrar las llaves de tus
contactos y al estar incluido en Thunderbird hace que cada vez que escribas un mensaje a
un contacto del que tienes su llave privada, este se encripte automáticamente.
Mailvelope
Es otra buena opción aunque solo viene como extensión para un navegador que no es muy
67
Seguridad de la Información
recomendable en términos de seguridad: Google Chrome. Al igual que Enigmail te permite
generar y administrar las llaves de tus contactos y encripta los mensajes para los
destinatarios automáticamente. Lo recomiendo para quienes utilicen los servicios de correo
electrónico como Gmail, Yahoo Mail o Hotmail/Outlook.
¿Y es seguro usar Gmail, Yahoo Mail o Hotmail/Outlook?
La respuesta es un rotundo NO. Pocos proveedores de correo electrónico con interfaz web
ofrecen acceso seguro SSL a tu correo electrónico. Por ejemplo Yahoo y Hotmail ofrecen una
conexión segura cuando inicias sesión para proteger tu correo y tu contraseña, pero tus
mensajes se envían de forma insegura. Además en estos servicios, entre otros, se incluye tu
dirección IP en el mensaje cuando es enviado. Google por su parte si utiliza conexión segura
desde que inicias sesión hasta que la cierras, lo puedes corroborar observando la barra de
direcciones URL donde aparece antes del nombre de dominio https y la es precisamente
denota conexión segura. A diferencia de Yahoo y Hotmail, no se envía tu dirección IP en los
correos, sin embargo no recomiendo para nada el uso de Gmail para enviar correos
electrónicos que contengan información sensible pues ya sabemos que Google registra toda
la información que movemos en sus servicios con una gran variedad de propósitos,
incluyendo su venta al mejor postor.
¿Qué hago entonces?
Considera manejar tu información sensible fuera de los servicios de correo electrónico ya
mencionados. Para ello disponemos de varias opciones más seguras.
Tutanota
Permite encriptar tus correos electrónicos e información de manera tal, que ni siquiera ellos
pueden ver el contenido de tus emails. Este proceso se da de manera automática con tus
mensajes y contactos al momento de enviarlos desde tu dispositivo, es decir, antes de llegar
a sus servidores en Alemania. También te ofrece la posibilidad de encriptar tus mensajes a
otros contactos, de tal forma que solo puedan ser vistos mediante una contraseña en común
entre las dos partes. El servicio es totalmente gratuito y te ofrece 1 Gb de almacenamiento, la
68
Seguridad de la Información
posibilidad de enviar mensajes normales, una app que puedes sincronizar con los contactos
de tu Smartphone, y lo más importante de todo: la seguridad de que tu privacidad no está
siendo violada de ningún modo.
Riseup
Por otro lado tenemos esta empresa que ofrece correos electrónicos a activistas alrededor
del mundo y presta mucha atención a la seguridad y privacidad de la información guardada
en sus servidores. A diferencia de Google tiene políticas muy estrictas relativas a la
privacidad de sus usuarios e intereses no comerciales que en algún momento podrían estar
en conflicto con sus políticas. El único problema con Riseup es que al igual que Gmail en sus
inicios, para registrarte necesitas invitación, dos, para ser exacta. Así que si piensas en esta
opción, necesitarás encontrar usuarios ya registrados en el sitio y solicitarles códigos de
invitación.
Recomendaciones adicionales para mejorar la seguridad y la privacidad en tu correo
electrónico Se precavida. Si suena demasiado bueno para ser cierto, lo más seguro es que
sea mentira. No respondas nunca a correos sospechosos. Al hacerlo estamos diciendo que
tras esta dirección de correo estamos nosotros, o peor aún, dependiendo del servicio,
enviando información sobre nuestra localización, sistema y operador sin siquiera darnos
cuenta.
Un tuco!
"10minutemail.com me llamó la atención mientras buscaba la información sobre losproveedores de email. 10minutemail no es un servicio de email normal y lo he añadido a estalista de manera extraordinaria.
Ofrecen direcciones de email de "usar y tirar" que solo duran 10 minutos y en ese tiempo se pueden leer, responder y reenviar mensajes de correo. Transcurridos esos 10 minutos, la cuenta y sus mensajes se borran permanentemente pero en caso de necesidad se puede prolongar su existencia otros 10 minutos más.
Este servicio podría ser útil en algunas situaciones en que se fuerza a los usuarios a dar una dirección de email para completar el registro de algunas páginas web y no se quiere dar la
69
Seguridad de la Información
dirección de email normal porque en muchos casos se vende esa información a empresas deenvío de correo basura (spammers)” (Tomado de https://www.briskbard.com/blog/?q=node/25&lang=es)
70
Seguridad de la Información
12.- Mensajería instantánea
En la mayoría de los casos, la mensajería instantánea, mejor conocida como “chat”, no es
para nada segura. Puede llegar a ser tan vulnerable como el correo electrónico, incluso más.
Protege tu identidad En el caso de las aplicaciones de mensajería instantánea para
dispositivos móviles, sucede que estos no nos solicitan un usuario y una contraseña para
acceder a ellos y en caso de pérdida o robo del dispositivo, esto supone un gran riesgo.
Debemos tener precaución a la hora de dar información sensible a través de alguna de estas
aplicaciones y procurar siempre cifrar el contenido de nuestro dispositivo, de este modo, si le
perdiéramos, no tenemos mucho de qué preocuparnos.
Sí, existen virus en la mensajería instantánea
En este punto deberíamos saber que los virus no se limitan sólo a PCs y Laptops, sino que
también se extienden a los dispositivos móviles sin importar su sistema operativo. También
debemos saber ya que un virus es capaz de robar nuestra información, secuestrarla o
eliminarla. Los virus pueden entrar en la mensajería instantánea igual que en los correos
electrónicos, a través de enlaces y archivos para descargar. Es necesario instalar un
antivirus en nuestro dispositivo y asegurarnos de mantenerlo actualizado
Protege tus contactos
Una práctica común es utilizar grupos para difundir un mensaje a varios contactos al mismo
tiempo. Esto puede ser útil en aplicaciones como WhatsApp, Telegram o Line, sin embargo
esto no resulta conveniente entre contactos que no se conocen pues cuando creamos grupos
difundimos los números telefónicos de nuestros contactos. A excepción de Telegram, quien
muestra un nombre de usuario en lugar de su número telefónico, las aplicaciones de
mensajería instantánea no tienen la opción de esconder los números telefónicos de los
contactos en los grupos, como sucede con los correos electrónicos donde podemos utilizar
una copia oculta a diferentes contactos de la lista, por lo tanto debemos asegurarnos de que
nuestros contactos estén de acuerdo con la difusión de su número telefónico antes de incurrir
en la violación de su seguridad.
71
Seguridad de la Información
Protege tus conversaciones
Por lo general, las aplicaciones de mensajería instantáneas guardan un registro en tu
dispositivo con todas tus conversaciones en forma de un archivo de texto. Esto incluye todos
los mensajes e incluso los archivos que envías y recibes. Cifra el contenido de tu dispositivo!
Cuidado con los archivos multimedia
Cuando recibimos un archivo multimedia (foto, video o grabación) generalmente no sabemos
lo que contiene y al abrirlo podríamos estar frente a algún tipo de contenido ilegal como por
ejemplo pornografía infantil. Y al compartirlos podríamos incluso estar cometiendo un delito.
Debemos ser cautas con el contenido que difundimos.
Asegurando tu software de mensajería instantánea
Pidgin
Este es un cliente de mensajería instantánea multiplataforma capaz de contener múltiples
redes (multicliente) y además de esto es multicuenta, lo que quiere decir que puedes
gestionar diferentes cuentas en diferentes servicios de mensajería instantánea. Cuenta con
una extensión llamada OTR de fácil instalación con el que puedes cifrar tus conversaciones.
Signal
En el caso de dispositivos móviles, la opción más recomendada es esta aplicación que
cuenta con un cifrado end-to-end, lo que quiere decir que los mensajes no pueden ser
accedidos ni siquiera por los creadores de la aplicación. Además de esto, también permite la
realización de llamadas cifradas. Se recomienda que al realizar una llamada, ambos
interlocutores repitan las palabras de seguridad con el fin de confirmar sus identidades.
Signal también está disponible en ordenadores de mesa y laptops como una extensión de
Chrome o Chromium.
72
Seguridad de la Información
Telegram
Telegram Messenger es una aplicación de mensajería y VOIP. La aplicación se anunció
oficialmente el 14 de agosto de 2013. Está enfocada en la mensajería instantánea, envío de
varios archivos y comunicación en masa. Entre sus funcionalidades principales están:
conversaciones entre usuarios (con mensajes guardados, opción de reenvío, sincronización,
alojamiento y archivado desde la nube), gestión de contactos, búsqueda global, encuestas,
llamadas, canales de difusión, grupos, entre otros. Tiene la opción de crear chats secretos,
que son una herramienta complementaria para conversaciones con cifrado exclusivo para el
emisor y receptor.
Adicionalmente, las usuarias pueden desarrollar bots que pueden realizar otros servicios
como pagos, juegos, moderación de grupos o automatización de tareas bajo inteligencia
artificial. El bot ChatBro es particularmente útil para nosotras:
ChatBro es un chat grupal y proveedor del servicio en la web que permite crear chats
gratuitos (aunque tienen versiones premiun) en los que podemos hablar todas a la vez, no es
el típico chat en el que se habla con el administrador de la web a solas, este chat es para
usar con todas las usuarias a la vez, tipo foro. Pude ser un chat sin interfase que esté alojado
solamente en la página de ChatBro, o puede incorporarse el chat a un sitio web.
Además el bot de ChatBro se sincroniza en tiempo real la conversación y todos los
contenidos con tu grupo de Telegram. Es decir que cada vez que un usuario escriba en el
chat de la web, el mensaje aparecerá en el grupo de Telegram y cada vez que alguien
escriba en Telegram aparecerá en el chat de la web.
Sólo necesitamos configurar un grupo de Telegram y añadir a todas las personas que
atenderán el chat vía Telegram, luego debemos configurar a ChatBro y la interfaz que verán
las mujeres que ingresen al chat, generar el link que dirige al chat ¡y listo! Tenemos un canal
seguro para hablar aunque la persona con la que queremos contactar no utilice Telegram,
Signal u otro servicio de mensajería instantánea seguro. Veamos las ventajas en términos de
seguridad y conveniencia que nos ofrece éste sistema:
• Nos permite a todas las integrantes interactuar con los primeros contactos de manera
73
Seguridad de la Información
simultánea.
• El chat puede manipularse, vaciarse, restringir usuarias, etc., desde una interfaz de
control en la web http://www.chatbro.com/en
• Las personas que contactemos solo deben acceder con un link que le proporcionemos,
no deben instalar ni descargar nada. Es muy sencillo.
• Nuestras identidades e información están protegidas.
• Se conecta cómodamente con nuestro Telegram, permitiendo la interacción sin iniciar
sesión en otra plataforma, siempre estaremos sincronizadas.
• ChatBro permite modificar el link que dirige hacia el chat, si éste llegase a ser expuesto o
compartido de manera indebida.
• El chat soporta envío de archivos, imágenes y audios.
• El chat puede eliminarse en cualquier momento sin dejar rastro a través del panel de
control.
Pasos de instalación y configuración:
Vamos a ir constantemente de la app de Telegram al sitio web de ChatBro durante la
configuración, no te distraigas!
1. (Telegram) Instala y sincroniza Telegram en tu smartphone.
2. (Web) Si el chat no es para una página y no tienen cuenta en WordPress debes abrir
una personal o de tu organización en https://wordpress.com/, luego ingresa al sitio
web https://www.chatbro.com/en/ y abre una cuenta con tu cuenta WordPress. Para
74
Seguridad de la Información
chats incorporados en sitios web dirígete al backend en WordPress de la página
donde instalarás el chat → plugins → añadir plugin → en el buscador teclear ChatBro
→ instalar plugin.
3. (Telegram) Crear un grupo en Telegram y añadir a las moderadoras.
4. (Telegram) Buscar (con el buscador de Telegram a ChatBro). Inicia una conversación
con chatbro escribiendo el comando /start, él se presentará y en el texto te aparecerá
la opción ‘Click here to add’ busca el grupo de Telegram creado para el chat y él se
añadirá al grupo para sincronizarlo con la web .
5. (Web) En WordPress nos aparecerá la opción ChatBro en la barra lateral izquierda,
hacemos click en él y nos llevará al panel de configuración del chat. Para un chat
flotante (sin página web) en tu cuenta de ChatBro dirígete a ‘Chats’ en la barra lateral
derecha, luego click en ‘Create new chat’. No llevará a la interfaz de configuración del
chat.
Vamos rellenando las opciones, entre las opciones podemos cambiar los colores,
título, etc.
Entre las opciones más importantes que podemos configurar están las siguientes:
Main properties:
Podemos ponerle un título al chat, un mensaje que se muestre predeterminadamente
y crear o cambiar el link que dirige al chat.
Users authentication:
75
Seguridad de la Información
Podemos elegir si permitimos que los usuarios anónimos puedas escribir en el chat o
no. Dependiendo del spam que os llegue, o el uso que se dará al chat podemos jugar
con esta opción.
Si obligamos a que sean usuarios que autentificados los que puedan comentar
podemos elegir entre los servicios VKontakte (que no es muy útil en nuestra región),
Telegram, Google y Facebook.
Messengers to sync with:
Aquí está la gracia de este plugin, poder sincronizar el chat con Telegram y VK, en
nuestro caso desactivamos VK.
Search engine indexing:
Podemos hacer que se indexe el chat en los buscadores o impedir que los buscadores
lo arrojen en sus resultados. Ésto depende del uso que le vamos a dar.
6. (Telegram) vuelve al chat con ChatBro, en el momento en que lo hayas añadido a un
grupo te envirá un segundo mensaje que dice ‘Choose your web chat or create new to
sync’ ese link debes abrirlo en el navegador donde tienes abierta tu sesión de
ChatBro. Una vez hayas ingresado elige el chat que ya configuraste.
¡Listo, tu chat ya puede usarse! Proporciona el link a las personas que quieres que lo utilicen,
o utilizalo en tu sitio web con plena confianza.
76
Seguridad de la Información
Seguridad en Skype
Es una herramienta de mensajería instantánea y VoIP (protocolo de voz) bastante común
que a pesar de su popularidad, resulta bastante insegura. Según sus desarrolladores, la
aplicación cifra todos los mensajes y llamadas pero esto sólo sucede con contactos que
utilizan la misma aplicación pues Skype no cifra las llamadas a teléfonos o los SMS.
Entonces es posible que si dos usuarios conversan utilizando la aplicación, su comunicación
sea cifrada, sin embargo, al ser Skype código cerrado, es imposible saber si esto es cierto,
cosa que particularmente dudo. Por lo tanto es importante tomar ciertas precauciones al
utilizar este software.
Descarga el software solo de su sitio oficial
Con esto nos aseguramos de que el mismo no contenga algún tipo de spyware que se cuele
para robar nuestra información.
Cambia tu contraseña regularmente
Skype permite sesiones múltiples desde diferentes dispositivos, esto puede representar un
riesgo, así que asegurate de cambiar tu contraseña con regularidad.
Cambia las configuraciones de privacidad
Con esto te aseguras de que no se guarde un historial de tu chat.
Desactiva la configuración que permite recibir archivos automáticamente
Esta puede ser una manera de evitar una segura infección por virus.
Verifica la identidad de la persona con la que te comunicas.
Establece preguntas y respuestas secretas con tu equipo (tu organización).
Busca otras alternativas para comunicación de mensajería instantánea.
Jitsi Meet:
77
Seguridad de la Información
Para videoconferencias, reuniones remotas y webinars ésta es una herramienta muy superior
a Skype. Es cifrada end-to-end, utiliza protocolo P2P1, no necesitas crear un usuario, sólo
debes crear una sala con un nombre (no tan fácil por favor), obtener el enlace y enviarlo por
un medio seguro a las personas que se reunirán contigo, pueden conectarse hasta 100
personas por sala. Al terminar y cuando todas hayan salido de la sala, ésta desaparece sin
dejar rastro de su existencia. ¡Es sencillamente genial!
Consejos finales:
No difundas los números telefónicos de tus contactos sin su consentimiento.
Instala antivirus en tus dispositivos y mantenlos actualizados.
Asegurate de que la persona con la que te comunicas es quien dice ser.
Establece una contraseña de bloqueo en tu dispositivo
Revisa los archivos que descargas
Cuidado con el contenido ilegal.
No des información privada.
Elimina los historiales de conversaciones con regularidad.
Cuidado con las redes WiFi a las que te conectas para chatear.
Actualiza la aplicación de mensajería instantánea regularmente.
Si tu servicio de mensajería instantánea cuenta con un servicio de mensajería secreta,
acostúmbrate a usarlo.
1 Una red P2P o peer to peer es una red en la que los nodos cumplen la función deservidores y de clientes, sin que exista al respecto ningún tipo de jerarquía. De esta manera,en una red de estas características cada computadora estaría en un plano de igualdad conlas demás, haciendo que exista una counicación de tipo horizontal. No obstante, el interésque ha despertado las redes peer to peer no se debe meramente a aspectos técnicos sino ala utilización que se ha hecho de las mismas y como esta utilización pudo cambiar unaspecto significativo de la sociedad y de la circulación de contenidos.Tomado de: https://www.definicionabc.com/tecnologia/p2p-peer-to-peer.php
78
Seguridad de la Información
79
Seguridad de la Información
13.- Redes sociales
Las redes sociales son la primera fuente de Oversharing en la web y por lo tanto representan
una vulnerabilidad grandísima a nuestra información sensible y nuestra privacidad.
Cuidado con lo que publicas!
Recordemos que todas nuestras redes sociales pertenecen a multinacionales poderosas que
se encargan de almacenar y registrar toda nuestra información y actividad con el fin de
hacernos parte del producto. Pero esta información también va directamente a los servidores
de agencias de inteligencia como la NSA y además de esto, nuestra actividad en ellas no es
del todo privada y por lo tanto puede ser interceptada por cualquiera con los conocimientos
necesarios y utilizada con infinidad de propósitos. Así que debemos tener cuidado con lo que
publicamos, ojo con la información sensible que compartimos, ojo con ligar nuestra identidad
virtual de forma directa y comprometida a actividades ilegales.
Cuida tu privacidad
Todas las redes sociales disponen de una herramienta de privacidad, revísala y aprende a
utilizarla. Esto no reduce del todo los riesgos de que nuestra información sea robada, sin
embargo es una práctica muy recomendada para minimizar el mismo.
Cuidado con los permisos de aplicaciones
Existen multitud de aplicaciones que se vinculan a nuestras redes sociales y en su mayoría
son desarrolladas por terceras empresas. Debemos tener cuidado con los permisos que les
damos ya que algunas requieren información sobre nuestro correo electrónico, contactos,
fotos o videos y si no conocemos sus intenciones, esta información podría estar en riesgo.
Las redes sociales cuentan con una sección para desarrolladores en la que brindan
herramientas para vincular aplicaciones propias con su sistema. Cualquier persona con
conocimientos puede crear una aplicación para una red social y esta misma puede tener un
propósito mal intencionado.
80
Seguridad de la Información
En las redes sociales también hay virus
Las redes sociales son hoy en día uno de los principales focos de infección en la web.
Usualmente a través de una publicación “gancho” que pretende que el usuario de clic en un
enlace que redirige a un sitio web malicioso. Como siempre, debemos instalar antivirus y
mantener actualizado nuestro software, además de ser precavidas con las publicaciones
sospechosas vengan de quien vengan.
Existe un tipo de virus que hace publicaciones automáticas en nuestros perfiles, por lo tanto,
repito, no confíes en publicaciones sospechosas, vengan de quien vengan.
Cuida tu identidad digital
Recuerda que en nuestras redes sociales almacenamos gran cantidad de información
sensible y que nos identifica y esto puede ser algo llamativo para personas
malintencionadas. No queremos robo de información ni suplantación de identidad, así que
debemos tener cuidado a la hora de conectarnos a redes públicas o que no son de nuestra
confianza y equipos compartidos. También debemos denunciar si sospechamos de algún
robo de identidad, tanto nuestro como de un tercero, lo mismo con los casos de acoso.
Robo de información, suplantación de identidad y ciberacoso
Son los delitos más frecuentes en las redes sociales. Actúa frente a los acosadores. Las
redes sociales con frecuencia son utilizadas para acosar o intimidar a otras y otros
amenazando con difundir rumores, fotos o videos. Esto puede crear situaciones bastante
incómodas e incluso dramáticas. Existen casos de menores arrastradas o arrastrados al
suicidio gracias a estas prácticas. Tanto menores como adultxs somos vulnerables, y en caso
de ser víctimas de esta situación solo debemos ignorar y bloquear al acosador siempre
teniendo precaución de tomar capturas y/o fotos de las conversaciones y por supuesto,
denunciar en el centro de seguridad de la red social y de ser necesario ante algún cuerpo de
seguridad del estado.
81
Seguridad de la Información
Si necesitas crear una red social para tu organización NO LA CREES CON TU CUENTA
PERSONAL. Por favor abre un perfil falso (fantasma) con tu VPN activado y con éste perfil
fantasma crea la cuenta de la organización. SIEMPRE que abras éste perfil fantasma y/o la
página activa el VPN.
Consejos finales:
Configura la privacidad de tu cuenta.
Filtra lo que subes.
Recuerda que al subir información pierdes el control sobre la misma.
Piensa bien lo que publicas.
Todo lo que digas puede ser usado en tu contra.
Revisa las aplicaciones instaladas y los permisos de las mismas
Aunque cueste creerlo, las redes sociales se toman muy en serio la seguridad de sus
usuarios, no dudes en contactar al centro de seguridad de la misma si sospechas de robo de
información, suplantación de identidad o ciberacoso.
Lee siempre las políticas de privacidad y condiciones de uso del servicio!
82
Seguridad de la Información
14. Anexo
Criptomonedas y Blockchain
Finanzas seguras en la red Blockchain
83
Seguridad de la Información
Como Había comentado en la introducción, la red Blockchain y las criptodivisas son la mejor
opción para administrar los fondos de grupos como los nuestros, debido a su lamentable
vínculo con la ilegalidad en muchos países.
A continuación presento una guía básica que les mostrará los conceptos básicos de éste
entorno, e instrucciones para crear una cuenta y lo básico para utilizarla en un exchange
P2P(Ver definición: 78) disponible en todos los países del mundo.
No importa si debes registrarte con tu nombre e incluso verificar tu identidad con tu
documento. No habrá registro sobre tus actividades financieras que pueda ser perseguido.
La red Blockchain es el sitio más seguro entre todas las redes informáticas, es cifrada,
descentralizada, e in-hackeable.
Conceptos básicos:
1- Criptomonedas o criptodivisa: activo digital que permite el intercambio de valores
por redes informáticas. Su valor proviene de la confianza que depositan las y los usuarias/os
en ellas, de su utilidad, y al mecanismo mediante el cual se producen.
1.1- Bitcoin (BTC o ฿): criptomoneda o criptodivisa cuyo soporte reside en la red
blockchain y es producida por mineros. Es la primera criptomoneda, la más utilizada y de
mayor valor adjudicado por las y los usuarias/os en el mundo.
2- Red Blockchain: (cadena de bloques) es una base de datos distribuida entre los
ordenadores llamados mineros (nodos) que conforman una red informática, como la www
(Internet) o la red Onion –es una red de ordenadores mineros conectados entre sí– cuya
función es servir de registro (escribir) de todas las transacciones hechas y por hacer de
Bitcoins. Básicamente es un enorme libro de registro contable paralelo a la Internet que
produce y provee claves numéricas que a su vez están protegidas por un hash de cifrado
(produciendo un código que además es cifrado), estos códigos son las BTC y su vez su
medio de intercambio. Los códigos cifrados podrán ser usados por cualquier persona en
cualquier lugar del mundo para enviar y recibir BTCs, o más comúnmente una fracción de
84
Seguridad de la Información
ésta que puede llegar a ser tan pequeña como ฿0,0000001 (1 satoshi, la unidad mínima de
BTC). Cada transacción requiere un código cifrado, por lo cual los mineros de la red
blockchain deben producir suficientes para todas ellas. En la actualidad se solicitan casi
300.000 transacciones cada 24 horas.
3- Billetera (Wallet): En lenguaje común es una cuenta o lugar virtual que sirve para
enviar, recibir y guardar criptodivisas, existen las billeteras nativas (como las de escritorio o
aplicaciones móviles que residen en los equipos personales) y las billeteras online que
residen en la red blockchain. Las billeteras forman parte del protocolo de la red blockchain,
estas proveen un tercer hash (cifrado) a las transacciones para proteger las BTC durante las
mismas (durante el paso de BTCs de una billetera a otra).
4- Minero – Minería: El minero es físicamente un ordenador, y en la red blockchain es
un nodo que se une a muchos otros en el esfuerzo de escribir tantos códigos cifrados como
solicitudes de transacciones hayan en el mundo. Básicamente los mineros prestan servicios
a la red blockchain en la tarea de producir cada código y mantener al día el gran libro de
órdenes. Así entonces la minería o acción de minar es aquella ejecutada por el minero al
contribuir en la escritura de códigos cifrados en el libro de la red blockchain.
5- Exchange: son plataformas de intercambio de BTC y otras criptomonedas. Los
exchanges existentes ofrecen diferentes tipos intercambios: a una moneda fiduciaria
específica, a varias monedas fiduciarias e incluso de una criptomoneda a otra. Se emplean
para cambiar simplemente o para hacer trading con el objetivo de obtener utilidades del
intercambio.
6- Trading: es la acción de intercambiar un bien o valor por otro. Al igual que el trading
de cualquier otro valor como el oro o las monedas fiduciarias, esta acción contribuye a
moldear el precio del bien o valor en el mercado, de acuerdo a las compras y ventas del
mismo en un tiempo determinado. A diferencia de otros tipos de trading el valor de las
criptodivisas está basado en la creciente utilidad y confianza de la gente sobre ellas. No está
referenciado en ninguna moneda fiduciaria en particular o en bienes como acciones, por lo
que tiene precios diferentes a las tasas de cambio entre monedas.
Bitcoins (BTC o ฿) Modalidad de economía no fiduciaria internacional.
85
Seguridad de la Información
Ahora explicaré brevemente las ventajas de recibir pagos en criptodivisas, y no en USD, o en
otra moneda de cambio corriente (moneda fiduciaria o FIAT):
Es un sistema de bajo costo: Las criptomonedas pueden ser almacenadas en billeteras✔
virtuales, lo que disminuye el costo de almacenamiento y distribución, y pueden ser
cambiadas por la moneda local sin costos adicionales por prestación de servicios, por lo
tanto:
Evita las altas comisiones por transacciones en FIAT: El cambio de monedas fiduciarias a✔
través de bancos están medidas por los mismos, éstos cobran comisiones por transacción
muy altas, calculando los costos que el trabajo implica, las posibles pérdidas para el banco y
cobrando todo esto a quien ejecuta la transacción, lo que a su vez se traducirá en una
pérdida de dinero en cada transacción. El sistema de la red Blockchain permite reducir
costos por transacciones, ya que no implican pérdidas (al contrario) y no requieren de trabajo
humano para ejecutarse.
Es seguro: Es infalsificable ya que se produce través de un proceso cifrado muy complejo✔
que sólo puede realizar el minero en la red blockchain.
Es conveniente: La criptomoneda puede ser cambiada, y la moneda local resultante de la✔
transacción depositada directamente a la cuenta de la/el usuaria/o, sin transacciones en
bancos tradicionales, ya que las transacciones son entre personas, mediadas por una
interfaz de intercambio (por seguridad), pero conservando todos los aspectos de un
intercambio directo, en cualquier momento y de manera instantánea.
Es ‘fuerte’: La BTC y ETH son activos digitales con una clara tendencia alcista con✔
referencia a todas las monedas fiduciarias y otros activos como el oro. Su devaluación es
controlada, esto permitirá que tus fondos se mantengan estables con respecto al cambio en
USD y el fondo no se devalúa, de tal manera que se puedan proteger los fondos de la
inflación internacional y nacional (es un almacén de valor).
Puede multiplicarse sin devaluarse: La BTC puede negociarse en páginas de trading✔
certificadas por usuaria/os y expertas/os, a través de trading se pueden obtener utilidades.
Es descentralizado: Ningún gobierno, institución o ente financiero controla la producción e✔
intercambio de la BTC y otras muchas criptomonedas, su producción no ocurre en un
86
Seguridad de la Información
instituto por voluntad de éste, sino en una red que existe en todo el mundo, a voluntad de las
usuarias y usuarios.
Es escalable más allá de BTC: BTC tiene un límite de producción, no obstante el sistema✔
de criptomonedas no desaparecerá, Existen otras criptomonedas con las características
similares a BTC a las que se puede migrar una vez que la producción de BTC haya
terminado, no obstante, aunque se culmine la producción BTC la cantidad producida seguirá
siendo intercambiada en el mercado, y posiblemente sea mejor cotizada entonces. Otros
criptoactivos muy usados son Litecoin, Ethereum, BitcoinCash y Dashcoin con claras
tendencias históricas alcistas. También existen las criptomonedas creadas por algunos
países para su desarrollo interno como Giracoin la criptomoneda Suiza, o el Petro la
criptomoneda de Venezuela (que aún no funciona como debería).
Accesibilidad: Puede abrirse una cuenta en cualquier lugar del mundo y cambiarse por✔
cualquier moneda fiduciaria.
Img 1: Tendencia general de Bitcoin contra USDT (Dólar EEUU). De https://poloniex.com/exchange
Bitcoin puede cambiarse por cualquier moneda local en cuestión de minutos a través
de un exchange seguro (canal de compra y venta). Recomendamos el uso de exchanges
87
Seguridad de la Información
P2P como LocalBitcoins, LocalEthereum etc.
Img 2: Interfaz de intercambio de BTC de https://localbitcoins.com/es/
Abrir una cuenta, o una wallet, en ฿ es completamente gratuito.
Para comprar ฿:
• Necesitas una cuenta en un exchange como LocalBitcoins (que es el que
recomendamos por la gran cantidad de países que la utilizan, facilitando el cambio de
divisas). La cuenta se abre enseguida y se verifica en algunas horas, puede ser una cuenta
personal, sin inconvenientes ya que tu información personal no se compromete.
• Luego de abrir la cuenta ingresa en el mercado a través de la opción Buy Bitcoins:
88
Seguridad de la Información
• Observe bien las ofertas (la columna ‘Forma de pago’), algunas son en efectivo,
otras transferencias a un banco específico, busca la mejor oferta para tu banco (en la
columna ‘Precio/BTC’).
• Observa también la columna ‘Límites’, se refiere a los límites comerciales del
vendedor, fijate que la cantidad de BTC que quieres comprar esté dentro de los límites
comerciales del vendedor. Ahora puedes seleccionar un vendedor.
89
Seguridad de la Información
• Lea atentamente los términos de intercambio de su vendedor de BTC, indique la
cantidad en BsS o USD que quiere comprar, escriba un mensaje al vendedor pidiendo los
datos de la cuenta a la que se debe transferir.
90
Seguridad de la Información
• Envíe su solicitud de intercambio.
• A continuación el vendedor debe proveerle toda la información que necesite para
hacerle el depósito correspondiente, una vez que lo haya hecho tome una captura del
depósito y envíela a su vendedor, marque ‘Pago realizado’.
• Una vez que el vendedor haya comprobado la transferencia, libera las BTC a su
cuenta. Verás la cantidad que compraste en la esquina superior derecha de la pantalla junto
al símbolo ฿.
Para vender Bitcoins ฿:
• Haga click en la pestaña que indica vender bitcoins o sell bitcoins. Se desplegarán
las ofertas disponibles. Puedes buscar intercambios en la moneda y forma de pago de tu
preferencia en el área que indica compra rápida / venta rápida.
• Busca las mejores ofertas (las más altas) al banco o bancos de los que dispongas.
• Haz click en la oferta elegida, se abrirá el área de comercio con la compradora o
comprador.
91
Seguridad de la Información
• Indica la cantidad en Bitcoins o FIAT (tiene que estar dentro de los límites
comerciales de la compradora o comprador). Proporciona los datos de la cuenta a la que
debe transferir y envía tu solicitud de intercambio.
• Cuando la compradora o comprador haya marcado el pago realizado y te haya
enviado algún comprobante de su transferencia por favor verifica tu cuenta. Recuerda que si
no te han pagado puedes iniciar una disputa sobre el intercambio para que reintegren tus
bitcoins, o simplemente esperar a que el intercambio se cancele automáticamente (siempre
menos de una hora). Cuando hayas verificado la disponibilidad de tu dinero haz click en el
botón liberar bitcoins, la página te pedirá por segunda vez que confirmes que recibiste tu
pago, activa la casilla estoy seguro de haber recibido el pago y libera.
Para enviar Bitcioins ฿:
92
Seguridad de la Información
• Diríjase a su cartera, en la esquina superior derecha de la pantalla junto al símbolo
฿.
• En pantalla aparecerá la opción de Enviar Bitcioins.
• Copie y pegue la dirección a la que enviará las ฿ en la sección ‘Dirección de recibo
bitcoin’ (nosotras les proporcionaremos esta dirección cada vez que se realice un depósito).
• Indique la cantidad en bitcoins, y envíe. Se hará efectivo inmediatamente si la
dirección de envío es otra cuenta LocalBitcoins.
Para recibir Bitcoins ฿:
• Click en en la esquina superior derecha de la pantalla junto al símbolo ฿.
• Click en la pestaña Recibir bitcoins.
93
Seguridad de la Información
• Va a aparecer tu código – dirección de billetera, debes copiarlo completo y enviarlo
por un medio seguro a la persona que te enviará las BTC, quien debe realizar el
procedimiento anteriormente descrito.
• Ahora sólo debes esperar entre 30 minutos a 1 hora, que es el tiempo que tardan
los mineros de la red blockchain en confirmar la transacción. Verás tus bitcoins en tu billetera
al finalizar esta operación.
Consejos:
Permanece atenta/o! Las transacciones de criptoactivos se vencen rápidamente,✔
es una medida de seguridad, no debes abandonar tu computador cuando estés haciendo una
transacción.
Sé clara en tus ordenes y proporciona sólo la información necesaria. ✔
Respalda todo, toma fotos o captures de tus transacciones, te servirán de respaldo✔
ante denuncias fraudulentas o intentos de robo.
94
Seguridad de la Información
Califica! Las calificaciones son de suma importancia en este medio, y forman parte✔
del sistema de seguridad.
Crea contraseñas fuertes, se trata de tu dinero, debes cuidarlo con una buena✔
contraseña y evitar abrir tu cuenta en equipos que no sean de tu total confianza.
Existen muchos otros exchanges donde se pueden comprar, vender, recibir y enviar
Bitcioins, sin embargo nostras preferimos LocalBitcoins porque permite hacer depósitos
directamente a los vendedores, sin intermediarios, y te conecta directamente con la otra
parte del negocio (es P2P), lo que facilita realizar los pagos sin pormenores, utilizando
cualquier cuenta bancaria, y desde cualquier país. Puedes seleccionar y buscar las ofertas al
país donde te encuentres, y la moneda fiduciaria que usarás para comprar las BTC, o en la
que cobrarás la venta de BTC.
En otro documento o en una formación personal puedo hacer mucho más extensa
ésta información, con los diferentes tipos de exchanges y otras criptodivisas.
Por los momentos, lo más básico para empezar ya está dicho!
95
Seguridad de la Información
Por último quisiera recomendarles un par de videos que se consiguen
fácilmente en la red:
• Ciberfeminismo: Intervención de la ciberfeminista Monserrat Boix.
Se puede ver en: https://www.youtube.com/watch?v=vdurEj98qsY
• Descifrando el código Lela: Se trata de una intervención muy
interesante de una ciberfeminista en una sesión formativa. Se puede ver
en: https://vimeo.com/83590817
• Citizenfour: es una película documental del 2014 dirigida por Laura
Poitras que trata sobre Edward Snowden y la revelaciones sobre la red de
vigilancia mundial.
Mantenernos seguras, y al mismo tiempo potenciar nuestras capacidades
comunicacionales y refinar nuestras herramientas de investigación es posible
mediante el uso correcto de las tecnolgías informáticas. Éste sub-mundo que
dirige nuestras vidas, dominado por hombres, debe ser tomado también por el
feminismo y nuestras luchas.
Emilia Nava
Coordinadora y soporte técnico de JuntasNosCuidamos
96