Peligros en la Red

Peligros en la Red

Alejandro German Rodriguez  //  La idea de este blog es tratar todos los temas referidos a la seguridad en internet, especialmente orientado al usuario y al navegante común. Virus, vulnerabilidades en programas de uso cotidiano, noticias, etc.

En Twitter: Rodriguez_Alej

Sep 27 / 2:57pm

SEGURIDAD EN LAS REDES SOCIALES PARA LOS NEGOCIOS

Dado el explosivo crecimiento que tienen las redes sociales, ya sea las que se centran en compartir mensajes o fotos o aquellas más específicas y profesionales, crecen los peligros asociados a ellas, robos de identidad, de claves de acceso, infecciones de la red corporativa.  Justamente su popularidad, alto tráfico, posibilidades de marketing, etc., genera que llamen la atención de spammers (1) y scammers (2).

Los responsables de negocios, con presencia y personal con acceso a la red, deben seguir ciertos pasos para asegurar sus operaciones diarias como también prevenir los peligros asociados a la interacción del personal en redes sociales.

1.     Implementación de políticas: Las redes son una gran plataforma para conectarse con clientes, proveedores, potenciales empleadores. Su utilización, especialmente a nivel corporativo, debe ser regulado y se debe establecer lineamientos claros para su utilización.  Caso contrario, nos podemos encontrar con los casos de prohibición absoluta por parte de los empleadores, que recientemente acapararon la atención de los medios periodísticos.

2.     Enseñar el uso correcto: No solo se deben implementar políticas apropiadas, sino también hacer docencia, indicando muy especialmente al personal, que es lo que “NO” se debe hacer y el porqué.

3.     Incentivar la investigación de URLs cortas: Se debe enseñar a no seguir las URLs abreviadas, sino utilizar servicios para su alargamiento, que nos indican a donde conducen, servicios como:
Tiny URL Decoder http://kiserai.net/turl.pl
Untiny http://www.untiny.com/

4.     Limitar acceso a tantas redes: Existen innumerables redes ya sea de música, películas, sociales, profesionales, o referidas al porno, así también será la seguridad y los personajes que interactúen en cada una de ellas.

5.     Entrenamiento del personal IT: El personal del área de sistemas debe estar al día en las nuevas tecnologías para poder aplicar políticas efectivas al resto de la organización.

6.     Seguridad al día: Se debe estar al día en materia de antivirus, parches, cortafuegos, actualizaciones, ya sean por hardware o software.

7.     Parámetros de seguridad: Además del sentido común, se debe configurar cuidadosamente los parámetros disponibles en las redes sociales, ya sea para no exponer información sensible, como también para definir quien puede ver que cosa.

8.     Prevenir el robo de la marca: Cuando surgen nuevos medios con potencial de crecimiento, caso Twitter, se debe registrar todas las cuentas con los nombre tanto de las empresas como de las marcas de producto que sean menester. Es una práctica muy común que individuos abran cuentas con nombres comerciales para luego querer venderlas a los titulares.

(1)    Quien envía mensajes no solicitados, habitualmente de tipo publicitario, en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor.

(2)    Quien por medio de engaños, ya sea por correo u otro vehículo, trata de apropiarse de un bien con la promesa de una mercancía o servicio, que no posee o no tiene intención de prestar.

Comments (0)

Sep 7 / 11:00am

DEMANDA A BANCO POR NO MANTENER MEDIDAS DE SEGURIDAD RECOMENDADAS

Computerworld informa que el mes pasado la jueza Rebecca Pallmeyer de la Corte del Distrito del norte de IIlinois autorizó a una pareja a continuar un proceso judicial por negligencia contra el banco “Citizens Financial Bank”.

La pareja alega que su cuenta bancaria fue violada en febrero de 2007 y sufrieron la perdida de U$D26,000, todo ésto, debido a que el banco no había implementado el método de autenticación de dos factores, como era la recomendación del Comité Examinador Federal de Instituciones Financieras (FFIEC) del año 2005.  Otras entidades financieras, al momento del robo, ya habían empezado a implementar métodos de autenticación de dos factores.

Existen distintos factores de autenticación, pueden ser factores humanos (biométricos); factores personales (claves que uno conoce) o factores técnicos (pase, tarjeta de identificación o un token). Respectivamente, algo que tu eres, algo que sabes o algo que posees.

El cásico método de autenticación mediante contraseñas sería un método de identificación de un factor. Cuando intervienen más de un elemento de los descriptos anteriormente, estamos en presencia de un método de identificación de dos factores.

el banco, aún utilizaba nombres de usuario y claves para accede a las cuentas bancarias.  El banco no pudo convencer al juez que las medidas de seguridad eran adecuadas y que no faltaron a su de deber de proteger los actives contenidos en la cuenta violada.

 
Esta decisión sienta precedente en el sentido que “las empresas deben mostrar profundo interés en proteger los datos personales de sus clientes, sino, deberán enfrentar demandas.

Alejandro G. Rodriguez

En Twitter: @Rodriguez_Alej

Comments (0)

Sep 3 / 12:19pm

GUÍA PARA LA CORRECTA IMPLEMENTACIÓN Y ELECCIÓN DE CLAVES DE ACCESO

Las claves (Passwords) son actualmente la forma más utilizada de autenticación y también muchas veces la única barrera entre el ciberespacio y nuestra información  personal.  

 

En el mundo actual resulta inevitable la utilización de claves, pensemos solamente en la clave de los cajeros automáticos o la de la tarjeta de débito; y como usuarios de internet, la lista se larga hasta el infinito, solo para acceder al ciberespacio requerimos de una clave, además de las correspondientes para home-banking, casilla de mails, acceso a la cuenta corporativa en nuestro empleo, etc.

 

En este momento, entonces, ya se nos presentan dos inconvenientes, la creación de claves seguras y su administración.

 

Como la clave es nuestra barrera contra los intrusos que desean conocer nuestra información personal, la elección de la misma no puede ser azarosa, ni ser tomada a la ligera.

 

Algunos métodos para vulnerar  claves son los ataques de diccionario, es decir un ataque de fuerza bruta que prueba palabras conocidas de una lista dada, la ingeniería social para dar con la clave a partir de nuestros datos personales, la explotación de una encriptación débil, o un ataque de fuerza bruta utilizando todas las palabras y combinaciones posibles, así cuanto más simple sea nuestra clave más simple será vulnerarla.

 

Las claves, no solo deben ser robustas, sino también confidenciales, de nada nos sirve que desarrollemos una clave de muchos caracteres alfanuméricos y con signos especiales, para, por ejemplo, acceder a nuestra cuenta corporativa, si después la anotamos en un papelito y la pegamos en el monitor.

 

A diferencia de la creencia popular, no es una mala idea anotar nuestras claves en un papel, pero deben ser mantenidas seguras y confidenciales para que sean eficaces.

 

La utilización, de nombres de familiares o seres queridos, o claves numéricas basadas en nuestro número telefónico, fechas familiares, etc, también convierten a una clave en insegura.

 

Aunque desarrollemos una clave segura y fácil de recordar, no deberemos usarla para todos los servicios que nos requieren claves, ya que, si ésta es vulnerada,  todos los servicios basados en esa clave lo serán.

 

Además, algunos sistemas nos obligan a cambiar la clave cada cierto tiempo, y algunos van más allá y no nos permiten utilizar claves que ya utilizamos anteriormente.

 

 

 

De lo dicho hasta ahora, podemos resumir algunas recomendaciones en la creación y gestión de claves:

 

·         Las claves deben poseer muchos caracteres, se recomienda entre 12 y 14.

·         No deben basarse en información personal o de fácil deducción.

·         No utilizar palabras que se puedan encontrar en diccionarios.

·         Utilizar mayúsculas, minúsculas números y caracteres especiales. (*)

·         Diferentes claves en diferentes sistemas.

·         Establecer cierta frecuencia para cambiar las claves más utilizadas.

·         Utilizar frases, si el sistema lo permite, pero no frases famosas o de canciones.

 

(*) Algunos sistemas, para ingresar una clave de autenticación no permiten el uso de caracteres especiales o frases que contengas espacios.

 

Algunos sistemas ofrecen la opción de recordar la contraseña o contraseña y usuario, la próxima vez que se acceda a él.  Estos sistemas tienen distintos grados de seguridad en el formato que guardan la información y algunos la guardan en texto plano en la misma PC del usuario.

 

Dado el desafío que resulta en crear, gestionar y administrar nuestras claves personales, existen en el mercado una gran cantidad de programas simples para realizar esta tarea por nosotros, muchos de ellos son de dominio público.

 

En lo personal utilizo 4uonly, el cual es una utilidad muy liviana, intuitiva y simple de usar. Con la misma podemos crear entradas que contengan, el servicio a utilizar, el nombre de usuario, la clave, la url referida al servicio y un campo memo para anotaciones varias.

Con respecto a la generación de la clave, el programa permite definir cantidad de caracteres, si tendrá mayúsculas y minúsculas, si poseerá caracteres numéricos, símbolos, si debe comenzar con letras o no, si la clave caduca o no, en cuantos días, etc). El programa se puede obtener gratuitamente y sin limitaciones desde:

http://www.dillobits.com/4uonly.html

 

Con respecto a los gestores de claves, es una buena idea, además de proteger la base misma con una clave, mantener estas bases en algún soporte externo tipo pen-drive, para el caso que nuestro equipo se vea comprometido.

 

Microsoft ofrece una herramienta en línea, para la verificación de la fortaleza de claves, la misma puede ser accedida desde:

http://www.microsoft.com/protect/yourself/password/checker.mspx

 

En resumen, las claves son importantes, debemos escogerlas y gestionarlas con cuidado, no podemos prescindir de su utilización en el mundo moderno y debemos poder acceder a ellas fácilmente, si nos vemos en la necesidad de utilizar múltiples claves, en internet,  un programa gestor de claves será una gran ayuda.

 

Alejandro G. Rodriguez

@Rodriguez_Alej

Comments (0)