Seguridad Informatica Personal y Corporat 1 PDF
September 10, 2022 | Author: Anonymous | Category: N/A
Short Description
Download Seguridad Informatica Personal y Corporat 1 PDF...
Description
Jorge Domínguez Chávez
á Seguridad Inform tica Seguridad Informática Personal y Personal y Corporativa (Primera parte) (Primera parte parte) )
@ Jorge Domínguez Chávez
Esta obra se distribuye bajo una licencia Creative Commons http://creativecommonsvenezuela.org.ve http://creativecommonsvenezuela.org.ve Reconocimiento: Atribución: Permite a otros copiar, distribuir, exhibir y realizar su trabajo con Derechos de Autor y trabajos derivados basados en ella – pero s ólo si ellos dan créditos de la manera en que usted lo solicite. Compartir igual: igual: Permite que otros distribuyan trabajos derivados s ólo bajo una licencia idéntica a la licencia que rige el trabajo original. @ 2015, Jorge Domínguez Chávez
Publicado por IEASS, Editores Venezuela, 2015 La portada y contenido de este libro fue desarrollado en LibreOffice 5.0.3.2
Dedicatoria A las dos mujeres más importantes de mi vida: A mi madre, Amparo Chávez Holguín (QEPD), por todo el esfuerzo y sacricio que hiciste para darme tu amor, tu devoción, tu labor incondicional y tu conanza en cada momento de mi vida y por hacerme un hombre digno, honesto, realizado y triunfador en la vida. Sé que desde donde estas, estarás orgullosa de mi. Madre, vivirás por siempre en mi corazón. A mi esposa, Dianella A. Stuch Dorta, mujer inteligente, hermosa, profesional, guerrera, mi gran amor; quien con su cariño, su estímulo, su fuerza, apoyo constante, su comprensión y por ser tal y como eres.. mi orgullo, me inspiras a dar el máximo de mí. Sé que mis palabras no bastan para decirte cuanto te amo, ¡Gracias bb!
Tabla de Contenido PROPÓSITO...........................................................................................................................1 ¿Qué hay de nuevo en los años 2000?................................................................................1 ¿Por qué el delito informático parece ser un “buen negocio”?..........................................1 INTRODUCCIÓN..................................................................................................................4 ISO 17.799.....................................................................................................................8 COBIT...........................................................................................................................8 ITIL................................................................................................................................9 LEY SOX.......................................................................................................................9 COSO.............................................................................................................................9 ISO Serie 27000.............................................................................................................9 Riesgos y vulnerabilidades...............................................................................................10 Implementar y Estructurar Controles...............................................................................11 1 Virus, troyanos, puerta trasera y phising............................................................................14 1.1 Virus............................................................................................................................14 1.1.1 Windows.............................................................................................................14 1.1.2 Linux...................................................................................................................18 1.1. 3 MacIntosh..........................................................................................................20 1.2 Bombas lógicas...........................................................................................................20 1.3 Caballos de Troya o troyanos.....................................................................................20 1.4 Gusanos......................................................................................................................20 1.5 Puertas traseras...........................................................................................................21 1.6 Spyware......................................................................................................................23 1.7 Ingeniería Social.........................................................................................................23 1.8 Software Antivirus......................................................................................................24 1.8.1 Consejos para utilizar software antivirus............................................................25 1.8.2 Evitar una infección viral....................................................................................26 1.8.3 Software Espía (Spyware)..................................................................................27 1.8.4 Software contra Software espía (spyware).........................................................27 1.8.5 Evitar infección de software espía......................................................................27 1.9 Cortafuegos (Firewall)................................................................................................28 1.9.1 Software Cortafuegos.........................................................................................28 1.9.2 Evitar conexiones no confiables a red................................................................29 1.10 Mantener actualizado tu software.............................................................................29 2. Proteger tu información de amenazas físicas....................................................................32 2.1 Evalúa tus riesgos.......................................................................................................32 2.2 Protege tu información de intrusos físicos.................................................................33 2.2.1 Alrededor de la Oficina.......................................................................................33 2.2.2 En la Oficina.......................................................................................................34 2.2.3 En tu área de trabajo...........................................................................................35 2.3 Software y configuraciones relacionadas a la seguridad física..................................35 2.4 Dispositivos Portátiles................................................................................................36
2.5 Mantener un ambiente sano para el hardware de tu computadora.............................36 2.6 Crear tu política de seguridad física...........................................................................37 3. Crear y mantener contraseñas seguras..............................................................................39 3.1 Seleccionar y mantener contraseñas seguras..............................................................40 3.1.1 Elementos de una contraseña sólida...................................................................40 4. Proteger los archivos en tu computadora..........................................................................45 4.1 Cifrar tu información..................................................................................................47 4.1.1 Consejos para utilizar el cifrado de archivos de manera segura.........................47 4.1.2 Ocultar tu información importante.....................................................................49 4.2 Métodos criptográficos...............................................................................................52 4.2.1 Criptografía simétrica.........................................................................................53 4.2.2 Criptografía asimétrica.......................................................................................54 4.2.3 Criptografía híbrida............................................................................................54 4.2.4 Funciones hash....................................................................................................55 5. Recuperar información perdida.........................................................................................56 5.1 Identificar y organizar tu información........................................................................56 5.2 Definir una estrategia para tu respaldo.......................................................................59 5.2.1 Crear un respaldo digital.....................................................................................61 5.2.2 Dispositivos de almacenamiento........................................................................61 5.2.3 Software para hacer respaldos............................................................................63 5.2.4 Software de respaldo para Linux........................................................................64 5.2.5 Crea un horario regular para hacer tu respaldo...................................................65 5.3 ¿Qué es recuperación?................................................................................................66 5.3.1 Pruebas de recuperación.....................................................................................66 5.3.1.1 Recuperarse de un borrado accidental de archivos.....................................66 5.3.1.2 Recuperar archivos borrados en Linux.......................................................67 6. Destruir información importante.......................................................................................68 6.1 Borrar información.....................................................................................................68 6.2 Eliminar información con herramientas de borrado...................................................69 6.2.1 Eliminar archivos................................................................................................70 6.2.2 Eliminar datos temporales..................................................................................71 6.2.3 Utilizando de forma efectiva las herramientas de borrado.................................72 6.2.4 Eliminando contenido de un dispositivo de almacenamiento.............................73 7. Mantener privada tu comunicación en Internet.................................................................76 7.1 Asegurar tu correo electrónico....................................................................................77 7.2 Mantener privado tu correo web.................................................................................77 7.2.1 Reacción ante sospecha de vigilancia de correo electrónico..............................78 7.2.2 Asegura otras herramientas de comunicación por Internet.................................81 7.2.3 Asegura tu software de mensajería instantánea..................................................82 7.2.4 Asegura tu software de Voz sobre Protocolo de Internet (VoIP).........................82 7.3 Seguridad de Skype....................................................................................................82 7.4 Seguridad avanzada de correo electrónico.................................................................84 7.4.1 Utilizar cifrado de clave (clave) pública en correo electrónico..........................84 7.4.2 Cifrar y autenticar mensajes individuales...........................................................85
8 Mantener el anonimato y evadir la censura en Internet.....................................................86 8.1 Comprender la censura en Internet.............................................................................86 8.1.1 Tu conexión a Internet........................................................................................87 8.1.2 Cómo son bloqueados los sitios web..................................................................88 8.2 Entender la evasión de la censura...............................................................................89 8.2.1 Cómo configurar un proxy en Firefox................................................................90 8.2.1.Uso del modo de navegación anónima para una navegación privada................91 En una computadora................................................................................................91 En un dispositivo Android.......................................................................................91 En un iPhone o iPad................................................................................................92 8.2.3. Cómo funciona el modo de navegación de incógnito........................................92 Descargas.....................................................................................................................93 Salir y cerrar el modo de navegación de incógnito......................................................93 8.2.2 ¿Por qué esconder la IP?.....................................................................................93 Ocultar tu IP............................................................................................................94 8.2.3 Cómo protegerte.................................................................................................95 8.3 Redes anónimas y servidores proxy básicos..............................................................96 8.3.1 Redes anónimas..................................................................................................96 8.3.2 Proxy básicos de evasión....................................................................................97 8.3.3 Proxy basados en la web y otros.........................................................................97 8.3.4 Proxy seguros e inseguros..................................................................................99 8.3.5 Proxy privados y públicos................................................................................100 8.4 Proxy específicos de evasión....................................................................................101 8.4.1 Red Virtual Privada (VPN) basado en proxy....................................................101 8.4.2 Proxy Web.........................................................................................................102 9. Protegerte a ti mismo y a tus datos al utilizar sitios de redes sociales............................103 9.1 Consejos generales sobre uso de las redes sociales..................................................104 9.2 Publicar detalles personales......................................................................................105 9.2.1 Actualizaciones de estado.................................................................................106 9.2.2 Compartir contenido de Internet.......................................................................107 9.2.3 tu ubicación.........................................................................................107 9.2.4 Revelar Compartir videos/fotos.....................................................................................108 9.2.5 Charlas instantáneas..........................................................................................108 9.2.6 Unirse/crear grupos, eventos y comunidades...................................................108 10. Utilizar los teléfonos móviles de la manera más segura posible...................................110 10.1 Dispositivos móviles y seguridad...........................................................................110 10.2 Movilidad y vulnerabilidad de la información.......................................................112 10.2 Buenas prácticas en seguridad telefónica..........................................................113 10.3 Funciones básicas, capacidad de rastreo y anonimato............................................114 10.3.1 Sobre el Anonimato.........................................................................................115 10.3.2 Sobre escuchas secretas..................................................................................115 10.3.3 Sobre intercepción de llamadas......................................................................116 10.3.4 Comunicaciones textuales – SMS / Mensajes de texto...................................116 10.4 Funciones más allá de la conversación y los mensajes..........................................117
10.5 Plataformas, Configuración básica e Instalación....................................................119 10.5.1 Plataformas y Sistemas Operativos.................................................................119 10.5.2 Teléfonos móviles convencionales.................................................................120 10.5.3 teléfonos móviles de marca y bloqueados......................................................120 10.5.4 Configuración General....................................................................................120 10.5.5 Instalar y actualizar aplicaciones....................................................................121 10.6 Voz y Mensajes vía teléfono móvil.........................................................................122 10.6.1 Conversaciones Seguras.................................................................................122 10.6.1.1 Telefonía Básica......................................................................................122 Enviando Mensajes de forma Segura.........................................................................123 10.6.1.2 SMS.........................................................................................................124 Asegurando los SMS.................................................................................................124 Chat Seguro...............................................................................................................124 10.7 Guardando Información en tu teléfono móvil........................................................125 10.7.1 Herramientas para cifrar datos........................................................................125 10.7.2 Enviando Correos Electrónicos con teléfonos móviles..................................126 10.7.3 Capturando Multimedia con teléfonos móviles..............................................126 10.7.4 Acceso a Internet Seguro con teléfonos móviles............................................127 10.8 Seguridad Avanzada para teléfonos móviles..........................................................128 10.8.1 Rooting o jailbreaking....................................................................................129 10.8.2 Firmware Alternativo......................................................................................129 10.8.3 Cifrar volúmenes completos...........................................................................130 10.8.4 Red Virtual Privada.........................................................................................130 Glosario...............................................................................................................................132 BIBLIOGRAFÍA.................................................................................................................145
Índice de tablas Tabla 1: Los virus más conocidos para Linux.......................................................................19 Tabla 2: Tabla de vulnerabilidades........................................................................................21 Tabla 4: 3: Tabla Tabla de de Tiempo pro y contra de claves informáticas seguras.............................................41 Tabla de descifrado................................................................................45 Tabla 5: Opciones para realizar respaldo de nuestros datos..................................................61 Tabla 6: Tipos de almacenamiento........................................................................................63 Tabla 7: con Interfaz Gráfica de Usuario..............................................................................67 Tabla 8: Desde la consola de comandos................................................................................67 Tabla 9: basados en Snapshot................................................................................................68 Tabla 10: Sincronización.......................................................................................................68 Tabla 11: Recuperación de desastres / Clonación de discos..................................................68 Tabla 12: Herramientas Especializadas.................................................................................68
Índice de Figuras Figura 1 Estos tres elementos reciben el nombre de CID por confidencialidad, integridad y disponibilidad..........................................................................................................................6
¿Por qué nos preocupa la seguridad?
PROPÓSITO
A partir de los años 80 el uso del computador personal y de los primeros telé teléfo fono noss celu celular lares es co comi mien enza za a ser ser comú común. n. Ap Apar arec ece e la preo preocu cupa paci ción ón por por la integridad de los datos. En la década de los años 90 proliferan los ataques a sistemas informáticos, aparecen los virus y se toma conciencia del peligro que nos acecha como usuarios de PC y equipos conectados a Internet. Las amenazas se generalizan a finales de los 90. Se toma en serio la seguridad informática .
¿Qué hay de nuevo en los años 2000?
Por el uso Por uso de In Inte tern rnet et,, el te tema ma de la prot protec ecci ción ón de la info inform rmac ació ión n se transforma en una imperiosa necesidad y con ello se populariza la terminología “Políticas de seguridad”, se recomiendan: ◦
Normas, reglas, estándares.
◦
Protección de la información
◦
◦
El usua usuari rio o fi fina nall dese desea a sabe saberr có cómo mo evit evitar ar los los viru viruss en un co corr rreo eo electrónico o e-mail. Productos futuros: Seguridad añadida.
Crece el interés en el delito informático
¿Por qué el delito informático parece ser un “buen negocio”? ◦
◦
Objeto Peq Objeto Pequeño ueño:: la inform informaci ación ón est está á alm almacen acenada ada en “co “conte ntened nedore oress pequeñ peq ueños” os”:: no es nec necesa esario rio un cam camión ión par para a rob robar ar el ban banco, co, joyas joyas,, dinero, Contacto Físico: no existe contacto físico en la mayoría de los casos. Se asegura el anonimato y la integridad física del delincuente.
1
◦
◦
Alto Valor: el objeto codiciado tiene un alto valor. El contenido (los datos) vale más que el soporte que los almacena (disquete, disco compacto, memoria sd, etc...). Única solución: el uso de Políticas de seguridad.
El objetivo de este libro es destacar la importancia de proteger la información contenida o circulante en una computadora (de cualquier tipo, tamaño y dedicación) y/o en un teléfono celular, en internet para evitar se interrumpa el procesamiento, tanto en forma temporal como permanente, per manente, del requerimiento solicitado. Además, en caso de ser urgente, que el esfuerzo de recuperación sea el mínimo necesario. Por tanto, es imprescindible adquirir el hábito de respaldar la información, de forma apropiada según cada sistema, usuario e instalación. Y, por último, nos interesa cómo borrar y/o eliminar los datos contendidos en esos equipos informáticas cuando son vendidos y/o traspasados. Actualmente los sistemas informáticos son parte de nuestra vida, bien directa o indirectamente, de nuestra economía, y de la forma de cómo vivimos. Ante esto la información es el activo más valioso, por lo que es necesario protegerla de las incontables amenazas que hay y se generan a cada momento. Aquí es donde interviene la seguridad informática, que debe ser lo suficientemente sofisticada y prepar pre parada ada par para a con contra trarres rrestar tar y gar garant antiza izarr la dis dispon ponibi ibilid lidad, ad, con confid fidenc encial ialida idad d e integridad de la información. Presentamos la aptitud de las personas y/o empresas ante la seguridad inf inform ormáti ática, ca, los act actual uales es mec mecani anismo smoss y los sis sistem temas as de pro protec tecció ción n que est están án adoptando, y cuáles son los dispositivos de protección mayormente utilizados. La segu seguri rida dad d in info form rmát átic ica a o de las las te tecn cnol olog ogía íass de la info inform rmac ació ión n y comunicaciones (TIC) se enfoca en la protección de la infraestructura computacional y en todo lo relacionado con esta y, especialmente, en la información contenida o circulante. Para ello, crea una serie de estándares, protocolos, métodos, reglas, herr herram amien ienta tass y ley leyes es co conc nceb ebid idas as para para mi mini nimi miza zarr los los posi posibl bles es ri ries esgos gos a la infraestructura o a la información. La seguridad informática comprende software (base de datos, metadatos, archivos, programas), hardware, personal que labora con ella y la información confidencial de la organización; información clasificada que signifique un riesgo potencial de mal funcionamiento, intercepción o suplantación.
2
El concepto de seguridad informática no debe ser confundido con el de «seguridad de la información». Ésta, sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas. Una po Una polí líti tica ca de se segu guri rida dad d in info form rmát átic ica a es un co conj njun unto to de norm normas as,, procedimientos, métodos y técnicas para regular diferentes apartados del diseño, instalación, desarrollo y operatividad de las TIC destinada a conseguir un sistema de información seguro y confiable. confiable. Consiste en poner por escrito escrito lo que los empleados, tanto técnicos como usuarios, pueden hacer y lo que no pueden o deben hacer con las TIC, tanto cuando las operan como cuando no lo hacen. Esta política escrita debe prevenir situaciones que si se dejan al criterio de las personas provocarían problemas de interpretación, ejecución y/o responsabilidad. Estas normas pueden incluye el comportamiento del personal en la jornada laboral, como fuera de ella. Una política de oseguridad informática de una específicas empresa esosu personalidad: una manera de actuar reaccionar ante situaciones generales. Son normas de conducta para las personas que la integran y los procedimientos que deben seguir durante una situación de urgencia. Las políticas deben ser comunicadas a los empleados al momento de ser contratado contr atadoss o inclus incluso o al ser entrev entrevistad istados, os, ya que en ocasi ocasiones ones pueden ser causal para su retiro de la empresa. Estas normas en ningún momento pueden contradecir alguna legislación laboral. De forma muy simple, ¿Qué pasa con las redes informáticas? la seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información, personas y equipos físicos, como los computadores, medios de almacenamiento como discos, cd, dvd, memorias flash y cintas de respaldo. Nadie a cargo de seguridad debe determinar quien y cuando se pueden tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la seguridad seguridad de una com compañía pañía,, lo apropi apropiado ado varía de orga organizac nización ión a organizació organi zación. n. Indepe Independient ndientement emente, e, cualq cualquier uier compa compañía ñía con una red infor informátic mática a debe de tener una política de seguridad que se dirija a conveniencia y coordinación.
3
INTRODUCCIÓN
Este tex Este texto to está está di diri rigi gido do a aq aquel uel usua usuari rio o de comp comput utac ación ión (pe (pers rson onal al o empresarial) y a todo tipo de dispositivos informáticos (servidores, pc escritorio, lapt laptop op,, ta tabl blet eta, a, no note tebo book ok,, te telé léfo fono noss inte intelilige gent ntes es,, im impr pres esor oras as,, me medi dias as de almacenamiento internos y externos, memoria flash o pendrive, etc.), para cualquier tipo de procesamiento de datos, tanto para quien hace procesamiento de textos, generación de gráficas, utilización de planilla electrónica, ya sea en forma ocasional o habitual, como para el que opera un sistema de contabilidad, de facturación, utiliza Internet y/o un teléfono celular para procesar y/o enviar y/o recibir información pública y/o privada, o simplemente usa internet como un medio de distracción, así como páginas sociales como facebook, twiter twiter,, dropbox, etc. Adicionalmente, se presenta el tema de respaldo y recuperación de datos en dispositivos informáticos conectados a Internet, de manera conceptual y sencilla; así como el borrado real de los datos de dichos dispositivos. El objetivo es que el lector tome conciencia de la necesidad e importancia de cumplir con los respaldos y el borrado de datos, en la forma y frecuencia que correspondan a la aplicación informática que utiliza. Se destaca la importancia de estos procesos, lo cual debe inducir al lector a asegurarse que sus datos están correctamente respaldados o borrados. Para que una política de seguridad informática sea exitosa, lo primero que debemos hacer es un análisis de las posibles amenazas que puede sufrir nuestros dispositivos informáticos o nuestra TIC; así como una estimación de las pérdidas que esas amenazas podrían suponer y un estudio de las probabilidades de que el evento ocurra. A partir de este análisis habrá que implementar una política de seguridad para establecer las responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir. Definimos política de seguridad como un “documento sencillo que define las directrices organizativas en materia de seguridad” (Villalón). La inseguridad empezó cuando un hombre saqueó y agredió a otro. La adquisición de bienes materiales se ha transformado, confundido y convertido en la
4
necesidad psicológica de querer estar seguro que nuestras pertenencias están para nuestro uso. La seguridad es un tema nacional, político, social, empresarial y/o psicológico relacionado con la necesidad de proteger a nuestra familia y nuestros bienes y que estos estén a nuestra disponibilidad cuando se requieran. La seguridad es un “m “mal al nece necesa sari rio” o” para para la supe superv rviv iven enci cia a de nues nuestr tra a espe especi cie. e. Qu Quer erem emos os sentirnos y estar seguros en cualquier contexto e incluso individualmente porque nos gusta valorar valorar lo que hacemo hacemos, s, pensam pensamos os y tenem tenemos. os. Esa “pseu “pseudosegu doseguridad” ridad” hace que reflexionemos menos y actuemos más. Incl Inclus uso o la nece necesi sida dad d de esta estarr segu seguro ross ha camb cambia iado do los los pres presupu upues esto toss nacionales de muchos estados para su policía, ejército y cuerpos de inteligencia ya que hab hablan lan de hac hacker kers, s, cyb cybert erterr errori orismo smo,, fra fraude ude,, rob robo o de ide identi ntidad dad,, rob robos os de patentes y secretos militares e industriales. Cuando nuestra o computadora personal o celular o tableta esperamos que usamos estén listos paralaptop trabajar, que nuestra información e internet estén 1 disponibles . Tratamos de múltiples formas de evitar que algún peligro o riesgo afecte a estos aparatos porque son nuestros y, en muchas ocasiones, reponerlos significa algún dinero que no tenemos en el momento o nuestra data es vital para nuestro trabajo. Ese cuidado de nuestros equipos informáticos personales se deben extrapolar hacia los equipos de la organización para la cual trabajamos. Es decir, debemos protegerlos contra peligros, riesgos y agentes extraños. Hablar de seguridad informática en términos absolutos es imposible y por ese motivo se habla de fiabilidad del sistema. En general, un sistema informático (SI) es seguro sí, y sólo sí, garantizamos tres aspectos: •
1
Confidencialidad : acce acceso so a la info inform rmac ació ión n debe debe se serr real realiz izada ada mediante autorización y de forma controlada. Busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional a la información. La pérdida de la confidencialidad puede ocurrir de much mu chas as ma mane nera ras, s, como como co con n la publ public icac ació ión n inte intenc ncio iona nall de información confidencial de la organización.
Esto signif significa ica que el el sistema sistema sea sea fiable, fiable, que es la la probabili probabilidad dad de que un un sistema sistema se compor comporte te tal y como se espera de él.
5
•
modi difi ficcac ació ión n de la info inform rmac aciión sólo ólo me medi dian ante te Integridad : mo autorización. Busca asegurar: ◦
◦
◦
•
Que personas no autorizadas no realicen modificaciones a los datos o procesos. Que el pe Que pers rson onal al au auto tori riza zado do no re real alic ice e mo modi difi fica caci cione oness no autorizadas a los datos o procesos. pr ocesos. Que ta tant nto o in inte tern rna a como como exte extern rnam amen entte los dato datoss sean ean consistentes.
info form rmac ación ión del del sist sistem ema a debe debe perm perman anec ecer er Disponibilidad : la in accesible mediante autorización. Busca asegurar acceso confiable y oportuno a los datos o recursos para el personal apropiado.
Figura 1 Estos tres elementos reciben el nombre de CID
por confidencialidad, integridad y disponibilidad.
A las tres característic características as anteriores, se agrega la compartición. Por lo que un sistema seguro debe ser íntegro (con información modificable sólo por las personas autorizadas), confidenci confidencial al (los datos tienen que ser legibles únicamente para los usuarios autorizados), irrefutable (el usuario no debe poder negar las acciones que realizó), compartido entre los usuarios y sitios autorizados y estar disponible (debe ser estable).
6
Los mecanismos de seguridad se dividen en cuatro grupos: 1. Prevención: 1. Evit Evitan an desv desviacion iaciones es res respecto pecto a la po polític lítica a de se segurida guridad. d. 2. Util Utiliz izar ar el ci cifr frad ado o en la tran transm smis isió ión n de la info inform rmac ación ión evi evita ta que un posible atacante capture (y entienda) información en un sistema de red. 2. Detección: 1. Det Detect ectan an las desv desviac iacion iones es si se pro produc ducen, en, vio violac lacion iones es o int intent entos os de violación de la seguridad del sistema. 2. Herra Herramient mienta aT Tripwi ripwire re para la seg seguridad uridad d de e los archiv archivos. os. 3. Recuperación : 1. Se apl aplican ican cu cuando ando se h ha a detec detectado tado una violac violación ión de la ssegurid eguridad ad del sistema para recuperar su normal funcionamiento. 2. La Lass co copi pias as d de e se segu guri ridad dad.. 4. Borrado: 1. Borra Borrado do tot total al de dat datos os de nue nuestro stro di disposit spositivo ivo in informát formático ico por cambi cambio oo venta. 2. He Herr rram amie ient nta a Bl Blea eatB tBea each ch.. La seg segurida uridad d infor informát mática, ica, tanto en nues nuestros tros equ equipos ipos infor informáti máticos cos personales como en los corporativos, es la disciplina encargada de proteger la integ integrid ridad ad,, dist distrib ribuc ución ión,, acc acceso eso y priv privac acida idad d de la inf inform ormaci ación ón y de los progr rogra amas almacenados en un sis siste tema ma in info form rmát átic ico; o; así así co como mo de lo los s componentes físicos que lo integran . Adicionalmente, la seguridad establece unas normas y políticas de trabajo y funciones del personal que trabaja con y para el sistema de información. A este conjunto de elementos: humanware, sistemas de información, software general y especializado, datos, redes informáticas internas y externas les llamamos tecnología de información y comunicación (TIC). Un sistema info inform rmát átic ico o (SI) (SI) pu puede ede ser ser pr prot oteg egid ido o de desd sde e un punt punto o de vist vista a ló lógi gico co (con el desarrollo de software) y físico (vinculado al mantenimiento eléctrico, por ejemplo).
7
Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet desde distintos y variados lugares para acceder a distintos y variados sistemas informáticos de forma síncrona o asín asíncr cron ona) a) ha hast sta a por por ma mala la prax praxis is por por part parte e de los los usua usuari rios os al deja dejarr las las computadoras abiertas, tener contraseñas débiles, compartir programas, archivos de fotografías, videos y música con otros usuarios en el mismo sitio de trabajo o fuera de él. Así como también por políticas corporativas para su personal. Para cumplir con la seguridad informática, ver componentes CID, diversas organi org anizac zacion iones es intern internaci aciona onales les def define inen n est estánd ándare aress y nor normas mas que apoy apoyan an en diferente medida el cumplimiento de los requerimientos indicados anteriormente. A continuación, una breve descripción de los de mayor utilización a nivel mundial
ISO 17.799 Estándar para la administración de la seguridad de la información, implica la implementación de toda una estructura documental con fuerte apoyo de la alta dirección de cualquier organización. Están Estándar dar pub public licado ado por la Intern Internati ational onal Org Organi anizat zation ion for Standa Standardi rdizat zation ion (ISO) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Ofrece recomendaciones para la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de sistemas de información una organización.
COBIT Acrónimo de “Control Objectives for Information and related Technology” (Objetivos de Control para la Información y Tecnologías Relacionadas), estándar desarrollado por la Information Systems Audit and Control Foundation (ISACA), fundada en 1969 en EE.UU., y que trata de temas como gobernabilidad, control, aseguramiento y auditorias para TIC. Actualmente tiene más de 60.000 miembros en alrededor de 100 países. Esta organización realiza eventos y conferencias, y desarrolla estándares en TI de gobierno, aseguramiento y seguridad. En los últimos 5 años ha cobrado fuerza debido a que fue desarrollado en específico para el ámbito de las TIC.
8
ITIL Acrónimo Acró nimo de “Inf “Informati ormation on Technol echnology ogy Infra Infrastruc structure ture Library Library”, ”, ITIL es una norma de mejores prácticas para la administración de servicios de Tecnología de Información (TI), desarrollada a finales del año 1980 por entidades públicas y privadas con el fin de considerar las mejores prácticas a nivel mundial. El organismo propietario de estos estándares es la Office of Government Commerce, una entidad independiente de la tesorería del gobierno británico. ITIL fue utilizado inicialmente como una guía para el gobierno de británico, pero es aplicable a cualquier tipo de organización.
LEY SOX La Ley Sarbanes-Oxley (SOX), de EE.UU., nombrada así por sus creadores, obliga a las empresas públicas públicas nacio nacionales nales o extranje extranjeras ras inscri inscritas tas en la Securitie Securitiess and Excha Exchange nge Com Comiss ission ion de dic dicho ho paí paíss a llevar llevar un con contro troll y alm almace acenam namien iento to inf inform ormáti ático co est estric ricto to de su act activi ividad. dad. La ley nac nace e pro produc ducto to de los esc escánda ándalos los financieros de compañías norteamericanas como Enron y Worldcom, durante el año 2002, en los cuales se comprobó que información financiera fue falsificada. Esta ley ha tenido un alto impacto a nivel mundial en empresas que negocian sus valores en la bolsa de EE.UU.
COSO La norma COSO, acrónimo de Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework, es un documento que contiene directivas e indicaciones para la implantación, gestión y control de un sistema de Control Interno, con alcances al área informática y está orientada al control de la administración financiera y contable de las organizaciones. Dada la relación relac ión que exis existe te entre esta área y los sistemas de informació información n comp computariz utarizados, ados, resulta importante entender el alcance y uso de esta norma. Junto a ella existen otras normas que están directa o indirectamente relacionadas con ella.
ISO Serie 27000 A semejanza semejanza de otras normas ISO, la 27000 es una serie de estándares, que incl incluy uye e o in incl clui uirá rá (algu (alguna nass pa part rtes es aú aún n está están n en desa desarro rrollllo) o),, defi defini nici cion ones es de
9
vocabulario (ISO 27000), requisitos para sistemas de gestión de seguridad de la inf inform ormaci ación ón (IS (ISO O 270 27001) 01),, guí guías as de bue buenas nas prá prácti cticas cas en obj objeti etivos vos de con contro troll y controles recomendables de seguridad de la información (ISO 27002). Es una guía de implementación de SGSI (Sistema de Gestión en Seguridad de la Información) junto a información de uso del esquema PDCA (Plan, Do, Check, Act) [6] (ISO 27003), especificación de métricas para determinar la eficacia de SGSI (ISO 27004), una guía de técnicas de gestión de riesgo (ISO 27005), especificación de requisitos para acreditación de entidades de auditoria y certificación de SGSI (ISO 27006), una guía de auditoria de SGSI (ISO 27007), una guía de gestión de seguridad de la información para telecomunicaciones (ISO 27011), una guía de continuidad de negocio en cuanto a TIC (ISO 27031), una guía de ciber-seguridad (ISO 27032), 27032), una guía de seguri seguridad dad en redes (ISO 27033), una guía de segur seguridad idad en aplicaciones (ISO 27034), y una guía de seguridad de la información en el sector sanitario (ISO 27799).
Riesgos y vulnerabilidades vulnerabilidades Debido a la creciente demanda de las tecnologías de la información, la mayoría de las organizaciones actuales están expuestas a una serie de riesgos derivados de una seguridad inadecuada o inapropiada en su información o en sus sistemas informáticos. Señalamos dos ejemplos de esta vulnerabilidad creciente: 1. Con el auge en el uso de com comput putado adores res per person sonale ales, s, tabl tableta etass y teléfo teléfonos nos móviles se ha magnificado el problema de la seguridad de los sistemas de información (SSI), originado sobre todo a la carencia de controles básicos de seguridad en este tipo de sistemas. 2. La ev evol oluc ució ión n ha haci cia a en ento torn rnos os co con n acce acceso so glob global al y mú múlt ltip iple le,, auna aunado do al aument aum ento o de la con conect ectivi ividad dad ent entre re dis distin tintas tas org organi anizac zacion iones es y per person sonas, as, plantea retos importantes a la gestión de la seguridad informática. Los riesgos fundamentales asociados con la incorrecta protección de la información son: ▪
Revelación de contraseñas y acceso a personas no autorizadas al SI.
▪
Inexactitud, alteraciones y no disponibilidad de datos y programas
10
almacenados en el SI. ▪
▪
Inaccesibilidad de la información cuando se necesita. Intentos de violación de nuestros sitios web.
Las amenazas en las TIC son globales, y están repartidas en distintos nive nivele less de crit critic icid idad ad se segú gún n sea sea la orie orient ntac ació ión n y el ám ámbi bito to de su ut utililiz izac ació ión. n. Preocupante es para grandes, medianas y pequeñas organizaciones el espionaje industrial, los ladrones de información, la interrupción de servicios y las fallas críticas en la infraestructura y sistemas centrales de información. Estos aspectos se relacionan con las tres características que debe cubrir un SI seguro: confidencialidad, integridad y disponibilidad. Así que custodiar estas tres características de la información es el objetivo de la seguridad. A lo loss pr prob oble lema mass té técn cnic icos os se su suma man n las las am amen enaz azas as am ambi bient ental ales es,, las las condiciones de instalación no apropiadas, los usuarios, la situación política y social, como factores susceptibles de poner en peligro el buen funcionamiento de un SI. Las Las am amen enaz azas as a lo loss SI van van desd desde e desa desast stre ress natu natura rale less como como inun inunda daci cion ones es,, accidentes o incendios, hasta abusos deliberados como fraudes, robos, virus con origen tanto interno como externo.
Implementar y Estructurar Controles Con el propósito de enfrentar correctamente los procesos de auditoria y a la vez para satisfacer un adecuado nivel de control interno en las actividades de TIC, se deben diseñar controles, de manera que ellos abarquen a todos los procesos que se ma mane neja jan n por por me medio dio de la lass TI TIC C en una una orga organi niza zaci ción ón.. En este este proc proces eso o el encargado de la seguridad TIC juega un papel de relevancia, puesto que con su experi exp erienc encia ia se rea realiz lizan an est estas as imp implem lement entaci acione oness en for forma ma ade adecua cuada da y con la relevancia que la organización requiere. En sí, los controles deben estar construidos en base a áreas (procesos) y objetivos de control de los cuales se deben desprender las actividades y finalmente los controles en si. Por ejemplo la norma ISO/IEC 27002 describe 39 objetivos de control. Sin embargo, otras normas o estándares como ISO 17799, ITIL y COBIT proponen un número distinto de controles.
11
Cada control o grupo de controles forma parte de su objetivo de control, del cual se desprenden las actividades actividades de control que dan origen al contr control ol en sí. A ssu u vez cada objetivo forma parte de una agrupación mayor, el proceso. Los procesos está están n agru agrupad pados os en 8 gran grande dess ár área eass que que son: son: Ma Mant nteni enimi mien ento to,, Se Segu guri ridad dad,, Operaciones, Desarrollo, Acceso Acceso General, Recuperación de Desastres, Redes y, por último, Computadores. Para el proceso de Seguridad, uno de los objetivos de control contr ol consi considerado deradoss es verificar que toda la infor información mación sea respaldada en forma oportuna oportu na y adecuad adecuada; a; por lo que uno de los control controles es asociados a este objetivo es Supervisión de errores en respaldos en servidores. La tarea que debe asumir cada organización, conforme a su propia realidad, es identificar cuál es la evidencia que cubre al respectivo control, según dicha organización; inclusive, es probable que uno o varios controles no apliquen al contexto de la misma. Ante esta situación, lo que se recomienda es mantener el control, pero indicar en su evidencia que éste, dado el contexto particular de la organización, “no aplica”. Unido a esto se debe realizar lo indicado por COBIT y COSO en base a definir si los controles serán de efecto primario o secundario para los estados financiero financieross de la organizac organización, ión, lo cual, dará la critici criticidad dad a cada uno de ellos. Se trata de formular un modelo de seguridad informática sencillo pero que cumpla con los objetivos de la organización. Las áreas del modelo propuesto son varias que cubren el espectro de la tic en la organización. Estas áreas son: virus, amen am enaz azas as físi física cas, s, cont contras raseña eñas, s, in info form rmac ació ión, n, co comu muni nica caci cion ones es,, em empl plea eado dos, s, organización. En muchos sistemas, usuarios son una parte deluridad proceso de seg seguri uridad. dad. Ell Ellos os cre crean an los con contra traseñ señas, as,humanos sig siguen uen los pro protoc tocolo olosscrítica de seg seguri dad y comparten información que puede mantener o destruir la seguridad de un sistema. Sin embargo, muchas políticas de seguridad están diseñadas con poca o ninguna atención a las capacidades cognitivas de las personas, flujo de trabajo o tareas. Como resultado, las personas encuentran maneras de evitar los obstáculos de seguridad que se interponen en el camino de su trabajo. El objetivo de esta serie de tres libros es el diseño y construcción de políticas de seguridad con un enfoque centrado en los usuarios. En el libro uno abordamos el compor com portam tamien iento to de un usu usuari ario o (infor (informát mática ica per person sonal) al) y de ahí par partim timos os par para a
12
establecer el mismo comportamiento del usuario (informática empresarial). En el libro dos, veremos los principios básicos de la interacción humano-computadora, incluyendo los fundamentos de las habilidades cognitivas de los humanos, los prin princi cipi pios os de usab usabililid idad ad,, té técn cnic icas as de di diseñ seño, o, y los los mé méto todo doss de eval evalua uaci ción ón.. Culminando en el libro tres donde se aplicarán estos conocimientos en el diseño de modelos de políticas de seguridad con el propósito de desarrollar las medidas de seguridad que respeten el factor humano y sus objetivos dentro de los grandes sistemas corporativos. A tra través vés de con consej sejos os prá práct ctico icoss par para a dis diseño eño,, con constr strucc ucción ión,, eva evalua luació ción n y sistem sis temas as crític críticos, os, los lec lector tores es apr aprend enderá erán n cóm cómo o int integr egrar ar la usa usabil bilida idad d en TIC pers person onal ales es o corp corpor orat ativ ivas as se segu gura ras. s. No Noss cent centra rare remo moss espe especí cífi fica came ment nte e en meca me cani nism smos os de au aute tent ntic icac ació ión, n, de resp respal aldo do y recu recupe pera raci ción ón,, se segu guri rida dad d de navegación, la privacidad y los medios de comunicación social, y de seguridad móvil.
13
1 Virus, troyanos, puerta trasera y phising 1.1 Virus 1.1.1 Windows Existen muchas formas distintas de clasificar los virus, y cada una de ellas viene acompañada de su propia colección de categorías con nombres pintorescos. Gusanos, macro virus, troyanos y puertas traseras (backdoors) son algunos de los más conocidos. Muchos de estos virus se extienden en Internet, utilizando el correo electrónico, páginas web maliciosas u otros medios para infectar computadoras protegidas o no, igualmente ocurre con los celulares. Otros virus se propagan a través de med través medios ios ext extraí raíble bles, s, par partic ticula ularme rmente nte a tra través vés de dis dispos positi itivos vos US USB B y/o memorias SD y/o pen-drive, programas piratas y de discos duros externos donde los usuarios escribir y leer información. Los virus pueden destruir, dañar o infectar la información en tu computadora, incluyendo datos en medios externos. También pueden tomar control de tu computadora y utilizarla para atacar a otras. Existen muchas herramientas antivirus que puedes utilizar para protegerte y proteger a aquellos con los cuales intercambias información digital. En el caso de los virus hay que subrayar que cada día aumenta la larga la lista de ellos y su variedad. Así, tenemos: •
•
•
Virus residente residentes s. Éstos, se ocultan en la memoria RAM y lo que les da la oportunidad de interceptar y de controlar las operaciones que se realizan en el computador atacado, infectando programas y/o carpetas y/o trasmitiendo los datos de cuentas, contraseñas y datos confidenciales de producción, usuarios y clientes hacia el exterior. Virus cifrados. Éstos, usan métodos criptográficos en un intento de esquivar los antivirus basados en cadenas de búsquedas, es el autocifrado con una clave variable. Como el virus Cascade, el cual no se denomina polimorfo, yya a que su código descifrado es invariable. Virus polimorfos o mutantes. Tienen la capacidad de encriptar el virus para que no sea detectado por un antivirus. Deja unas rutinas que se encargan de
14
dese desenc ncri ript ptar ar el viru viruss pa para ra pr prop opaga agars rse. e. Pa Para ra eso eso incl incluy uye e un mo moto torr de mutación. Éste, utiliza un generador numérico aleatorio que, combinado con un algoritmo matemático, modifica la firma del virus. Gracias al motor, el virus crea una rutina de desencriptación diferente cada vez que se ejecute. •
•
Virus Acompaña Acompañante nte. Éstos, basan su principio en que MS-DOS ejecuta el primer archivo COM y EXE del directorio raíz, creando un archivo COM con el mismo nombre y en el mismo lugar que el EXE a infectar. Después de ejecutar el nuevo archivo COM creado, cede el control al archivo EXE. Virus de Archivo. Infectan archivos de tipo *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e incluso BAT. Este tipo de virus se añade al principio o al final del archivo y se activan cada vez que el archivo infectado es ejecutado, ejecutando primero su código vírico y luego devuelve el control al programa infectado pudiendo permanecer residente en la memoria durante mucho tiempo después de que hayan sido activados. Este tipo de virus de dividen en dos: ◦
◦
•
Virus de Acción Directa . son aquellos que no quedan residentes en memoria y se replican en el momento de ejecutar el archivo infectado. que corrompen el archivo donde se ubican al Virus de Sobrescritura que sobrescribirlo.
Virus Bug-ware. Nombre dado a programas informáticos legales diseñados para realizar funci funciones ones concretas concretas.. Debid Debido o a una inadec inadecuada uada comp comprobaci robación ón de errores o a una programación confusa causan daños al hardware o al software del sistema. Los programas bug-ware no son en absoluto virus informáticos, simplemente son fragmentos de código mal implementado, que debi debido do a fa fallllos os ló lógic gicos os,, da daña ñan n el hardw hardwar are e o inut inutililiz izan an los los dato datoss del del 2 computador .
•
2
Virus Macro. Éstos, de acuerdo con la Internacional Security Association, conforman el 80% de todos los virus y son los que más rápidamente han aumentado en la historia de los computadores. A diferencia de otros tipos de
El virus virus Heart Heart Bleed Bleed permite permite a los hackers hackers explot explotar ar un fallo fallo en el softw software are de encript encriptación ación OpenSSL utilizado por la mayoría de los principales sitios web para robar datos, como números de tarjetas de crédito, contraseñas y otra información personal.
15
virus, los virus macro no son exclusivos de ningún sistema operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail, SD, pen-drive, Internet, transferencia de archivos y aplicaciones compartidas. Infectan las utilidades macro que acompañan a aplicaciones como Microsoft Word y Excel, lo que significa que un Word virus macro infecta un documento Excel y viceversa pudiendo, eventualmente, infectar miles de archivos. Estos virus son programados en Visual Basic y fáciles de crear. Infectan diferentes puntos de un archivo en uso al abrir, grabar, cerrar o borrar. Lo primero que hacen es modificar la plantilla maestra (normal.dot) para ejecutar varias macros insertadas por el virus, así cada documento que abramos o creemos, se incluirán las macros "víricas", conteniendo un virus, cambiar un ejecutable o DLL del sistema. •
•
•
Vi Virus rus Mai MailB lBomb omb.. Estos Estos virus virus tod todos os son igu iguale ales, s, esc escrib ribes es un tex texto to que requiera requie ra una direc dirección ción de e-mail (vict (victima) ima) introduc introduces es el número de copia copiass y listo. El virus crea tantos mensajes como el número de copias indicado y empeza emp ezará rá a env enviar iar men mensaj sajes es has hasta ta sat satura urarr el cor correo reo de la vic victim tima. a. Se replican como los gusanos o worms, pero en lugar de colapsar nuestro equipo o red, colapsa nuestro correo no pudiendo recibir ni enviar ningún correo. Virus Multi-Partes. Éstos, infectan tanto el sector de arranque como los archivos ejecutables, suelen ser una combinación de todos los tipos de virus existentes, su potencia de destrucción es superior a los demás y de alto riesgo para nuestros datos, su tamaño en bytes es mayor a cambio de más opciones de propagarse e infección de cualquier sistema. Virus Sector de Arranque. Éste, infecta el sector de arranque del disco duro del computador (MBR). Una vez que el sector de arranque esté infectado, el virus intenta infectar cada disco interno, externo o pen-drive que se inserte en el sistema, bien sea una CD-R, una unidad ZIP o cualquier sistema de almacenamiento de datos. Los virus de arranque se ocultan en el primer sector de un disco y se cargan en la memoria antes que los archivos del sist sistem ema. a. Co Con n to toma man n to tota tall cont contro roll de las las inte interru rrupc pcio ione ness del del DO DOS S y así así disemi dis eminar narse se y cau causar sar dañ daño. o. Estos Estos virus, virus, gen general eralmen mente te ree reempl mplaza azan n los contenidos del MBR con su propio contenido y mueven el sector a otra área en el disco.
16
•
Virus de Visual Basic Scripts o VBS. Debido al auge de Internet, los virus han encontrado una forma de propagación masiva y rápida a través mensajes de correo electrónico, anexando archivos con extensión VBS. El DOS empleaba archivos .BAT .BAT (Batch), que eran un conjunto de instrucciones o comandos en lotes. A partir de Windows 95 este tipo de archivos fue reemplazado por Visual Vis ual Basic Scripts. El script es un programa que realiz realiza a una determina determinada da acción al iniciar un sistema operativo, al hacer un Login en un Servidor de Red o al ejecutar una aplicación. Los Scripts pueden ser interpretados y ejec ejecut utad ados os por por el Si Sist stem ema a Op Oper erat ativ ivo o Wi Wind ndow ows, s, No Novel vell,l, et etc. c. o por por una una aplicación mIRC, pIRC, AutoCad, etc. Los virus pueden ser desarrollados en cual cualqui quier er le leng nguaj uaje e y te tene nerr de dete term rmin inad ados os obje objeti tivo voss de daño daño y algu alguno noss simple sim plemen mente te usa usan n las ins instru trucci ccione oness VB VBS S com como o med medio io de pro propag pagaci ación. ón. Asimismo, un VBS puede contener instrucciones que afecten a los sistemas. Es posible editar instrucciones en NotePad y guardar el archivo con la extensión .VBS. Actualmente existen 2 medios de mayor difusión de virus en VBS: ◦
Infecc Infección ión de can canale aless IRC IRC.. (el cha chatt pro produc duce e muc muchas has "victi "victimas mas") ") IRC (Internet Relay Chat) es un protocolo desarrollado para la comunicación entre usuarios de Internet en "tiempo real', haciendo uso de un software llamado "cliente IRC" (como mIRC, pIRCh, Microsoft Chat). Un servidor chat está conectado a otros servidores similares conformando una red IRC. Mediante el software de chat, el usuario se registra y conecta, con su nickname, a uno o más canales IRC. Los programas "clientes IRC" fa faci cililita tan n al usua usuario rio la lass op oper erac acio ione ness de cone conexi xión ón,, haci hacien endo do uso uso del del comando /JOIN, para conectarse a uno o más canales. Las conversaciones pueden ser públicas (el canal visualiza lo que el usuario escribe) o privadas (comunicación entre dos personas). Todo esto se hace mediante un denominado "bachero", que emplea comandos del protocolo IRC, proporcionando al usuario un entorno gráfico funcional. Todos los gusanos del Chat, siguen el mismo principio de infección, con el comando SEND file, envían una copia del SCRIPT.INI a todas las pe pers rson onas as con onec ecta tada dass al mism ismo ca cana nall ch chat at,, adem además ás de ot otra rass instruccio instr ucciones nes dentro de un VBS, que conti contiene ene el código viral que sobreescribe al SCRIPT.INI SCRIPT.INI original, en el sistema remoto del usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez.
17
◦
Virus de la libreta de direcciones Microsoft Outlook. Office 95/97/2000/XP, 95/97/2000/XP, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que invocan la ejecución de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque ta tamb mbién ién pued pueden en edi edita tarr in inst stru rucc ccio ione ness y co coma mando ndoss con con No Note tePa Pad d y archiv arc hivarl arlo o con la ext extens ensión ión .VB .VBS. S. Virus Virus com como o Mel Meliss issa a o Lov Lovelet eletter ter,, escritos en Visual Basic for Aplications, tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS Office. El más afectado es la lilibr bret eta a de di dire recc ccio ione ness MS Out utlo look ok,, que que es co cont ntro rollado ado por por las las instrucciones del VBS y recibe la orden de re-enviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones del sistema de usuario infectado. Estas infecciones también se reproducen reproducen entre todos los usuarios usuarios de una red, una vez que uno de sus usuarios ha sido infectado.
•
Virus de Web (active x y java). Los applets de JAVA y los controles Active X, son unos lenguajes orientados a Internet, con las nuevas tecnologías se abre un mundo nuevo a explotar por los virus. Superaran en número a los virus de macro.
1.1.2 Linux Las posibilidad posibilidad de que una computa computadora dora con siste sistema ma operat operativo ivo LINUX se infecte es escasa, pero no implica que no exista códigos maliciosos para Linux. Para propagarse propagarse el códig código o malwa malware re debe ejecu ejecutarse tarse,, tiene que ser copia copiado do en un ejecutable corrupto desde el otro sistema. Independiente de la distribución de Linux empleada, lo normal seria al momento de bajar un programa sea por un repositorio o por una URL donde se encuentra el software malicioso. En lugar de bajar el archivo ejecutable, baja el programa de un repositorio oficial, la posibilidad que de estos sitios oficiales puedan contener malware es remota, pero posible . Una vez que la computadora baja el programa con el código malicioso y se infecta inicia la segunda etapa es la propagación. El código malo debería usarse como una plataforma de distribución para aplicaciones pre compiladas, lo cual es poco probable. El tratar infectar una computadora con Linux por intermedio de un
18
archivo ejecutable y la posibilidad de lograr su objetivo es poco probable probable o escasa . La propagación dentro de una computadora de una aplicación corrupta sólo puede ext puede extend enders erse e a los archi archivos vos que el usu usuario ario ejecu ejecuta ta y ten tenga ga per permis misos os de escritura. El usuario de Linux sólo trabaja como root para operaciones muy especificas. La instalación instalación de una aplicació aplicación n con Set-UI Set-UID D root el riesgo de infec infectarse tarse es bastante pequeño. Cuando un usuario normal ejecuta el programa infectado sólo afectará a los archivos que pertenezcan a ese usuario . La tabla 1 muestra los virus más conocidos para Linux. Tabla 1: Los virus más conocidos para Linux Nombre Bomba lló ógica Notas
Bliss Diesel Kagob Satyr
Aparentemente Desinfección automática del archivo ejecutable si se llama inactiva con la opción -bliss-disinfect-plase ninguna ninguna Utiliza un archivo temporal para ejecutar el programa original infectado. Ninguna
Vit4096 Ninguna winter Ninguna winux
Ninguna
Sólo infecta los archivos en el directorio actual El código del virus ocupa 341 bytes sólo infecta los archivos del directorio actual Contiene dos códigos difere renntes y puede infectar tanto los archivos de Windows como los archivos ELF Linux pero no es capaz de explotar otras particiones que en la que esta alojado lo que reduce su propagación siendo un virus inofensivo. La relevancia está en el concepto de que un código malicioso saltaría de una partición a otra invadir una red heterogénea usando un servidor Samba
19
1.1. 3 MacIntosh ¿Las computadoras Mac están libres de virus? No, las computadoras de Apple no están exentas de ser infectadas por virus informáticos, aunque ciertamente son menos importantes a infectarse que las PC con Windows.
MacDefender funcionaba mediante un mensaje falso que advertía a los usuarios que sus computadoras estaban infectadas por un virus, por lo que debían instal ins talar ar el sof softwa tware re ant anti-v i-viru irus. s. Si los cli client entes es ace acepta ptaban ban ins instal talarl arlo, o, el prog program rama a comenzaba a cargar sitios con pornografía. Flashback trojan fue detectado por primera vez en septiembre pasado, cuan cuando do in inve vest stig igad ador ores es de an anti tivi viru russ enco encont ntra raro ron n el sist sistem ema, a, que que esta estaba ba disfrazándo disfr azándose se como una actualiza actualización ción de Flas Flash, h, un reprod reproductor uctor de video video.. Una vez instalado, el virus desactivaba el sistema de seguridad de la computadora y, por ello, le permitía al intruso el acceso a su contenido. Una Pc con Mac OS X su riesgo mayor es la "Ingeniería Social".
1.2 Bombas lógicas El daño que ocasi ocasionan onan las bombas lógicas es relativo, depende de cómo el usuario usuari o esté firmado y cuáles son sus privileg privilegios. ios. Es relat relativamen ivamente te extraño en lo particular que un usuario de Linux se firme como root en todas las sesiones . Por otra parte, Linux, siempre mejora su sistema de seguridad entregando mejores distribuciones.
1.3 Caballos de Troya o troyanos Aunque menos "peligroso" que un virus, los troyanos deben tenerse muy en cuenta. Se dice de una persona que accede por un agujero en nuestro sistema oper operat ativ ivo o (pue (puert rta a tras traser era) a) a nu nues estr tro o comp comput utad ador or,, desd desde e ot otro, ro, en busc busca a de información como claves de usuario, cuentas bancarias o inclusive tomar el control de nuestro PC y eliminar archivos, cerrar programas, impedir manejar el ratón, etc.
1.4 Gusanos Se trata de un código malicioso, a gran escala, que se reproduce y extiende
20
a muchas computadoras a una gran velocidad. Se propaga mediante el correo electrónico, el cual al abrirlo, recoge la lista de contactos y les envía un correo como si fuera nuestro, si éstos lo abren, el virus recoge a su lista de contactos y de nuevo se pone en acción, la función de los gusanos es colapsar las computadoras y sobre todos aquellas que tienen una tarea de servicio, como un servidor web, servidor de red o un servidor de correo. Los Los prim primer eros os gu gusa sano noss se crea crearo ron n en 1988 1988.. los los cu cual ales es expl explot otan an la vulnerabilidad de los servidores de red para las estaciones de trabajo. Ver Ver tabla 2. Tabla 2: Tabla de vulnerabilidades Nombre Nomb re
Vulnerabilidade ulnerabilidadess Notas Notas
Lion(1i0n)
Bind
Instala una puerta trasera(puerto TCP 10008) y root-kit en computadora infectadadelacorreo cual envía información dellasistema a una dirección en China.
Ram ameen
Lpr,nfs,wu-ftpd
Cambia lloos ar archivos iinndex.html qquue eenncuentra.
Adore (red worm)
Bind,Ipr,rpc,wu,ft Instala una puerta trasera en el sistema y envía pd información a direcciones de correo en China y USA instala una versión modificada de ps para esconder sus procesos.
Cheese
Bind
Entra como un supuesto programa chequea y elimina las puertas abiertas.
1.5 Puertas traseras Las amenazas de las puertas traseras o malware afectan tanto a Microsoft como al software libre. El tér términ mino o es ada adapta ptació ción n direct directa a del ing inglés lés bac backdo kdoor or que com comúnm únment ente e significa "puerta de atrás". A pesar de ser propiamente como virus, son un riesgo de seguridad importante y son desconocidas la inmensa variedad de problemas que llegan a producir. Al hablar de ellas nos referimos genéricamente a una forma "no oficial" de acceso a un sistema o a un programa. Algunoss pro Alguno progra gramad madore oress dej dejan an pue puerta rtass tra traser seras as a pro propós pósito ito,, para ent entrar rar rápidamente en un sistema; en otras ocasiones, la puerta trasera existe debido a
21
fallos o errores. Una de las formas típicas de actuación de los piratas informáticos es localizar o introducir en los diversos sistemas una puerta trasera y entrar por ella. Una Un a ve vezz de dent ntro ro del del comp comput utad ador or in infe fect ctad ado, o, los los prog progra rama mass intr introd oduc ucid idos os no se reproducen solos como los virus, sino que son enviados con el fin de tener acceso a nuestros equipos informáticos por el correo electrónico, por lo que no son fáciles de detectar y por si solos. No siempre causan daños ni efectos inmediatos, por lo que pueden permanecer activos mucho tiempo sin que nos percatemos de ello. Estos programas se hacen pasar por otros, es decir, se ocultan en otro programa que les sirve de caballo de Troya para que el usuario los instale por error. Lo peor que puede pasar cuan cuando do el usuar usuario io está en el chat no es que contrai contraiga ga un virus en su Pc, sino que alguien instale un backdoor en ella. Las puertas traseras son fáciles de entender. Como todo en Internet se basa en la arquitectura cliente / servidor, sólo se necesita instalar un programa servidor en una máquina para controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado, ésta puede bien ser la computadora de un usuario descuidado o poco informado. Las puertas traseras son programas con acceso prácticamente ilimitado a un equipo de forma remota. El problema, para quien usa este ataque, es que debe convencer a un usuario a que lo instale el servidor. Si aparece un desconocido ofreciendo algún programa maravilloso y tentador, no le crea de inmediato. Lo que están probablemente a punto de darle es un troyano, que le proporciona al atacante acceso total a su computadora. Hay una forma simple y totalmente segura de evitar las puertas traseras: no acepte ace pte arc archiv hivos os ni eje ejecut cute e pro progra gramas mas que no con conoce oce o sea sean n de pro proced cedenc encia ia dudosa. Los programas que se clasifican como "puertas traseras" son utilerías de administración remota de una red y controlar las computadoras conectadas a ésta. El hecho que se les clasifique como software malévolo en algunos casos, es que cuando corren, se instalan en el sistema sin necesidad de la intervención del usuario y una vez instalados, no se visualizan en la lista de tareas en la mayoría de los casos. Consecuentemente, un backdoor puede supervisar casi todo proceso en las computadoras afectadas, quitar o corromper programas, descargar virus en la PC remota, borrar información, entre otras muchas cosas más. Dada la complejidad de este tema, lo importante es comprender que de no tomar ciertas medidas mínimas, la información importante que se encuentre en
22
cualquier equipo, con el simple hecho de que tenga acceso a la red de redes (Internet) es suficiente para que estar expuesto a ataques de está índole. Como eje Como ejemp mplo lo de esto esto es el pro progr gram ama a que que se enc encuen uentr tra a en el libr libro o “programmation systeme en C sosus linux” que usa el mecanismo de un pseudoterminal cuando se ejecuta abre un servicio TCP/IP en el puerto por defecto 4767 aceder a un shell.
1.6 Spyware Son programas que se autoinstalan en nuestra computadora, reduciendo a la mitad el funcionamiento del sistema, ya que utilizan la cpu y la memoria ram. Su función funci ón es recopi recopilar lar informac información, ión, la cual se envían a terc terceras eras personas sin nuestro consentimiento; más tarde llegan cientos de correos con publicidad. Otro tipo de spyware son aquellos que nos muestran pop-us (ventanas emergentes) ya sea cuando iniciamos el navegador o sin acceder a él, mostrándonos en el escritorio muchos pop-us, las cuales cerramos y vuelven abrirse. En los casos más graves colpasan el computador.
1.7 Ingeniería Social Es la prác prácti tica ca de ob obte tene nerr in info form rmac ació ión n co conf nfid iden enci cial al a tr trav avés és de la manipulación de usuarios legítimos. Ciertos investigadores privados o criminales o delincuentes delinc uentes informát informáticos, icos, quieren obtene obtenerr infor informació mación, n, acces acceso o o privi privilegios legios de nuestros sistemas de información para realizar actos que perjudiquen o expongan a riesgos y/o abusos a la persona u organismo comprometido. El principio que sustenta la ingeniería social es que en cualquier sistema informático "los usuarios son el eslabón débil". En la práctica, un ingeniero social usa el teléfono o Internet para engañar a las personas, fingiendo ser, un empleado de algún banco o de alguna otra empresa, un compañero de trabajo, un técnico o un cliente clien te o usa la Inte Internet rnet para el envío de solicitud solicitudes es de renov renovación ación de permi permisos sos de acceso a páginas web o memos falsos que requieren ciertas respuestas e incluso las famosas cadenas, como las cartas africanas, condicionando al usuario a revelar inf inform ormaci ación ón imp import ortant ante, e, o a vio violar lar las pol políti íticas cas de seg seguri uridad dad típ típica icas. s. Con est este e método, los ingenieros sociales aprovechan la tendencia natural de la persona a reaccionar de manera predecible en ciertas situaciones, -proporcionando detalles
23
financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. Quizá Quiz á el at ataq aque ue má máss simp simple le pe pero ro ef efec ecti tivo vo,, se sea a enga engañar ñar a un usua usuari rio o llev lleván ándo dolo lo a pens pensar ar qu que e un ad admi mini nist stra rado dorr del sist sistem ema a esta esta soli solici cita tand ndo o una una contraseña contr aseña para propósi propósitos tos legít legítimos. imos. Los usuari usuarios os de Intern Internet et frecu frecuentem entemente ente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación; a este tipo de ataques se les llama phishing. Los usuarios deberían ser advertidos temprana tempr ana y frec frecuentem uentemente ente para que no divul divulguen guen contraseña contraseñass u otra informac información ión importante a quienes dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan la contraseña de los usuarios para llevar a cabo sus tareas. Otro ataque de ingeniería social es el uso de archivos adjuntos en correo electrónico o e-mail, ofreciendo, fotos "íntimas" de personas famosas o familiares o algún programa programa "gratis" o que ha sido designad designado o beneficiar beneficiario io de una fortuna de un pariente lejano (a menudo provenientes de África) para ejecutar código malicioso (usando así a la máquina de la víctima para enviar cantidades masivas de spam). Después que los primeros email sospechosos llevan a los proveedores de internet a deshabilitar la ejecución automática de archivos adjuntos; los usuarios debe deben n acti activa varr esos esos ar arch chiv ivos os de fo form rma a expl explíc ícitita a para para que que ocur ocurra ra una una acci acción ón malici mal iciosa osa.. Muc Muchos hos usu usuari arios, os, sin emb embarg argo, o, abren abren cie ciegam gament ente e cua cualqu lquier ier arc archiv hivo o adjunto recibido, concretando el ataque.
1.8 Software Antivirus Hoy en día existen muchos y buenos programas antivirus, algunos gratuitos, para par a elimin eliminar ar est estos os cód código igoss mal malici icioso osos; s; ant antivi ivirus rus,, anti anti spy spywar ware, e, fir firewa ewall, ll, ant antii int intrus rusión ión,, ant antii pirata piratass inform informáti áticos cos.. Los cua cuales les bus buscan can en el sis sistem tema, a, archiv archivos os infectados y los eliminan o bien los ponen en cuarentena para eliminarlos mas tarde. Además, una de las herram Además, herramienta ientass usuales de la seguridad informát informática ica es la encriptación de la información, de carpetas y programas y el uso de contraseñas (passwords). Todas de gran utilidad como también lo son los conocidos sistemas de detección de intrusos, conocidos como anti spyware. Se trata de programas o
24
aplicaciones que detectan, de manera inmediata, los programas espías que se encuentran en nuestro sistema informático. Un excelente programa antivirus que es software gratuito (freeware) para Windows es Avast, fácil de utilizar, se actualiza de manera regular y es respetado por los expertos en programas antivirus. El programa requiere que el usuario se registres una vez cada 14 meses, pero el registro, actualización y programa son gratuitos. Clamav es una alternativa de Software Libre y de Código Abierto (FOSS) al Avast y de varios antivirus conocidos programas comerciales. Aunque carece de cierta cie rtass car caract acterí erísti sticas cas que son imp import ortant antes es par para a un pro progra grama ma ant antivi ivirus rus bás básico ico,, Clamav tiene la ventaja que puede ser ejecutado desde un pen-drive USB con el fin de escanear una computadora la cual no te permite instalar software. Esto es útil cuando no tienes otra opción más que utilizar una computadora pública o los cafés Internet para realizar trabajo importante.
1.8.1 Consejos para utilizar software antivirus ◦
◦
◦
◦
No ejecutes dos programas antivirus al mismo tiempo, pues causaría que tu computadora funcione de manera muy lenta o se cuelgue. Quita uno antes de instalar otro. Asegú Asegúrat rate e que tu pro progra grama ma ant antivi ivirus rus rec reciba iba act actual ualiza izacio ciones nes.. Com Como o muchas de las herramientas comerciales que vienen preinstaladas en las computadoras nuevas, en algún punto debe registrarlas (y pagar por ellas) o dejarán de recibir actualizaciones. Existe software antivirus, en la internet, que acepta actualizaciones libres de cargo. Cerciórate que tu software antivirus se actualice automáticamente de mane ma nera ra regu regula larr. A di diar ario io,, se cr crea ean n y prop propaga agan n nuev nuevos os viru virus, s, y tu computadora pronto será vulnerable si no estás al tanto de nuevas versiones de virus. Avast automáticamente busca actualizaciones cuando te conectes a la Internet. Procura que tu software antivirus tenga 'siempre activa' su opción de detección de virus, si cuenta con esta. Es posible que aplicaciones diferentes usen distintos nombres para esta opción pero la mayoría de
25
ellas ofrece una opción parecida. Puede llamarse 'Protección en Tiempo Real,' 'Protección Residente,' o similar similar.. ◦
Escanea frecuentemente los archivos de tu computadora. No tienes que hacer esto a diario — especialmente si tu software antivirus tiene una opción 'siempre activo', como se describe líneas arriba — pero debes ha hace cerl rlo o de ti tiem empo po en ti tiem empo po.. ¿C ¿Cuán uán a me menu nudo do?, ?, depen depende de de las las circunstancias. ¿Has conectado, recientemente, tu computadora a una red red de desc scon onoc ocid ida? a? ¿h ¿has as comp compar arti tido do tu pen-d pen-dri rive ve US USB? B? ¿R ¿Rec ecib ibes es documentos adjuntos extraños con tu correo electrónico? ¿Alguien en tu casa u oficina ha tenido problemas de virus recientemente?
1.8.2 Evitar una infección viral NO abras archivos adjuntos en tu correo electrónico, si no conoces su proced pro cedenc encia. ia. Si nec necesi esitas tas hac hacerlo erlo,, primer primero o gua guardar rdar el arc archiv hivo o adj adjunt unto o en una carpeta en tu computadora, luego abre la aplicación como Microsoft Word o Adobe Acrobat. Es poco probable que contraigas el virus, si utilizas el menú de Archivo del programa para abrir el archivo adjunto en forma manual, en vez de presionar dos veces sobre el archivo o el programa de correo electrónico lo abra automáticamente. Considera los posibles riesgos antes de insertar medios extraíbles, como CD, DVD y pen-drive USB en tu computadora. Primero, verifica que tu programa antivirus tiene las últimas actualizaciones y que su escaneo se ejecuta. También, es buena idea deshabilitar la opción 'Reproducción Automática' en tu sistema operativo para evitar que los virus infecten tu computadora. Con el Windows XP, esto se hace dirigiéndote a Mi PC, presionando el botón derecho del ratón sobre tu unidad extraíbles extra íbles,, selecc seleccionando ionando Propiedad Propiedades es y presio presionar nar sobre la pestañ pestaña a Reprod Reproducci ucción ón Automática. Para cada tipo de contenido, selecciona las opciones, a) No realizar ninguna acción o b) Pregúntame siempre que elija una acción, luego presiona Aceptar. Ayuda a evitar algunas infecciones virales migrando a un Software Libre y de Código Abierto (FOSS), (FOSS), a menudo más seguro, y a los cuales los creadores de virus son menos propensos a atacar.
26
1.8.3 Software Espía (Spyware) El software espía (spyware) es una clase de software que rastrea el trabajo que haces, tanto en tu computadora como en la Internet, y envía dicha información a alguien que no debería tener acceso a ella. Estos programas registran, entre otras cosas, las palabras que escribes en tu teclado, los movimientos de tu ratón, las páginas que visitas y los programas que ejecutas. Como resultado, penetra la segu seguri rida dad d de tu co comp mput utad ador ora a y reve revela la info inform rmac ació ión n conf confid iden enci cial al sobr sobre e ti ti,, tu tuss actividades y tus contactos. Las computadoras se infectan con software espía en la misma forma en la que las personas contraen virus, por tanto muchas de las sugerencias realizadas anteri ant eriorm orment ente e son tam tambié bién n útiles útiles para def defende enderno rnoss de est esta a cla clase se de sof softwa tware re malilici ma cios oso. o. De Debi bido do a qu que e la lass págin páginas as we web b ma malilici cios osas as son son la ma mayo yorr fu fuen ente te de infecciones de software espía, debes prestar mayor atención a los sitios web que visitas y asegurarte que las opciones de tu navegador sean seguras.
1.8.4 Software contra Software espía (spyware) Puedes utilizar Spybot, que hace un buen trabajo identificando y eliminando ciertos tipos de software malicioso que los programas antivirus ignoran. T También, ambién, es importante que actualices las definiciones de software malicioso del Spybot y que ejecutes escaneados regulares. Los programas antivirus y anti-spyware que están a la venta son Norton Antivirus, Norton 360, McAfee AntiVirus, Computer Associates Antivirus y AVG Internet Security, entre otros. Los programas antivirus gratuitos son AVG Fre Free e Edi Editio tion, n, Avast Avast!! Ant Antivi ivirus rus Fre Free e y Avira Avira Antiv Antivir ir Fre Free, e, ent entre re otr otros. os. Los programas anti-spyware gratuitos son Spybot Search and Destroy, Lavasoft AdAware y Malwarebytes Anti-Malw Anti-Malware. are.
1.8.5 Evitar infección de software espía Mantente alerta cuando navegues en sitios web. Cuídate de las ventanas del nave navega gado dorr qu que e apar aparec ecen en au auto tomá máti tica came ment nte, e, y léel léelas as con con cu cuid idado ado en vez vez de pres presio iona narr si simpl mplem emen ente te Si o Ac Acep eptar tar.. En ca caso so de duda duda,, cier cierra ra las las 'v 'ven enta tana nass emergentes' presionando X en la esquina superior derecha, en vez de presionar sobre Cancelar. Esto ayuda a evitar que las páginas web te engañen instalando software malicioso en tu computadora.
27
Mej ejor ora a la seg egur urid idad ad de tu na navvegad egador or Web evit evitan ando do que que ejec ejecut ute e automáticamente peligrosos queFirefox, a vecespuedes están contenidos dentro de las páginas web que programas visitas. Si utilizas Mozilla instalar el complemento NoScript, como se describe en la sección 4 de la Guía del Firefox. NO acepte ni ejecute programas de un sitio web desconocido.
1.9 Cortafuegos (Firewall) Un cortafuegos es el primer programa que encuentran los datos entrantes de Internet. También, es el último programa que maneja la información saliente. Como guar guardi dia a de segu seguri rida dad d qu que e deci decide de quié quién n ing ingre resa sa y quié quién n sale sale,, un cort cortaf afue uegos gos (firewall) recibe, inspecciona y toma decisiones respecto a la entrada y salida de todos los datos pasan por él. Es indispensable defenderse de conexiones no confiables de Internet y de redes locales, las cuales pueden proporcionar a los piratas informáticos y a los virus una ruta libre a tu computadora. El vigilar las conexiones de salida que se originan en tu computadora no es menos importante. Un buen cortafuegos se configura para determinar permisos de acceso a cada programa en tu computadora. Cuando un programa intenta contactarse con el exterior, tu cortafuegos bloquea el intento y te envía una advertencia, a menos que reconozca el programa y verifique que tiene autorización para que haga ese tipo de conexión. conex ión. Previnie Previniendo ndo que el softw software are malicioso existen existente te dispe disperse rse virus o invi invite te a los los pira pirata tass in info form rmát átic icos os a in ingr gres esar ar a tu comp comput utad ador ora. a. En este este sent sentid ido, o, un cortafuegos funciona como un sistema de alerta temprana que ayuda a reconocer cuando la seguridad de tu computadora esta amenazada.
1.9.1 Software Cortafuegos Las última últimass ver versio siones nes del Mic Micros rosoft oft Window Windowss inc incluy luyen en un cor cortaf tafueg uegos os (firewall) (firew all) incor incorporado, porado, que se activ activa a autom automática áticamente mente.. Este cortafue cortafuego go es limi limitado tado ya que no examina las conexiones de salida. Sin embargo, existe un excelente programa de software gratuito (freeware) llamado Comodo Firewall, que realiza el trabajo de mantener segura tu computadora. PC Tools Firewall Plus es un potente cortaf cor tafueg uegos os per person sonal al par para a Win Window dowss que pro proteg tege e su equ equipo ipo evi evitan tando do que los usuarios no autorizados accedan a tu sistema a través de Internet o de otra red.
28
El seguimiento que hace Firewall Plus de las aplicaciones con conexión a la redgramas imp impide ide mal queignos los troya yanos nos,tu , bac backdo kdoors cap captur turado adores de pri tec teclado lado queeAlarm otr otros os pro progra mas malign os tro dañ dañen en equ equipo ipoors, y, rob roben en tus res dat datos os privad vados. os.y Zon ZoneAl arm Firewall Free es un excelente Cortafuegos gratis para evitar la acción de los hackers en nuestro computador cuando estamos conectados a la red. Imprescindible si tienes una dirección fija (Cable, ADSL, etc…). Comodo Personal Firewall asegura tu sistema contra ataques de virus, troyanos, ataques de hackers o cualquier otro tipo de software malintencionado que haya podido entrar en tu PC.
1.9.2 Evitar conexiones no confiables a red ◦
Sólo instala programas esenciales para tu trabajo en tu computadora y asegúrate de obtenerlos de fuentes confiables. Quita el software que no
◦
utilices. Desconecta tu computadora de Internet cuando no la estés utilizando y desconéctala durante la noche.
◦
No compartas tus contraseñas.
◦
◦
◦
Deshab Desh abililitita a cual cualqu quie iera ra de lo loss 'ser 'servi vici cios os de Wi Wind ndow ows' s' que que no esté estéss utilizando. Asegúrate que las computadoras de la red de tu oficina tengan instaladas un cortafuegos. Si no tienes uno, instala un cortafuegos para proteger la totalidad de la red local en tu oficina. Muchas de las pasarelas (gateways) comerciales de banda ancha incluyen un cortafuegos fácil de utilizar, y el ejecutarlo mejora de manera importante la seguridad de tu red. Si no estás seguro como empezar empezar con esto, solicita asist asistencia encia a la persona o empres empresa a que configuró tu red informática.
1.10 Mantener actualizado tu software Los programas de computadora son largos y complejos. Es inevitable que algu alguno noss de lo loss prog progra rama mass qu que e ut utililiz izas as re regu gula larm rmen ente te co cont nten enga gan n erro errore ress no descubiertos, y es probable que algunos de éstos puedan comprometer la seguridad
29
de tu computadora. Los desarrolladores de software continúan encontrando estos errores, y publican actualizaciones para arreglarlos. Por lo tanto es esencial que actualices frecuentemente todos los programas en tu computadora, incluyendo el sistema operativo. Si Windows no se actualiza auto automá máti tica came ment nte, e, lo pu pued edes es co conf nfig igura urarr haci hacien endo do clic clic en el me menú nú de In Inic icio, io, seleccionando Programas y haciendo clic en Windows Update. Esto abre el Internet Explorer, y te conduce a la página de Microsoft Update donde puedes habilitar la opción de Actualizaciones Automáticas. Mantenerse actualizado con software libre y herramientas de software libre y de código abierto (FOSS). El softw softwar are e pr prop opie ieta tari rio o a menu menudo do re requ quie iere re prob probar ar que que fu fue e adqu adquir irid ido o legalmente antes de instalar actualizaciones. Si estás utilizando una copia pirata de Microsoft Windows, puede no ser capaz de actualizarse automáticamente, lo que te dejaría a ti y a tu información extremadamente vulnerables. Al no tener una licencia válida, te pones a ti y a otros en riesgo. El confiar en software ilegal también representa riesgos no técnicos. Las autoridades en un creciente número de países han empezado a verificar si las organizaciones poseen una licencia válida por cada soft softwa ware re qu que e ut utililiz izan an.. La poli policí cía a ha conf confis isca cado do co comp mput utad ador oras as y cerr cerrad ado o organi org anizac zacion iones es bas basados ados en la 'pi 'pirat raterí ería a de sof softwa tware. re.'' Esta Esta jus justif tifica icació ción n pued puede e convertirse fácilmente en un abuso en países donde las autoridades tienen razones políticas para interferir en el trabajo de alguna organización determinada. Te recom recomendamo endamoss insta instalar lar Softw Software are Libre y de Código Abi Abierto erto (FOSS) que sean sean alte altern rnat ativ ivas as a cu cual alqu quie ierr softw softwar are e prop propie ieta tari rio o que que ut utililiz izas as actu actual alme ment nte, e, especialmente a aquellos programas que no están licenciados. El software libre y las herramientas de Software Libre y de Código Abierto (FOSS) son a menudo escritos por voluntarios y organizaciones sin fines de lucro que los publican, e incluso inclu so los actua actualizan lizan gratuita gratuitamente mente.. Las herramient herramientas as de Softw Software are Libre y Código Abierto (FOSS), en particular, son considerados más seguros que aquellos software propietarios, debido a que son desarrollados de manera transparente, pues permiten que su código fuente sea examinado por un grupo diver diverso so de exper expertos, tos, cualqui cualquiera era de los cuales puede identificar problemas y aportar soluciones. Muchas aplicaciones de Software Libre y de Código Abierto (FOSS) se ven y funcionan de manera idéntica al software propietario al que pretenden reemplazar.
30
Al mismo tiempo, puedes utilizar estos programas junto con el software propietario, incluy inc luyendo endo el sis sistem tema a ope operat rativo Win Window dows, s, sin de nin ningún gúntipo prob problem lema. a. Inc Inclus o si tus colegas continúan utilizando laivo versión comercial un particular deluso programa, tú puedes intercambiar archivos y compartir información con ellos de manera fácil. En particular, deberías considerar reemplazar el Internet Explorer, Outlook o Outlook Express y Microsoft Office con Firefox, Thunderbird y LibreOffice, respectivamente. De hecho, podrías incluso dejar completamente de lado el sistema operativo Microsoft Windows, e intentar utilizar uno más seguro y alternativo de Software Libre y de Código Abierto (FOSS) llamado GNU/Linux. La mejor manera de saber si estás listo/a para hacer el cambio es simplemente intentándolo. Puedes descargar una vers versió ión n Live LiveCD CD de Ub Ubun untu tu Li Linu nux, x, gra graba barl rla a en un CD o DV DVD, D, poner ponerla la en tu computadora y reiniciarla. Cuando haya ha ya terminado de cargar, tu computadora estará funcionando con GNU/Linux, y podrás decidir que hacer. No te preocupes, nada de esto es permanente. Cuando hayas concluido, simplemente apaga tu computadora y retira el Ubuntu LiveCD. La próxima vez que la enciendas, estarás de vuelta en Windows, y todas tus aplicaciones, configuraciones y datos se encontrarán de la misma forma en la que los dejaste. Además de las ventajas de seguridad general del software de código abierto, Ubuntu tiene una herramienta de actualización libre y de fácil uso que evitará que tu sistema operativo y mucho de tu software queden desactualizados e inseguros.
31
2. Proteger tu información de amenazas físicas No importa cuanto esfuerzo hayas puesto en construir una barrera digital alrededor de tu computadora, aún puedes despertar una mañana y hallar que ella, o una copia de la informac información ión se ha perdido, ha sido robada, o dañada por cualquie cualquierr serie de acci accidentes dentes desafor desafortunado tunadoss o actos malici maliciosos. osos. Cualqui Cualquier er cosa desde una sobretensión transitoria como a una ventana abierta, fumar o una taza de café derramada, los ratones o las hormigas, chiripas y cucarachas puede conducirte a una situación en la cual todos tus datos se pierdan y no seas capaz de utilizar tu computadora. Una evaluación del riesgo, un consistente esfuerzo para mantener una computadora sin problemas y una política de seguridad evitan desastres.
2.1 Evalúa tus riesgos Muchas organizaciones subestiman la importancia de mantener seguras sus oficinas y su equipamiento físico. Como resultado de ello, a menudo carecen de una clar clara a polí políti tica ca que que de desc scri riba ba qu que e me medi dida dass debe deben n to toma mars rse e para para prot proteg eger er las las comp comput utad ador oras as y lo loss di dispo sposi siti tivo voss de al alma mace cena nami mien ento to de resp respal aldo doss de robo robos, s, condiciones climáticas extremas, accidentes, y otras amenazas físicas. La im impo port rtan anci cia a de di dich chas as po polílíti tica cass pare parece ce obvi obvia, a, pero pero el fo form rmul ular arla lass adecua ade cuadam dament ente e es más com compli plicad cado o de lo que par parece ece.. Muc Muchas has orga organiz nizaci acione oness tienen buenas cerraduras en las puertas de sus oficinas — e incluso tienen sus ventanas aseguradas — pero no prestan atención al número de llaves de esas puertas y quienes las tienen, su información importante es vulnerable. ◦
◦
◦
Cuando Cuan do ev eval alúe úess lo loss ries riesgo goss y las las vuln vulner erab abililid idad ades es que que tú y tu organización afrontan, calcula varios niveles diferentes en los que tus datos pueden estar amenazados. Considera los canales de comunicación que usas y cómo lo haces. incluye cartas físicas, faxes, teléfonos fijos, teléfonos móviles, correos electrónicos y mensajes a través de Skype. Considera cómo almacenas información importante. Los discos duros de las computadoras, los correos electrónicos y los servidores web, los pendrive USB, los discos duros externos con conexión USB, los CD y DVD,
32
los celulares, el papel impreso y notas manuscritas. ◦
Considera Consi dera donde están ubicad ubicados os físi físicamen camente te estos artículo artículos. s. Puede Pueden n estar en la oficina, en la casa, en un bote de basura afuera o, en forma creciente, 'en algún lugar de la Internet.' En este último caso, sería todo un reto determinar la ubicación física actual de una pieza particular de información.
Ten en cuent cuenta a que la mism misma a pieza de inform información ación podría ser vulnerable en distintos niveles. De la misma manera en como confías en un software antivirus para proteger los contenidos de un pen-drive USB de software malicioso (malware), así debes confiar en un plan de seguridad física detallado para proteger la información de robo, perdida o destrucción. Algunas prácticas de seguridad, como una buena política de mantener respaldos en un banco, son útiles contra amenazas digitales y físicas, otras son más específicas. Cuando decides llevar tu pen-drive USB en el bolsillo o en una bolsa plástica al fondo de tu maletín, tomas una decisión de seguridad física, aún cuando la información que tratas de proteger sea digital. Como es normal, la política correcta depende en gran parte de la situación. ¿Estás caminando a través de un pueblo o a través de una frontera? ¿Alguien está cargando tu bolso o maletín? ¿Está lloviendo? Preguntas a tener en cuenta cuando tomes una decisión como esta.
2.2 Protege tu información de intrusos físicos Los Los in indi divi vidu duos os ma malilici cios osos os que que bu busc scan an te tene nerr acce acceso so a tu info inform rmac ació ión n representan una clasefísica importante de amenaza Sería unpero errorsería asumir ésta es la única amenaza a la seguridad de tufísica. información, aúnque peor el ignorarla. Existen varios pasos que puedes tomar para ayudar a reducir el riesgo de intrusión física. Las categorías y sugerencias que se presentan a continuación, muchas de las cuales pueden funcionar tanto para tu domicilio como para tu oficina, representan una base sobre la cual puedes desarrollar otras de acuerdo a tu particular situación de seguridad física.
2.2.1 Alrededor Alrededor de la Oficina ◦
Conoce Conoc e a tus vecino vecinos. s. Dependien Dependiendo do del clima de seguridad en tu país y
33
en tu vecindario, una de dos cosas puede ser posibles. Ya sea que, puedas volverlos quede te ayudarán cuidar tu oficina, personas que debes añadiraliados a tu lista amenazasa potenciales y de olas cuales debes ocuparte en tu plan de seguridad. ◦
◦
◦
Revisa como proteges proteges tus puertas, ventanas y otros puntos de entrada a tu oficina. Considera instalar una cámara de vigilancia o una alarma con sensor de movimiento. Trata de crear un área de recepción, donde los visitantes sean atendidos antes de ingresar a la oficina, y una sala de reuniones separada de los espacios de trabajo.
2.2.2 En la Oficina ◦
◦
◦
Protege los cables de red haciéndolos pasar por dentro de la oficina. Mantén bajo clave los dispositivos de red como servidores, enrutadores, interruptor inter ruptores, es, conce concentrad ntradores, ores, y módem en habita habitaciones ciones o gabine gabinetes tes seguros. Un intruso con acceso físico a dicho equipo puede instalar softw sof tware are mal malici icioso oso cap capaz az de rob robar ar dat datos os en trá tránsi nsito to o ata atacar car otr otras as com ompu puta tado dora rass en la re red d in incl clus uso o desp despué uéss de ir irse se.. En cier cierta tass circunstancias es preferible esconder los servidores, computadoras y otro eq equi uipo po en át átic icos os,, en ci cielo elo-r -ras asos os fa fals lsos os,, o incl inclus uso o co con n un veci vecino no,, y utilizarlos a través de una conexión inalámbrica. Si tienes una red WiFi, asegura los punto de acceso de modo que los intrusos no puedan unirse a tu red o vigilar tu tráfico. Si utilizas una red inalám ina lámbri brica ca ins insegu egura, ra, cua cualqui lquiera era con una com comput putado adora ra por portát tátilil en tu vecindario se convierte en un intruso potencial. Es una definición inusual de riesgo 'físico,' pero ayuda el considerar que un individuo malicioso que pueda vigilar tu red inalámbrica tiene el mismo acceso que uno que pueda ingresar furtivamente en tu oficina y conectar un cable Ethernet. Lo Loss pa paso soss nece necesa sari rios os pa para ra aseg asegur urar ar una una red red inal inalám ámbr bric ica a varí varían an,, dependiendo de tu punto de acceso, tu hardware y software.
34
2.2.3 En tu área de trabajo Ubica con cuidado la pantalla de tu computadora, tanto en tu escritorio como fuera de la oficina, con el fin de evitar que otros lean lo que ella muestra. En la oficina, considera la ubicación de ventanas, puertas abiertas y el área de espera de los invitados, si es que cuentas con una. La mayoría de las torres de las computadoras de escritorio tiene una ranura donde puedes colocar un candado que impedirá a alguien sin una clave tener acceso a su interior. interior. Si tienes estas ttorres orres en la oficina, coloca candados de modo que los intrusos no puedan alterar el hardware interno. Esta característica debe ser considerada al momento de comprar nuevas computadoras. Utiliza un cable de seguridad de cierre, cuando sea posible, para evitar que intrusos roben las computadoras. Es importante para computadoras portátiles y tabletas o teléfonos que pueden ser escondidos en una bolsa o bajo un abrigo.
2.3 Software y configuraciones relacionadas relacionadas a la seguridad física Asegúrate que cuando reinicies tu computadora, solicite una contraseña antes de ejecutar un software y acceder a archivos. Si no lo hace, habilita esta opción en Windows haciendo clic en el Menú de Inicio, Configuración, seleccionar el Panel de Control, y doble clic en Cuentas de Usuario. En la pantalla de Cuentas de Usuario, selecciona tu cuenta y haz clic en Crear una Contraseña. Elige una contraseña segura como se aborda en el capítulo 3. Existen opciones en el BIOS de tu computadora para la seguridad física. Primero, configur Primero, configura a tu computador computadora a de modo que no arranq arranque ue desde un dispositiv dispositivo o USB, CD-ROM o DVD. Segundo, fija una contraseña en el BIOS, de modo que un intruso no pueda cambiar la configuración previa. Nuevamente, asegúrate de elegir una contraseña segura. Si confías en una base de datos de contraseñas seguras, ver capítulo 3, para alma almace cena narr tu tuss cont contra rase seña ñass de Wi Wind ndow owss o del del BIOS BIOS de una una comp comput utad ador ora a en particular,, no guardes una única copia de la base de datos en dicha computadora. particular Adqui dquier ere e el hábi hábito to de ce cerr rrar ar tu cuen cuenta ta ca cada da vez vez que que te alej alejes es de tu computadora. En Windows, puedes hacer esto manteniendo presionada la tecla con el logo de Windows y presionando la tecla L. Ello sólo funcionará si has creado una
35
contraseña para tu cuenta, como se describió anteriormente. Cifra Cif ra la inform informaci ación ón imp import ortant ante e en tus com comput putado adoras ras y dis dispos positi itivos vos de almacenamiento en tu oficina. Ver capítulo 4.
2.4 Dispositivos Portátiles Mantén tu com Mantén comput putado adora ra por portát tátil, il, tu teléfo teléfono no móv móvilil y otr otros os dis disposi positiv tivos os port portát átililes es qu que e cont conten enga gan n in info form rmac ació ión n im impo port rtan ante te to todo do el ti tiem empo po co cont ntig igo, o, especialmen espec ialmente te si viaja viajass o te alojas en un hotel hotel.. El viaja viajarr con un cable de segur seguridad idad para computadora portátil es una buena idea, aunque a veces es difícil encontrar un obje objeto to apro apropi piado ado al cual cual fi fija jarlo rlo.. Recu Recuer erda da que que las las horas horas de las las comi comida dass son son aprovechada aprove chadass por los ladron ladrones, es, que han aprendido a revisar revisar habitacione habitacioness de hotel en busca de computadoras portátiles durante las horas del día cuando están sin vigilancia, o si tienes la costumbre de colocar tu laptop o celular encima de la mesa o una silla, hay ladrones que son campeones olímpicos corriendo con tus aparatos. Si tienes una computadora portátil o dispositivo móvil, evita ponerlos a vista de todos. No hay necesidad de mostrar a los ladrones que llevas valioso hardware o mostrar a los individuos que desean acceder a tus datos que tu mochila contiene un disco duro lleno de información. Evita usar tus dispositivos portátiles en áreas públicas, y considera llevar tu computadora portátil en algo que no se vea como una bolsa para computadoras portátiles.
2.5 Mantener un ambiente sano para el hardware de tu computadora
Como muchos dispositivos electrónicos, las computadoras son importantes. No se llevan bien con suministros eléctricos inestables, temperaturas extremas, polvo, alto grado de humedad o esfuerzo mecánico. Existen muchas cosas que hacer para proteger a tu computadora y equipo de red de dichas amenazas: Los problemas eléctricos como sobrecargas de energía, apagones y bajas de tensión causan daño físico a una computadora. Estas irregularidades pueden 'arruinar' 'arru inar' tu disco duro, dañar la infor informació mación n que contiene, o dañar físic físicamente amente los componentes eléctricos en tu computadora. Si puedes puedes,, debes instalar dispo dispositiv sitivos os de Corri Corriente ente Eléc Eléctrica trica Ininterru Ininterrumpida mpida
36
(UPS) a las computadoras de tu oficina. Un UPS estabiliza el suministro eléctrico y provee energía temporal en caso de apagón. Incl Inclus uso o pued puedes es pr prop opor orci cion onar ar fi filtltro ross de ener energí gía a o prot protec ecto tore ress co cont ntra ra sobre sobrete tens nsió ión, n, regl reglet etas as o prot protec ecto tore ress de corr corrie ient nte, e, re regu gula lado dore ress de corr corrien iente te cualquiera de los cuales ayudará a proteger tus equipos de sobrecargas de energía. Prueba tu red eléctrica antes de conectar equipos importantes a ella. Usa enchufes enchu fes que tengan tres ranuras, una de ellas 'a tierr tierra.' a.' Y Y,, si es posibl posible, e, toma un día o dos para ver cómo se comporta el sistema eléctrico en una nueva oficina con lámparas y ventiladores, antes de poner tus computadoras en riesgo. Para protegerse contra los accidentes en general, evita colocar hardware en pasillos, áreas de recepción, u otras ubicaciones de fácil acceso. Los UPS, filtros de ener energí gía, a, pr prot otec ecto tore ress cont contra ra sobr sobret eten ensi sión ón,, re regl glet etas as y cabl cables es de exte extens nsió ión n — particularmente aquellos conectados a los servidores y al equipo en red — deben estar ubicados donde no puedan ser apagados por accidente. Si tienes acceso a cables de computadora, regletas y extensiones de alta calidad, debes comprar suficientes para servir a la oficina y contar con algunos extras. Las regletas que se desprenden de los enchufes de las paredes y producen chis chispa pass pu pued eden en ser ser muy perj perjud udic icia iales les para para la segu seguri rida dad d fí físi sica ca de cualq cualqui uier er computadora que esté conectada a este. Ello conduce a que usuarios frustrados aseguren sus cables sueltos a las regletas utilizando cinta adhesiva, lo cual crea un obvio peligro de incendio. Si mantienes alguna de tus computadoras dentro de un gabinete, verifica que tengan ventilación adecuada, porque se pueden sobrecalentar. El equipo de comput computación ación no debe ser ubicad ubicado o cerca de radiad radiadores, ores, rejilla rejillass de la calefacción, aire acondicionado u otros mecanismos con conductos.
2.6 Crear tu política de seguridad física Una vez Una vez evalu evaluad adas as la lass am amen enaz azas as y las las vuln vulner erab abililid idade adess que que tú y tu organización afrontan, considera los pasos a tomar para mejorar en seguridad física. Cr Crea ea una una po polílíti tica ca de se segu guri rida dad d de deta tallllad ada a poni ponien endo do por por escr escritito o los los paso pasos. s. El documento resultante sirve como una guía general para ti, tus colegas y cualquier persona nueva en tu organización. Este documento debe proporcionar una lista de
37
verificación de acciones a ser tomadas en caso de una emergencia de seguridad físi fí sica ca. . entarl Los Loarlo s oin invo volu crad ados os debe deben nasto toma mars rse e el tiem empo podad. nece ne sari rio oién,,para padeb ra en leer leerlo lo,, implem imp lement y lucr cum cumpli plir r con est estas norm normas as de ti seg seguri uridad . cesa Tamb ambién deben ser alentados a preguntar y proponer sugerencias de cómo mejorar el documento. Tu po polí líti tica ca de se segu guri rida dad d físi física ca pued puede e cont conten ener er va vari rias as se secc ccio ione nes, s, dependiendo de las circunstancias: ◦
◦
◦
◦
Forma de ingreso a la oficina según los sistemas de alarma, número de Forma llllav aves es exis existe ten n y quie quiene ness la lass ti tien enen en,, que que hace hacerr cuan cuando do se admi admite ten n invitados en la oficina, quienes tienen el contrato de limpieza y otros asuntos pertinentes Lugares de la oficina restringidos a visitantes autorizados. Un in inve vent ntari ario o de tu eq equi uipo po,, in incl cluy uyend endo o los los núme número ross de se seri rie e y las las descripciones físicas. Disposición segura de papeles que contengan información importante.
Procedimientos de emergencia relacionados a: ◦
◦
◦
◦
◦
A quién notificar en caso que información sea revelada o extraviada. A quién con contac tactar tar en cas caso o de inc incendi endio, o, inu inunda ndació ción, n, u otr otro o des desast astre re natural. Cómo ejecutar ciertas reparaciones de emergencia. Cómo contactar a las compañías u organizaciones que proporcionan servicios como energía eléctrica, agua y acceso a Internet. Cómo recuperar información de tu sistema de respaldo externo. Ver capítulo 5.
Tu política de seguridad debe ser revisada y modificada periódicamente para reflejar cualquier cambio en ella desde la última revisión. Y no olvides respaldar tu documento de política de seguridad junto con el resto de tus datos importantes.
38
3. Crear y mantener contraseñas seguras
Muchos Much os de lo loss serv servic icio ioss in info form rmát átic icos os que que usam usamos os para para los los nego negoci cios os importantes, desde ingresar a nuestras computadoras y enviar correos electrónicos, transferencias bancarias hasta cifrar y esconder datos, requieren una contraseña. Estas palabras secretas, frases o secuencias en auténtica confusión proporcionan la primera, y a veces la única, barrera entre tu información y cualquiera que pudiera leerla, copiarla, modificarla o destruirla sin permiso. Existen maneras por las cuales alguien descubre tus contraseñas, pero te puedes defender de ellas aplicando ciertas tácticas para una base de datos de contraseñas seguras, como el KeePass 3. Si utilizas Internet necesitas un programa como Keepass Password Safe, éste ést e se enc encarg arga a de 'me 'memor moriza izar' r' tus con contra traseñ señas, as, cla clasif sificá icándo ndolas las en div divers ersas as categorías y protegiéndolas de hackers con importantes medidas de seguridad.
Puedes proteger el acceso a Keepass Password Safe con contraseña o bien utilizar el archivo clave que se crea desde el programa. Si lo creas, para acceder a tus tus clav claves es en Ke Keep epas asss Pa Pass sswo word rd Sa Safe fe será serán n nece necesa sari rias as am amba bass co cosa sas: s: tu contraseña y el archivo clave. Tabla 3: Tabla de pro y contra de claves informáticas seguras Pros • •
Contras
Autotecleado de las contraseñas Personalización total de campos e
•
Las traducciones no están incluidas en el instalador
• •
•
•
•
3 4
iconos Generador de contraseñas completísimo Caducidad de claves con calendario Opciones de gestión de la base de datos Sistema de plugins4
No se integra con los navegadores
http:/ http://ke /keepa epassss-pas passwo swordrd-saf safe.s e.soft oftoni onic.c c.com/ om/ Un Plugin Plugin es un programa programa que que puede puede anexarse anexarse a otro otro para aument aumentar ar sus funcio funcionalid nalidades. ades.
39
3.1 Seleccionar y mantener contraseñas seguras Cuando protegues algo, lo cierras con una clave. Las cerraduras de las casas, automóviles y bicicletas tienen llaves físicas; los archivos protegidos tienen llaves de cifrado; las tarjetas bancarias tiene números PIN, los celulares tienen PUK y PIN; y las cuentas de correo electrónico tienen contraseñas. T Todas odas estas llaves, en forma literal y metafórica, tienen una cosa en común: abren sus cerraduras con la misma eficacia en manos de otra persona. Puedes instalar cortafuegos avanzados, cuentas de correo electrónico seguras, y discos cifrados, pero si tu contraseña es débil, o si dejas que caiga en las manos equivocadas, ello no te hará bien.
3.1.1 Elementos de una contraseña sólida A. A.-- Un Una a cont contra rase seña ña de debe be se serr di difí fíci cill de adi adivi vina narr para para un prog progra rama ma de computadora.
Debe ser larga : Cuanto más larga es la contraseña es menos probable que sea adivinada por un progra programa ma de compu computadora tadora en un tiempo razonable. Tr Trata ata de crear contraseñas que incluyan diez o más caracteres. Algunas personas utilizan contraseñas que contienen más de una palabra, con o sin espacios, las cuales son llamadas frases contraseña. Es una buena idea, en la medida que el programa o servicio que utilices te permita elegir contraseñas largas. Debe se Debe serr com compl pleja eja : Ademá demáss de ser ser exte extens nsa, a, la co comp mple lejijida dad d de una una contraseña ayuda a evitar que el software automático de 'descifrado de contraseñas' adivine la correcta combinación de caracteres. Donde sea posible, siempre incluye en tu contraseña letras en mayúsculas, en minúsculas, números, y símbolos como signos de puntuación. B.- Una contraseña difícil de descifrar para otros.
Debe ser práctica : Si has escrito, en un papel, tu contraseña debido a que no puede puedess reco record rdar arla la,, po podr dría íass te term rmin inar ar to topa pando ndo una una comp comple leta tame ment nte e nuev nueva a categoría de amenazas que te dejaría vulnerable ante cualquiera con una clara vista de tu escritorio o acceso temporal a tu domicilio, tu billetera, o incluso el bote de basura fuera de tu oficina. Si no puedes generar una contraseña larga y compleja pero a la vez fácil de recordar, la sección Recordar y registrar contraseñas seguras será de ayuda. Si debes escoger una clave segura, necesitas registrarla en una
40
base de datos de contraseñas como KeePass. Los documentos de Microsoft Word, protegidos contraseña, debe confiados para este ya libre que pueden pue den serpor des descif cifrad rados os en no seg segund undos osser uti utiliz lizando ando her herram ramien ientas tas propósito, que son de lib re acceso en Internet.
No debe ser personal : Tu contraseña no debe estar relacionada a ti de manera personal. No elijas una palabra o frase como tu nombre, número de seguridad social, número de teléfono, nombre de tu esposa, novia y/o hijo(a), nombre de tu mascota, fecha de nacimiento, número de cédula o cualquier otra cosa que una persona podría descubrir haciendo una pequeña investigación sobre ti. Debe mantenerse secreta : No compartas tu contraseña a menos que sea necesario. Y, si debes compartirla; primero, cambiala por una contraseña temporal, la co comp mpar arte tes, s, y lue luego go la camb cambia iass cuan cuando do la pers person ona a la haya haya ut utililiz izad ado. o. Un Una a alternativa para compartir una contraseña es crear una cuenta separada para quien necesite acceso. El mantener tu contraseña secreta implica poner atención a quién podría estar observando cuando la ingresas o la buscas en una base de datos de contraseñas. Una contraseña debe ser asignada de modo que se minimice el daño si alguien la descubre.
Hazla única : Evita usar la misma contraseña para más de una cuenta. De otro modo, cualquiera que la descubra tiene acceso a mas información tuya. Esto porque ciertos servicios servicios hacen relativam relativamente ente simpl simple e descif descifrar rar tu contr contraseña. aseña. Si utilizas la misma contraseña para tu cuenta en Windows y para tu cuenta de Gmail, alguien con acceso físico a tu computadora puede descifrar la primera y utilizarla para para acce accede derr a la segu segund nda. a. Tam ambi bién én,, es ma mala la idea idea el rota rotarr co cont ntra rase seña ñass intercambiándolas entre diferentes cuentas. Mantenerla siempre nueva : Cambia tu contraseña de manera regular, una Mantenerla vez vez cada cada tres tres me mese ses. s. Al Algu gunas nas pers person onas as son son apega apegada dass a una una cont contra rase seña ña en particular y nunca la cambian. Es mala idea. Cuanto más tiempo mantienes una contraseña, mayor oportunidad existe de que otros la descubran. Además, si alguien te roba tu contraseña, puede acceder a tu información y servicios sin que lo sepas, y continuará haciéndolo hasta que la cambias. C.- Recordar y registrar contraseñas seguras.
41
Examinando las sugerencias dadas, te preguntas cómo alguien sin memoria fotográfica puede estar al tantoeldeutilizar contraseñas largas, complejas y sin sentido, tener que escribirlas. Además, diferentes contraseñas para cada cuentasin lo hace difícil. Existen algunos trucos que te ayudan a crear contraseñas que son fáciles de recordar pero difíciles de adivinar, incluso para una persona inteligente utilizando un programa avanzado de 'descifrado de contraseñas'. Recordar que tienes la opción de registrar reg istrar tus contraseñas utilizando KeePass. D.- Recordar contraseñas seguras Es imp import ortant ante e uti utiliz lizar ar dife diferen rentes tes tip tipos os de car caract actere eress5 cuando cuando elija elijass una contraseña. Esto se puede realizar de distintas maneras: ◦
Utilizando mayúsculas y minúsculas, como: 'Mi nomBRE NO es SR.
◦
MarSter?' Intercalando números y letras, como: 'a11 w0Rk 4nD N0 p14Y'
◦
Incorporando ciertos símbolos, como: 'c@t(heR1nthery3'
◦
Util Utiliz izan ando do di dife feren rente tess id idio ioma mas, s, como como:: 'L 'Let et Th Them em Ea Eatt 1e gate gateaU aU du ch()colaT'
Estos métod Estos métodos os ayudan a increme incrementar ntar la comple complejidad jidad de una contras contraseña. eña. Aunque, esto no hace fácil de recordar una contraseña normal, pero te permiten elegir una contraseña sin tener que memorizarla por completo. Algunas de las sustituciones más comunes (como cero en vez de una 'o' o el símbolo '@' en lugar de 'a') fueron incorporadas en las herramientas de descifrado de contraseñas, pero aún son todavía una buena idea. Éstas, incrementan la cantidad de tiempo que dichass herram dicha herramientas ientas requerir requerirían ían para descubrir la contraseña contraseña y, en las situa situacione cioness más comunes en las que herramientas de esta clase no pueden ser utilizadas, evitas las afortunadas adivinanzas. Las con contra traseñ señas as apro aprovec vechan han las ven ventaj tajas as de cód código igoss mne mnemot motécn écnico icoss tradicionales, como el uso de acrónimos. Lo que hace que largas frases se vuelvan en palabras complejas y aleatorias: ◦
5
'¿Ser o no ser? Esa es la pregunta' se convierte en 'So-S?ElaP'
Los caracte caracteres res permitid permitidos os no deben deben ser aquellos aquellos que que facilit facilitan an las inyecc inyeccione ioness sql.
42
◦
'Sostenemos como evidentes por sí mismas dichas verdades: que todos
◦
los hombres son creados iguales' se convierte en 'Scepsmdv:q’thsc=s' '¿Estás feliz hoy?' se convierte en 'tas:-)h0y?'
Estos son unos ejemplos para desarrollar tu propio método de cifrar palabras y frases para hacerlas simultáneamente complejas y memorables. Un poco de esfuerzo en hacer que una contraseña sea compleja es eficaz. Incrementar la longitud de una contraseña, en pocos caracteres, la hace difícil de descifrar. La tabla siguiente muestra cuanto tiempo tarda un hacker en descifrar contraseñas parecidas pero cada vez más complejas. Ver tabla 4.
Tabla 4: Tabla de Tiempo de descifrado Contraseña
bananas bananalemonade BananaLemonade B4n4n4L3m0n4d3 We Have No Bananas W3 H4v3 N0 B4n4n45
computadora normal
computadora rápida
Menos de 1 día 2 días 3 meses, 14 días 3 siglos, 4 décadas 19151466 siglos 20210213722742 siglos
Menos de 1 día Menos de 1 día Menos de 1 día mes, 26 días 3990 siglos 4210461192 siglos
Desde Desd e lu lueg ego, o, el ti tiem empo po qu que e es ta tard rda a en desc descif ifra rarr cual cualqu quie ierr de las las contraseñas mencionadas varía mucho, dependiendo de la naturaleza del ataque, y los rec recurs ursos os dis dispon ponibl ibles es del ata atacan cante. te. Au Aunqu nque, e, nue nuevos vos mét método odoss par para a des descif cifrar rar cont contra rase señas ñas son son desc descub ubie iert rtos os di diar aria iame ment nte. e. El ejem ejemplo plo demu demues estr tra a como como las las contraseñas son difíciles de descifrar agregando caracteres y utilizar dos palabras o una frase corta. Los datos de la tabla están basadas en cálculos de Passfault. Éste, es un sitio web para probar la seguridad de tus contraseñas. Estos recursos demuestran la eficiencia de diferentes tipos de contraseñas, sin embargo no debes introducir tus verdaderas contraseñas en estas páginas. E.- Registrar contraseñas de forma segura Un poco de creatividad te hará recordar tus contraseñas, la necesidad de cambiarlas periódicamente significa que pronto se te acaba la creatividad. Como alternativa, puedes generar contraseñas aleatorias y seguras para la mayoría de tus
43
cuentas y dedicarte a recordarlas todas. En lugar de ello, puedes registrarlas en KeePass. Si utilizas este método, debes crear y recordar una contraseña para el KeeP Ke ePas ass, s, o pa para ra la he herr rram amien ienta ta que que eli elijas jas.. Cuan Cuando do nece necesi site tess ingr ingres esar ar una una contraseña para una cuenta específica, la encuentras con tu contraseña maestra, lo cual hace fácil seguir las sugerencias anteriores. KeePass es también portátil, lo que significa que puedes colocar tu base de datos en un pen-drive USB para buscar contraseñas cuando estás lejos de tu computadora principal. Aunque es la mejor opción para cualquiera que tenga que mantener un gran número de cuenta cuentas, s, existen algunos incon inconvenien venientes tes para este método. Primero Primero,, si pierdes o borras tu única copia de tu base de datos de contraseñas, no tendrás acceso a tus cuentas de las cuales esta tenía la contraseña. Es importante que hagas un respaldo de tu base de datos KeePass. Revisa el capítulo 5. El hecho que tu base de datos esté cifrada significa que no tienes que entrar en pánico si pierdes tu pen-drive USB o una unidad de respaldo que contenga una copia de este. El segundo inconveniente es importante. Si olvidas tu contraseña maestra de KeePass, no existe un modo de recuperación o recuperar los contenidos de tu base de datos. Por tanto, ¡asegúrate de elegir una contraseña maestra que sea tanto segura como recordable!
44
4. Proteger los archivos en tu computadora
El acceso no autorizado a la información en tu computadora o dispositivo de almacenamiento portátil puede llevarse a cabo de manera remota, si y sólo si, el 'intruso' es capaz de leer o modificar tus datos a través de la Internet, o físicamente, si se conecta con tu hardware. Puedes protegerte de cualquiera de estas amenazas mejorando la seguridad física y de la red de tu datos. V Ver er capítulo 1 y capítulo 2. Es conveniente tener varios niveles de defensa, razón por la cual debes proteger tus archivos. De esta manera, tu información se mantiene a salvo incluso si tus políticas en seguridad resultan ser inadecuadas. ina decuadas. Existen dos enfoques generales para dar seguridad a tus datos en esta forma: forma : a)esconderlos puedes cifra cifrarconfiando r tus archivos archivos, haciéndolos ilegibl ilegibles esincapaz a cualqu cualquiera ieraencontrar que no sea tú, y b) en ,que un intruso será de tu información. Existen herramientas para estos enfoques, como la aplicación de Software Libre y de Código Abierto (FOSS) llamada TrueCry TrueCrypt pt6, que cifra tus archivos. Truecrypt 7, si bien dispone de variados algoritmos, utiliza por defecto el algoritmo AES AES (1998), el cual se estandarizó en 2002. Fue recomendado por la NSA por su robustez para proteger los datos de la administración de Estados Unidos. Al día de hoy no se conoce (al menos la gente común) alguna vulnerabilidad sobre la versión de 256bits, por lo que es imposible de romper, de ahí que el FBI emplease un ataque por diccionario para probar muchas claves posibles. Contra esto,, si tienes una buena clave o un buen keyf esto keyfile, ile, te puede llevar años o siglos dar con la clave correcta. Según este autor, el mérito es del algoritmo y de la clave robusta que empleó para cifrar, no de Truecrypt, Truecrypt, que sólo hace uso de ese algoritmo, entre otros. De Truecrypt destacan varios puntos: tiene varios algoritmos de cifrado, posibilidad de cifrar en cascada (primero AES, luego Serpent, etc), volúmenes ocultos, cifrado de disco completo, discos cifrados portables, keyfiles... y un buen 6 7
Alternati Alternativas vas libre libress a Truecry Truecrypt pt son: son: encfs, encfs, ecryptf ecryptfs, s, dm-cry dm-crypt. pt. Es un un progr programa ama de grat gratuit uitoo y de código código abi abier erto to
45
uso de esos algoritmos. Es un buen programa, pero insisto en que el mérito es del algoritmo y de la clave más que del programa. TrueCrypt te permite dos contraseñas: una muestras datos ficticios (que pueden parecer tan privados como los otros) y la otra, los datos que realmente te int intere eresa sa esc escond onder er.. Las dis distri tribuc bucion iones es Linu Linuxx tienen tienen sis sistem temas as de cif cifrad rado o pot potent ente e equivalente equiv alentess a TrueCry TrueCrypt pt que son amplia ampliamente mente utiliz utilizadas adas en todo tipo de entornos corporativos para protección de datos. LUKS (de Linux Unified Key Setup) es una especificación de cifrado de disco destin des tinado ado par para a Lin Linux. ux. Mie Mientr ntras as la may mayorí oría a del sof softwa tware re de cifrad cifrado o de dis discos cos impl implem emen enta tan n di dife fere rent ntes es e in inco comp mpat atib ible less fo form rmat atos os no docu docume ment ntad ados os,, LU LUKS KS especifica un formato estándar en disco, independiente de la plataforma, para usar en varias herramientas. Esto facilita la compatibilidad y la interoperabilidad entre los dife difere rent ntes es prog progra rama mass y ga gara rant ntiz iza a que que to todo doss im impl plem emen ente ten n una una gest gestió ión n de contraseñas seguras, en un único lugar y documentada. LUKS se basa en una versión mejorada de cryptsetup, utilizando dm-crypt como la interfaz de cifrado de disco. En Microsoft Windows, los discos cifrados con LUKS pueden ser utilizados con FreeOTFE. Programa diseñado para ajustarse a la clave de configuración TKS1 de sistema seguro. En la página oficial de Truecrypt se recomienda... ¡migrar a Bitlocker! (el cifr cifrad ado o nati nativo vo de Wi Wind ndow owss 7/ 7/8 8 qu que e no es Op Open en So Sour urce ce ni perm permitite e nega negaci ción ón plausible). El motivo que se argumenta es que estando fuera de soporte Windows XP,, su softw XP software are ya no tiene sentido, y puede tener vulner vulnerabili abilidades. dades. Ade Además, más, han liberado una nueva versión, que permite descifrar, pero no cifrar. cifrar. Reemplazos a TrueCrypt en Windows DiskCryptor parece ser “el” reemplazo ideal para TrueCrypt si evaluamos detall det alles es esp especí ecífic ficos os com como o su interf interfaz, az, el pro proces ceso o de cifrad cifrado, o, las opc opcion iones es de protección disponibles y el soporte para cifrar particiones de sistema. Es espartano, sin embargo, nadie espera lujos estéticos en un software de esta clase. AES Crypt simplifica el proceso de cifrado. Esto significa que no trabaja con particiones enteras. Si lo que necesitas es cifrar archivos individuales, has click con el botón secundario sobre el archivo, y asigna una contraseña. El resto se reduce a borrar el original en forma segura, y distribuir o respaldar los archivos con extensión
46
AES. Equiv Eq uivale alente nte a AE AES S Cry Crypt, pt, Clo Cloudf udfogg ogger er red reduce uce la com comple plejid jidad ad de cif cifrar rar archivos. Como lo indica su nombre, el software está orientado a visitantes que hacen respaldos periódicos en la nube, al estilo de Dropbox. Tant anto o Dis DiskCr kCryp yptor tor com como o AE AES S Cry Crypt pt son sof softw tware are libre libre8, mi mien entr tras as que que 9 Cloudfogger es freeware . El orden en el que presento a estos aplicaciones no es necesariamente el orden de recomendación. La transición será rápida para aquellos que utilicen DiskCryptor, y pese a que las otras dos opciones son mas sencillas (lo que se traduce en un ahorro de tiempo importante) eso no quiere decir que resulten menos seguras.
4.1 Cifrar tu información
El cifrar tu información es mantenerla encerrada en una caja fuerte. Sólo los que tengan la clave o combinación de la cerradura acceden a ella. La analogía es apro apropi piad ada a pa para ra el TrueC rueCry rypt pt y he herr rram amie ient ntas as simi simila lare res, s, las las cual cuales es cr crea ean n contenedores llamados 'volúmenes cifrados' en vez de simplemente proteger un archivo a la vez. Puedes poner muchos archivos dentro de un volumen cifrado, pero estas herramientas no protegerán los archivos almacenados en otro lugar en tu computadora o en tu pen-drive USB. Adicional Adicio nalmen mente, te, TrueC TrueCryp ryptt tiene tiene var varias ias car caract acterí erísti sticas cas imp import ortant antes es par para a diseñar tu estrategia de seguridad informática. informática. Da la posibilidad de encriptar todo el disc disco o de tu comp comput utad ador ora a in incl cluy uyen endo do to todo doss tu tuss arch archiv ivos os,, to todo doss tu tuss arch archiv ivos os temporales tempo rales creados durante tu trabaj trabajo, o, todos los programas que hayas instala instalado do y todos los archivos del sistema operativo. TrueCrypt proporciona respaldo para llevar volúmenes cifrados en dispositivos portátiles de almacenamiento. Y provee la opción de 'denegación' descrita en la sección Ocultar tu información importante.
4.1.1 Consejos para utilizar el cifrado de archivos de manera segura Almacenar datos confidenciales puede ser un riesgo para ti y para las 8 9
El término término Open Open Source Source o código código abierto abierto se refiere refiere al al software software que permi permite te el acceso acceso a su código código fuente, lo que permite a otros usuarios modificar el software a su medida o aportar los fallos a su desarrollador para que los solucione. El término término Freewa Freeware re quiere quiere decir decir software software gratis, gratis, pero pero ojo que que no es lo mismo mismo que que libre. libre.
47
personas con quienes trabajas. El cifrado reduce el riesgo pero no lo elimina. El primer paso para proteger información es el reducir cuanto de ella mantienes a tu alrededor. A menos que tengas una buena razón para almacenar un archivo en partic par ticular ular,, o una cat catego egoría ría par partic ticula ularr de inf inform ormaci ación ón den dentro tro de un arc archiv hivo, o, tú simplemente simpl emente debes borrarla (ver capítulo 6) El segundo paso es utilizar una buena herramienta de cifrado de archivos, como el TrueCrypt. Regresando a la analogía de la caja fuerte cerrada, hay algunas cosas que debes tener en cuenta cuando utilices TrueCrypt u otras herramientas similares. No importa cuán robusta sea la caja fuerte, no te hará mucho bien si dejas la puerta abierta. Cuando tu volumen TrueCrypt está 'montado' (el momento en que puedes acceder a su contenido), tus datos pueden ser vulnerables, de modo que debe mantenerse cerrado excepto cuando estás, ciertamente, leyendo o modificando los archivos dentro de este. Existen situaciones para no dejar montado tu volumen cifrado: ◦
◦
◦
◦
Desconéctalo cuando te alejes de tu computadora por cualquier lapso de tiempo tiempo.. Si deja dejass tu com comput putado adora ra fun funcio cionand nando o tod toda a la noc noche, he, deb debes es asegur ase gurart arte e de no dej dejar ar tus arc archiv hivos os acc accesi esible bless a int intrus rusos os fís físico icoss o remotos mientras estás ausente. Desconéctalo antes de poner tu computadora a dormir. Esto se aplica a las opciones de 'suspendid 'suspendido' o' e 'hibe 'hibernació rnación', n', las cuale cualess son usadas con las computadoras portátiles pero que también estan presentes en las computadoras de escritorio. Desconéctalo antes de que alguien maneje tu computadora. Cuando pases tu computadora portátil a través de un control de seguridad o frontera, es importante que desconectes los volúmenes cifrados y que apagues completamente tu computadora. Desconéctalo antes de insertar un pen-drive USB no confiable u otro dispositivo de almacenamiento externo, incluyendo los que pertenezcan a tus amigos y colegas.
Si mantienes un volumen cifrado en un pen-drive USB o memoria SD, recuer rec uerda da que el rem remove overr el dis dispos positi itivo vo no lo des descon conect ecta a inm inmedi ediata atamen mente. te. Si nece necesi sita tass ma mant nten ener er segu seguro ross tu tuss archi archivo voss cuan cuando do está estáss apur apurad ado o ti tien enes es que que
48
desmontar el volumen de forma apropiada, desconectar la unidad externa o la memoria extraíble, y luego retirar el dispo memoria dispositiv sitivo. o. Practica hasta hallar la forma más rápida de hacer estas cosas. Si decides mantener tu volumen TrueCrypt en un pen-drive USB o SD, mantenen una copia del programa TrueCrypt en ella. Esto da acceso a tus datos en otras computadoras. Sin embargo, las reglas normales todavía se aplican: si no confías en que la máquina esté libre de software malicioso, no deberías ingresar tus contraseñas o acceder a datos importantes.
4.1.2 Ocultar tu información importante Un problema al mantener una caja fuerte en tu casa u oficina, ni que decir de portar por tarla, la, es que tie tiende nde a ser obv obvio. io. Muc Muchas has per person sonas as tienen tienen preo preocup cupaci acione oness razonables sobre autoincriminarse por medio del uso del cifrado. Sólo porque las razones legítimas para cifrar datos exceden en número aquellas ilegítimas no hace esta amenaza menos real. Existen dos razones fundamentales por las que podrías evitar utilizar una herramienta como el TrueCrypt: el riesgo de autoincriminación y el riesgo de identificar claramente la ubicación de tu información más importante.
Considerar el riesgo de autoincriminación El cifrado es ilegal en algunos países, lo que significa que descargar, instalar o utilizar software de este tipo podría ser un crimen en si. Y Y,, si la policía, el ejército o los servicios de inteligencia se hallan ent entre re los grupos de quienes estás buscando proteger tu información, entonces el violar estas leyes puede proporcionarles un pret pr etex exto to id ideal eal para ra que que amenazas tu tuss acti activi vida dade dess se sean an no inve invest stig igada adas s o tu orver gani niza zaci ción ón perseguida. Enpa realidad, como esta tienen nada queorga con la legalidad de las herramientas en cuestión. En ccualquier ualquier momento, el hecho de estar asociado con software de cifrado es suficiente para exponerte a acusaciones de actividad criminal o espionaje—sin importar lo que realmente está dentro de los volúmenes cifrados-- por tanto debes pensar respecto a si dichas herramientas son apropiadas para tu situación. Si ese es el caso, tú tienes unas cuantas opciones: ◦
Evitar el utilizar software de seguridad de datos, lo que requerirá que almacenes información no confidencial o inventes un sistema de palabras
49
códigos para proteger elementos clave de tus archivos. ◦
◦
◦
Confia Conf iarr en un una a té técn cnic ica a llllam amad ada a este esteno nogr graf afía ía10 para para esco escond nder er tu información, en vez de cifrarla. Existen herramientas que te ayudan con ello, pero su su requiere una preparación cuidadosa, y todavía corres el ries riesgo go de in incr crim imin inar arte te a lo loss ojos ojos de cual cualqu quie iera ra que que desc descub ubra ra las las herramientas que estás utilizando. Intentar almacenar tu información importante en una cuenta de correo electrónico con interfaz web segura, ello requiere de una conexión de red conf confia iabl ble e y un buen buen ni nive vell de cono conoci cimi mien ento to de comp comput utad ador oras as y de servicios de Internet. Esta técnica asume que el cifrado de red no es incriminatorio como el cifrado de archivos y que no puedes evitar copiar datos en tu disco duro y dejarla ahí. Puedes mantener la información fuera de tu computadora almacenándola en un pen-drive USB o en un disco duro portátil. Sin embargo, tales dispositivos son más vulnerables que las computadoras a la perdida y confiscación, de modo que estar portando información importante y no cifrada en uno de estos tipos de dispositivos es una mala idea.
De ser necesario, puedes emplear varias de estas tácticas. Sin embargo, en circunstancias en las que estás preocupado sobre la autoincriminación, lo seguro será utilizar TrueCrypt, mientras tratas de camuflar tu volumen cifrado de la mejor manera posible. Si deseas que tu volumen cifrado sea menos llamativo, puedes renombrarlo para que se parezca a un tipo diferente de archivo. Utiliza la extensión '.iso', para camu camufl flarl arlo o co como mo una una im image agen n de CD CD,, es una una opci opción ón que que fu func ncio iona na bien bien para para volúmenes de alrededor de 700 MB. Otras extensiones son más realistas para pequeños volúmenes. Esto se asemeja a esconder tu caja fuerte detrás de una pintura en la pared de tu oficina. Este no será útil bajo inspección detallada, pero ofre ofrece cerá rá al algun guna a prot protec ecci ción ón.. Tambi ambién én pued puedes es re reno nomb mbra rarr el mi mism smo o prog progra rama ma TrueCrypt, asumiendo que lo has guardado como harías con un archivo normal en tu disco duro o pen-drive USB, en vez de instalarlo como programa. estudio y aplicación aplicación de técnicas técnicas que ocultan ocultan mensajes mensajes u objetos, 10 Trata Trata el estudio dentro de otros, llamados portadores, de modo que no se perciba su existencia.
50
Considerar el riesgo de identificar tu información A me menu nudo do,, de debe bess pr preo eocu cupa part rte e me meno noss de las las cons consec ecue uenc ncia iass de se serr 'capturado' con software de cifrado en tu computadora o en tu pen-drive USB y hacerlo más porque tu volumen cifrado indique donde almacenas la información que deseas proteger más. Aunque puede ser cierto que nadie más pueda leerla, un intruso sabrá que está ahí, y que hiciste para protegerla. Ello te expone a varios métodos no técnicos a través de los cuales dicho intruso podría intentar tener acceso, acces o, ello incluy incluye e la intimidac intimidación, ión, el chant chantaje, aje, la inter interrogaci rogación ón y la tortura. Es en este contexto que la opción o característica de denegación del TrueCrypt, que se trata detalladamente más adelante, entra en juego. La opción de denegación del TrueCrypt es una manera en la cual va más allá de lo ofrecido por las herramientas de cifrado de archivos. Esta opción se interpreta como una forma peculiar de estenografía que disfraza tu información. Es análogo a instalar un astuto 'falso fondo' dentro de una caja fuerte. Si un intruso se roba tus llaves, o te intimida para que le des la combinación de la caja fuerte, encontrará algún material 'señuelo' convincente, pero no la información que te importa proteger. Sólo tú sabes que tu caja fuerte contiene un compa compartimi rtimiento ento oculto. Esto te permite 'negar' que estás manteniendo algún secreto más allá de lo que ya le has dado al intruso, y podría ayudar a protegerte en situaciones en las cuales por alguna razón raz ón deb debes es rev revele elerr una con contra traseñ seña. a. Tale aless raz razone oness pod podría rían n inc inclui luirr ame amenaz nazas as legales o físicas a tu propia seguridad, o aquellas de tus colegas, asociados, amigos y familiares. El propósito de la denegación es darte una oportunidad de escapar de una situación potencialmente peligrosa, incluso si decides continuar protegiendo tus datos. Sin embargo, ver Considerar el riesgo de la autoincriminación, esta opción es menos útil si el hecho de ser capturado con una caja fuerte en tu oficina es suficiente para provocar consecuencias inaceptables. La op opci ción ón de de dene nega gaci ción ón de dell TrueC rueCry rypt pt fu func ncio iona na por por me medi dio o del del almacenami almac enamiento ento de un 'volumen oculto' dentro de un volumen común cifrado. Este volumen oculto se abre proporcionando una contraseña alterna diferente a la que utilizarías. Incluso si un intruso técnicamente sofisticado logra acceder a tu volumen común, será incapaz de probar que existe uno oculto. Por supuesto, el puede saber que TrueCrypt es capaz de ocultar información de esta forma, de modo que no hay
51
garant gar antía ía que la ame amenaz naza a des desapa aparez rezca ca tan pron pronto to com como o rev revele eless tu con contra traseñ seña a señuelo. Muchas personas utilizan TrueCrypt sin habilitar su opción de denegación, sin embargo, se considera que es imposible determinar, a través de un análisis, si un volumen cifrado contiene 'falso fondo'. Eso dice, que es tu trabajo asegurarte de no revelar tu volumen oculto por medios menos técnicos, como dejarlo abierto o permitir que otras aplicaciones creen accesos directos a los archivos que contiene. No hablamos de reconstruir una función compleja, hablamos de un ataque por fuerza bruta. PGP, Lucifer, DSA, da igual. El algoritmo genera una clave de acceso que considera segura, y Transltr continúa probando hasta que la descubre. Un algoritmo que genera un texto llano rotatorio. LaComo noción la función de desde texto llano rotatorio fue expuesta por fuerza primerabruta vez en 1987. losdecomputadores los que se lanzan ataques por descifran los códigos analizando el texto llano en busca de patrones lingüísticos, el creador propone un algoritmo de encriptación que, además de eso, cambia el texto llano llano des descif cifrad rado o en fun funció ción n de una var variab iable le tem tempor poral. al. En teo teoría ría,, la mutaci mutación ón perpetua lograría que el computador atacante nunca reconociera algún tipo de patrón lingüístico y, por consiguiente, nunca sabría cuándo había encontrado la clave de acceso correcta. BrainStor BrainS torm m era un exp experi erimen mento to de int inteli eligen gencia cia art artifi ificia ciall des descri crito to por sus diseñadores como un Simulador de Causa y Efecto. Flowchart y Mapping era una herramienta para perfilar estrategias complejas y predecir puntos débiles.
4.2 Métodos criptográficos La criptografía surge como una necesidad para realizar comunicaciones por escrito (en su origen) y creada para preservar la privacidad de la información que se transmite, garantizando que una persona que no esté autorizada no puede leer el contenido del mensaje. En la historia tenemos múltiples ejemplos de encriptar mensajes como los métodos espartanos de hace 2.500 años, el cifrado de Polybios (de los griegos) o el ci cifr frad ador or de dell Cé Césa sarr (de (de lo loss roma romano nos) s),, y sin sin olvi olvida darn rnos os de la má máqu quin ina a de
52
encriptación más famosa de la historia: la máquina Enigma . principio io postulaba que, si un computador Principio de Bergofsky 11 . Dicho princip prob probab aba a sufi sufici cien ente tess cl clav aves es de acce acceso so alea aleato tori rias as,, esta estaba ba ma mate temá máti tica came ment nte e garantizado que encontraría la correcta. La seguridad de un código no residía en que su clave de acceso no pudiera enco encont ntra rars rse, e, sin sino o en que la ma mayo yorí ría a de la gent gente e care carecí cía a de tie tiemp mpo o o del del computador idóneo para intentarlo. Estaba garantizado matemáticamente que, tarde o temprano, Transltr encontraría la clave correcta. Los algoritmos de encriptación eran simples fórmulas matemáticas, recetas para codificar un texto. Matemáticos y programadores creaban nuevos algoritmos cada día. Había cientos de ellos: PGP PGP,, Diffie-Hellman, Diffie-Hellma n, ZIP ZIP,, IDEA, El Gamal. T Translt ransltrr descifraba todos esoscon códigos a diario del sin algoritmo el menor empleado problema.para Para Transltr los códigos eran iguales, independencia encriptarlos. En criptografía, el cifrado es un procedimiento que utiliza un algoritmo de cifrado con cierta clave (clave de cifrado) para transformar un mensaje, sin atender a su estructura lingüística o significado, de tal forma que sea incomprensible o, al menos, difícil de comprender a toda persona que no tenga la clave secreta (clave de descifrado) del algoritmo. Podemos estudiar y/o estudiar los métodos criptográficos modernos como la criptografía simétrica, asimétrica, híbrida (una combinación de las anteriores) y por último, las funciones de resumen o hash (que no cumplen estr estric icta tame ment nte e la fu func nció ión n de conf confid iden enci cial alid idad ad para para la que que está está dest destin inad ada a la criptografía, ya que es un cifrado irreversible).
4.2.1 Criptografía simétrica La cri cripto ptogra grafía fía sim simétr étrica ica sól sólo o uti utiliz liza a una cla clave ve par para a cifrar cifrar y des descif cifrar rar el mensaje, que tiene que conocer el emisor y el receptor previamente y este es el punto débil del sistema, la comunicación de las claves entre ambos sujetos, ya que resu resultlta a má máss fá fáci cill in inte terc rcep epta tarr una una cl clav ave e que que se ha tr tran ansm smititid ido o sin sin segu seguri rida dad d (diciéndola en alto, mandándola por correo electrónico u ordinario o haciendo una llamada telefónica). Bergofsky no existe. Es una licencia narrativa de Dan Brown en la Fortaleza 11 El Principio de Bergofsky Digital.
53
Teóricamente debería de ser más fácil conocer la clave interceptándola que probando claves, una a una por fuerza bruta, teniendo en cuenta que la seguridad de un mensaje cifrado debe recaer sobre la clave y nunca sobre el algoritmo.
4.2.2 Criptografía asimétrica La criptografía asimétrica se basa en el uso de dos claves: la pública (que se podrá difundir sin ningún problema a todas las personas que necesiten enviarte algo cifrado) y la privada (no debe de ser revelada nunca). Sabiendo Sabien do lo ant anteri erior or,, si que querem remos os que tre tress compañ compañero eross de tra trabaj bajo o nos envíen un archivo cifrado debemos de mandarle nuestra clave pública (que está vinculada a la privada) y nos mandarán de forma confidencial ese archivo que sólo nosotros desciframos con la clave privada. A simple vista parece un sistema débil ya que sabiendo la clave pública podr podría íamo moss de dedu duci cirr la pr priv ivad ada, a, pero pero este este ti tipo po de sist sistem emas as cr crip ipto togr gráf áfic icos os usa usa algoritmos complejos que generan a partir de la frase de paso (la contraseña) la clave privada y pública que pueden tener perfectamente un tamaño de 2048bits (probablemente imposible de reventar). Como se dan cuenta, sólo cifra una persona (con la clave pública) y la otra se limi limita ta a mi mira rarr el co cont nten enid ido, o, po porr lo que que la fo form rma a corr correc ecta ta de te tene nerr una una comunicación bidireccional sería realizando este mismo proceso con dos pares de claves, o una por cada comunicador comunicador.. Otro propósito de este sistema es firmar documentos (firma electrónica), certificando que el emisor es quien dice ser, firmando con la clave privada y verificando la identidad con la pública.
Nota : Esto puede parecer intrincado (y lo es) pero hablaré de como poner en prácti prá ctica ca est esto o con GnuPG (una herramienta de cifrado libre muy usada para este propósito) y será más fácil de comprender. 4.2.3 Criptografía híbrida Este sistema es la unión de las ventajas de los dos anteriores, ya que el método simétrico es inseguro y el asimétrico es lento.
54
El proceso para usar un sistema criptográfico híbrido es el siguiente (para enviar un archivo): Generar una clave pública y otra privada (en el receptor). ◦
◦
Cifrar un archivo de forma síncrona.
◦
El receptor nos envía su clave pública.
◦
◦
Ciframos la clave que hemos usado para encriptar el archivo con la clave pública del receptor receptor.. Enviamos el archivo cifrado (síncrona) y la clave del archivo cifrada (asíncrona y que sólo puede ver el receptor).
4.2.4 Funciones hash Las funciones hash o func funciones iones de resumen son algoritmos que se crean a partir de una entrada (como un texto, una contraseña o un archivo) y generan una salida alfanumérica de longitud normalmente fija que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la entrada crea una cadena que sólo puede volverse a crear con esos mismos datos). El propósito de estas funciones es asegurar que no se ha modificado un archivo en una transmisión, hacer ilegible una contraseña o firmar digitalmente un documento.
55
5. Recuperar información perdida
Cada nue Cada nuevo vo mét método odo de alm almace acenam namien iento to o tra transf nsfere erenci ncia a de inf inform ormaci ación ón digital introduce formas nuevas en las que la información puede perderse, ser capturada o destruida. Años de trabajo pueden desaparecer en un instante, como resultado resul tado de un robo, un moment momento o de descu descuido, ido, la confiscac confiscación ión del hardware de la comp comput utad ador ora, a, o de debi bido do a qu que e la te tecn cnol olog ogía ía de alma almace cena nami mien ento to es fr frág ágilil por por naturaleza. Existe un dicho común entre los profesionales dedicados al soporte técnico técni co en el campo de la informát informática: ica: "la cuestió cuestión n no es si vas a perder tus datos datos;; sino cuando." Por tanto, cuando esto ocurra, es importante que cuentes con un medio actualizado y probado de respaldo para restituir tus datos.
A pe pesa sarr de ser ser uno uno de lo loss el elem emen ento toss fu fund ndam amen enta tale less de la segu seguri ridad dad informática, el formular una política efectiva de mantenimiento de un respaldo no es simple. Varios problemas se combinan para formar obstáculos significativos, como la necesidad de almacenar datos originales y copias de seguridad o respaldos en diferentes ubicaciones físicas, el mantener confidenciales las copias de seguridad, y el reto de coordinar entre distintas personas quién comparte información con quién, utilizando sus propios dispositivos portátiles de almacenamiento. Ademá demás, s, de la lass co copi pias as de segu seguri rida dad d o resp respal aldo doss y las las tá táct ctic icas as de recuperación de archivos, este capítulo se ocupa de dos herramientas específicas, Cobian Backup y Undelete Plus.
5.1 Identificar y organizar tu información
Evidentemente es necesario evitar desastres — para ello debes asegurarte que tu información está físicamente a salvo, libre de software malicioso y protegida por un buen cortafuegos y contraseñas sólidas — pero esto no es suficiente. Existen demasi dem asiada adass cos cosas as que pue pueden den sal salir ir mal mal,, inc incluy luyend endo o ata ataque quess vir virale ales, s, pirata piratass informáticos, cortos circuitos, picos de tensión eléctrica, derrames de agua, robo, confiscación, desmagnetización, problemas con el sistema operativo o programas, fallas de hardware, por nombrar unos cuantos. El prepararse para el desastre es tan importante como defenderse de este. El primer paso para formular una política de respaldo es identificar donde se
56
encuentra tu información personal y laboral. Tu correo electrónico puede estar almacenad almace nado o en el ser servid vidor or del pro provee veedor dor de cor correo reo ele electr ctróni ónico, co, en tu pro propia pia computadora, o en ambos lugares al mismo tiempo. Y, por supuesto, puedes tener muchas cuentas de correo electrónico. Además, existen importantes documentos en las computadoras que utilizas, las cuales pueden estar en la oficina como en tu domicilio. También, están las agendas de direcciones, el historial de conversaciones y configuraciones personales de programas. Es posible que alguna información sea almacenada en medios removibles, como pen-drive USB, discos duros externos, CD y DVD. Tu teléfono móvil tiene una lista de contactos y podría tener importantes mensajes de texto. Si tienes un sitio web, éste, podría contener una colección de artículos acumulados a lo largo de años de trabajo. Y no olvides tu información que no se halla en medios digitales, como agendas físicas, diarios y cartas. Luego, necesitas definir cuales archivos son 'copias maestras', y cuales son duplicados. La copia maestra es la versión actualizada de un archivo en particular o de una colec colección ción de archiv archivos os y corre corresponde sponde a un archi archivo vo que editar editarás ás si necesi necesitas tas actualizar actua lizar su conte contenido. nido. Obviam Obviamente, ente, esta distinc distinción ión no se aplica a archi archivos vos de los cuales tienes una única copia, pero es importante para ciertos tipos de información. Una situación común de desastre es cuando sólo los duplicados de cada documento importante son respaldados, y la copia maestra en sí se perdió o destruyó antes que estos duplicados pudieran ser actualizados. Imagina, que has estado trabajando por una semana mientras actualizabas la copia de determinada hoja de cálculo que mantienes en tu pen-drive USB. Ahora, deberías empezar a pensar en tus copias maestra, maes tra, debidode a que los respa respaldos ldos la versión desactu desactualizad alizada a que se hallan en la computadora la oficina ya no sonde útiles. Trata de anotar la ubicación física de tus copias maestras y de los duplicados de la información identificada. Aclara tus necesidades y empieza a definir una adecuada política de respaldos o copias de seguridad. La tabla 5 es un ejemplo básico. Por supuesto, tu lista es más extensa, y contiene algunos 'dispositivos de almacenamiento' con más de un 'tipo de dato' y algunos tipos de datos que se encuentran presentes en múltiples dispositivos.
57
Tabla 5: Opciones para realizar respaldo de nuestros datos. Tipo de Datos Copia Maestra/Duplicado
Dispositivo de de Almacenamiento
Ubicación
Documentos electrónicos
Copia Maestra Disco duro de la computadora
Oficina
Unos cuantos documentos electrónicos importantes Duplicado
Memoria extraíble USB
Conmigo
Bases de datos de aplicaciones aplicaciones (fotos, agenda de direcciones, calendario, etc.)
Copia Maest Copia Maestra ra Disco Disco dur duroo de de la la computadora
Oficina
Unos cuantos documentos electrónicos
Duplicado CDs
Domicilio
Correo electrónico & contactos de Copia Maestra, Cuenta de Gmail correo electrónico
Internet
Mensajes de texto & contactos telefónicos
Conmigo
Copia Maestra, Teléfono móvil
Documentos impresos (contratos, Copia Maestra, Cajón de escritorio facturas, etc.)
Oficina
En la tabla anterior observas que: ◦
◦
◦
◦
Los únicos documentos que sobrevivirían a una falla del disco duro de tu computadora son los duplicados en tu pen-drive USB y las copias en CD o DVD en tu domicilio o almacenados en la nube informática. No tienes copias de tus mensajes de correo electrónico sin conexión o de tu agen agenda, da, si ol olvi vida dass tu cont contra rase seña ña (o si algu alguie ien n logr logra a camb cambia iarl rla) a),, perderás acceso a ella. No tienes copias de los datos de tu teléfono móvil. No tienes duplicados, digitales o físicos, de documentos como contratos y facturas.
58
5.2 Definir una estrategia para tu respaldo Para hacer el respaldo de los datos listados anteriormente necesitas una combinación de software y soluciones de proceso. Debes asegurar que cada tipo de datos sea almacenado en, al menos, dos lugares separados. Documentos electrónicos - Crea el respaldo completo de los documentos en
tu computadora con Cobian Backup12. Almacena el respaldo en algún dispositivo portátil para que lo lleves a tu domicilio o a otro lugar seguro, como un banco. Los discos duros externos, CD / DVD o pen-drive son buenas opciones. Si utilizas CD o DVD, el riesgo de sobreescribir los documentos o perder los respaldos es menor. Los CD en blanco son baratos y puedes utilizar uno nuevo cada vez que hagas respaldo. Debido a la información confidencial, es importante que protejas los respaldos de tus documentos electrónicos utilizando algún tipo de cifrado. Bases de datos de aplicaciones - Una vez determinada la ubicación de tus
bases de datos de aplicaciones, realiza un respaldo de la misma forma que la empleada con los documentos electrónicos. Correo electrónico - En vez de ingresar a tu correo electrónico a través de un
naveg navegad ador or we web, b, ins instal talaa un cl clie iente nte de co corre rreoo ele electr ctróni ónico co com comoo Th Thund underb erbird ird y configuralo para tu cuenta. La mayoría de los servicios de correo con interfaz web proporcionan instrucciones de cómo utilizar dichos programas y cómo importar tu dirección de correo electrónico a éste. Si mueves tus correos electrónicos a tu computadora evitandoensean guardados en el servidor (por razones asegúrate de incluirlos el respaldo de documentos electrónicos comodefueseguridad), descrito. Contenidos de teléfono móvil - Para hacer un respaldo de los números 12 Cobian Backup Backup es un programa programa multitarea multitarea capaz de crear copias copias de seguridad seguridad en un equipo, en una red local o incluso en/desde un servidor FTP. FTP. También También soporta SSL. Se ejecuta sobre Windows y uno de sus grandes fuertes es que consume muy pocos recursos y puede estar funcionando en segundo plano. Cada tarea de respaldo que le asignemos puede ejecutarse en el momento, diaria, semanal, mensual o anualmente, o en un tiempo especificado. Hace copias completas, incrementales y diferenciales. Soporta compresión ZIP, ZIP, Zip64 o SQX. Además ofrece la opción de proteger todas las funciones del programa por contraseña. Existe la opción de cifrar sus archivos usando 4 métodos diferentes de cifrado fuerte: RSA-Rijndael (1024-256-bits), Blowfish (128-bits), Rijndael (128-bits) o DES (64-bits).
59
telefónicos y mensajes de texto en tu teléfono móvil, conéctalo a la computadora utilizando el software apropiado. Éste, está en el sitio web del fabricante de tu teléfono o está instalado en el sistema operativo. Necesitas un cable de datos USB. Documentos Docume ntos impresos impresos - Cu Cuan ando do sea sea posib posible le,, esc escan anea ea tus doc docum ument entos os
importantes, luego respaldarlos con tus documentos electrónicos como se explicó. Ahora, dispones de un listado de respaldo tus dispositivos de tipo de datos, almacenamiento y ubicación para tu información. Ver tabla 6. Tabla 6: Tipos de almacenamiento. Tipo ipo de Da Dato toss Copi Copia a Maestra/Duplicado
Dispositivo de Almacenamiento
Ubicación
Documentos el electrónicos Documentos electrónicos Documentos electrónicos electrónicos importantes
Copia Ma Maestra Disco du duro de de la la computadora Duplicado CDs Duplicado Pen-drive USB
Oficina Domicilio Conmigo
Tipo ipo de Da Dato toss Copi Copia a Maestra/Duplicado
Dispositivo de Almacenamiento
Ubicación
Ba Base sess ddee dat datos os de ap apli lica caci cion ones es
Copi Copiaa Mae Maest stra ra Disc Discoo dur duroo de de la la computadora Duplicado CDs
Oficina
Dispositivo de Almacenamiento
Ubicación
Bases de datos de aplicaciones Tipo ipo de Da Dato toss Copi Copia a Maestra/Duplicado
Correo electrónico & contactos de Duplicado Cuenta Gmail correo electrónico Correo electrónico y contactos de Cop Copia ia Maestr Maestraa Thund Thunderb erbird ird en la la correo electrónico
computadora de la oficina
60
Domicilio Internet Oficina
Tipo ipo de Da Dato toss Copi Copia a
Dispositivo de Almacenamiento
Ubicación
Maestra/Duplicado Mensajes de texto y contactos en
Copia Maestra Teléfono móvil
Conmigo
teléfono móvil Mensajes de texto y contactos en Duplicado el teléfono móvil computadora Mensajes de texto y contactos en Duplicado el teléfono móvil
Disco duro de la
Oficina
Respaldo de de la la ta tarjeta S SIIM Domicilio
Tipo ipo de Da Dato toss Copi Copia a Maestra/Duplicado
Dispositivo de Almacenamiento
Ubicación
Documentos impresos Documentos escaneados
Copia Maestra Cajón de escritorio Duplicado CDs
Oficina En casa
5.2.1 Crear un respaldo digital De los di dist stin into toss ti tipo poss de dato datoss qu que e aquí aquí se disc discut uten en,, los los 'doc 'docum umen ento toss elec electr trón ónic icos os'' son son lo loss que que la lass pers person onas as ti tien ende den n a preo preocu cupa pars rse e má máss cuan cuando do establecen una política de respaldo. Este término es ambiguo, pero se refiere a archivos de los cuales estás al tanto y que abres manualmente a través de algún prog progra rama ma en el me menú nú de tu apl aplic icac ació ión n fa favo vori rita ta.. In Incl cluy uye e arch archiv ivos os de te text xto, o, documentos de procesador de textos, presentaciones, PDF y hojas de cálculo, entre otro otros. s. A di dife fere renc ncia ia de lo loss me mens nsaje ajess de corre correo o elec electr trón ónic ico, o, los los docu docume ment ntos os electrónicos no están sincronizados con copias remotas en la Internet. Si respaldas tus documentos electrónicos; también hazlo con las bases de datos de tus aplicaciones. Si usas una aplicación de calendario o una agenda electrónica encuentra las carpetas donde estos programas almacenan sus datos. Si están en la mism misma a ubica ubicación ción de tus document documentos os electróni electrónicos, cos, como la carpet carpeta a Mis Documentos. Si no es el caso, añade las carpetas pertinentes a tu respaldo normal.
Los correos electrónicos almacenados por una aplicación como Thunderbird son ejemplo especial de un base de datos de aplicación. Si utilizas un programa de correo electrónico — y si no puedes o no deseas almacenar una copia de tus mensajes en el servidor — debes asegurarte que la base de datos de correo electrónico se incluya en tu respaldo normal. Considera las imágenes y archivos de video como documentos electrónicos o elementos dentro de una base de datos de aplicación, eso depende de cómo operas con ellos. Las aplicaciones como Windows Media Player e iTunes funcionan como bases de datos. Si los utilizas, busca en tu disco duro para saber donde se almacenan los archivos multimedia que ayudan en su administración. 61
5.2.2 Dispositivos de almacenamiento Previo a un respaldo de tus documentos electrónicos, decide qué tipo de dispositivo de almacenamiento usarás.
Pen-drive USB - Estos dispositivos son baratos y ofrecer mayor capacidad de almacenamiento (memoria). Son fáciles de borrar o sobreescribir numerosas veces. Los USB tienen una vida útil, que depende en la forma o frecuencia de uso, pero se estima generalmente de 10 años. pen-drive e son dispo dispositiv sitivos os baratos y ofrec ofrecen en Memoria SD – al igual que los pen-driv mayyor capa ma capaci cida dad d de al alma mace cena nami mien ento to (m (mem emor oria ia). ). So Son n fá fáci cile less de borr borrar ar o sobreescribir numerosas veces. Las SD tienen una vida útil, que depende de la frecuencia de uso, se estima en 10 años. Y se pierden más fácil que los pen-drive.
Discos Compactos (CD) - Los CD almacenan alrededor de 700 Megabytes (MB) de datos. Para crear un respaldo en ellos necesitas un quemador de CD y discos en blanco. Si deseas borrar un CD y actualizar los archivos almacenados en este, est e, nec necesi esitas tas ten tener er un que quemad mador or de CDCD-RW RW y CD CDss regrab regrababl ables. es. T Todo odoss los sistemas operativos, incluyendo Windows XP, ahora incorporan un software que graba CD y CD-RW. Toma en cuenta que la información escrita en estos discos se deteriora después de cinco o diez años. Si necesitas almacenar un respaldo por un tiem tiempo po ma mayo yorr, te tend ndrá ráss qu que e recr recrea earr ocas ocasion ional alme ment nte e los los CD CD,, comp compra rarr disc discos os especiales de 'larga vida' o utilizar un método diferente de respaldo. Discos Digitales de Video (DVD) – Almacenan hasta 4.7 Gigabytes (GB) de datos. Funcionan como los CD pero necesitan un equipo costoso. Necesita un quemador de DVD o de DVD-RW, y discos apropiados. Del mismo modo como los CD, los datos escritos en un DVD normal eventualmente se desvanecen. servidorr de red de respaldo con buen mante mantenimien nimiento to Servidor remoto - Un servido Servidor tiene una capacidad casi ilimitada, pero la velocidad y la estabilidad de tu propia conexión de Internet determinará si es o no una opción válida. Considera que hacer un respaldo en un servidor en tu propia oficina, aunque más rápido que copiar información en la Internet, viola el requerimiento de mantener una copia de tus datos en dos lugares físicos diferentes. Existen servicios de almacenamiento gratuito en la Internet, pero siempre debes cifrar tus respaldos antes de subirlos a servidores a cargo de organi organizacion zaciones es o indivi individuos duos a quiéne quiéness no conoces ni en quiénes confías.
62
Dirígete a la sección Lecturas Adicionales para ver algunos ejemplos.
Disco duro externo.- Una unidad externa de DD es la manera más sencilla e instantánea de respaldar, proteger y compartir tu información digital. Al momento de escribir este libro, los DD vienen con hasta 2 TB de capac capacidad. idad. T Te e acompaña a cualquier lugar sin interponerse en su camino. Características: ◦
Ofrece copias de seguridad móviles mediante múltiples aplicaciones.
◦
Proteja su material digital en copias de seguridad fáciles y flexibles.
◦
◦
◦
Realice copias de seguridad desde Facebook® y Flickr®, y compártalas en YouTube® Comparta archivos fácilmente entre sistemas Windows, Linux y Mac. USB 3.0 o 2.0 plug-and-play sin necesidad de voluminosos adaptadores de corriente.
5.2.3 Software para hacer respaldos Cobian Backu Cobian Backup p es una herramien herramienta ta de fácil manejo que puede confi configurars gurarse e para funcionar automáticamente en periodos predeterminados, y para incluir sólo los archivos que han sido modificados desde la última creación de respaldo. Este también puede comprimir respaldos para hacerlos más pequeños. Record Reco rdar ar qu que e es un una a bu buena ena me mecá cáni nica ca cifr cifrar ar tu tuss arch archiv ivos os de resp respal aldo do utilizando TrueCrypt. Ver Capítulo 4. Si utilizas estas herramientas para respaldos, hay cosas que hacer para que el sistema de respaldo trabaje sin problemas:
Organiza los archivos en tu computadora . Traslada tus carpetas con documentos electrónicos a respaldar a un sólo lugar, como Mis Documentos. Ubica tus archivos. Si almacenas tus archivos en una base de datos de aplicación, determina la ubicación de dicha base de datos. Si no está en un lugar conveniente, infórmate si el programa te permite elegir una nueva ubicación para ella. Si es posible, coloca la carpeta de tus documentos electrónicos.
63
64
5.2.4 Software de respaldo para Linux Las áreas de estas aplicaciones y sus respectivas funciones (traducidas al castellano) son las siguientes: Tabla 7: con Interfaz Gráfica de Usuario
Herramienta de copias de seguridad
Areca reca Ba Back ckup up BackupP pPC C Bacula Deja-dup
So Soft ftwa ware re ddee bbac acku kupp de de aarc rchi hivo voss ddes esar arro roll llad adoo ccon on Java Java Siste istem ma em empre presar ariial de de alt ltoo ren rendim imie iennto para re real aliz izaar bbaackup kups ddee PCs Backups en red, con recuperación y verificación de datos Aplicación para copias de seguridad de forma sencilla y cómoda
fwbackups Keep Simple Backup Solution
enofGNU/Linux. S tware de backEstá up ccompletamente on numerosas ointegrado pciones en el GNOME Sistema de backup en KDE Software de backup consistente en un daemon para el Backend y un Frontend basado en GNOME Tabla 8: Desde la consola de comandos
Herramienta de copias de seguridad
af afbac backu kupp Si Siste stema ma de Back Backup up clien cliente te-se -servi rvido dorr (GUI (GUI dis dispo ponib nible) le) AMANDA AMA NDA Adv Advance ancedd Maryland Maryland Auto Automat matic ic Net Network work D Disk isk Arc Archive hiverr Cedar Backups remotos y locales grabables en CDs o DVDs Backup Dupli Du plicit cityy
Ba Backu ckups ps cifra cifrado do eefic ficie iente nte eenn el aapro provec vecham hamien iento to ddel el aanch nchoo de bban anda da..
65
Dump /
Utilidades de copia y restauración para sistemas de archivos ext2/ext3
trestore ar
¿Quién podría olvidar a la legendaria Tar?
66
Tabla 9: basados en Snapshot Backups
FlyBack
Equivalente de Time Machine en Mac OS X Demonio de creación de Snapshots
Time Vault
Tabla 10: 10 : Sincronización
rsnapshot ;
Utilidad de sincronización para sistemas de archivos locales y remotos Programa de copia remota rápida
rsync;
Tabla 11: Recuperación de desastres / Clonación de discos.
Clonezilla; Mondo Rescue; PartImage; PING;
Ofrece funciones similares a las de Symantec Ghost Una suite muy potente de recuperación de desastres Backup de particiones en un fichero imagen comprimido También ofrece funciones similares a las de Symantec Ghost Tabla 12: Herramientas Especializadas.
Zmanda Recovery
Utilidad en Perl para automatizar la copia de seguridad y
Manager
restauración de bases de datos MySQL
5.2.5 Crea un horario regular para hacer tu respaldo Trata de establecer procedimientos de respaldo para las computadoras en tu oficina ofici na si no tienen una política confiab confiable le y segura. Ayu Ayuda da a tus compañero compañeros/as s/as de trabajo a entender la importancia de este tema. Algunas características de respaldo de una aplicación son: ◦
Realiza respaldos locales y remotos (Ubuntu One, y otros vía FTP FTP,, SSH o WebDAV)
67
◦
◦
◦
Comprime y cifra de forma segura todos tus archivos. Los respaldos son incrementales, lo que recupera copia de seguridad anterior. Programa copias de seguridad.
5.3 ¿Qué es recuperación? La recuperación es la tarea que se lleva a cabo para volver al estado basal la aplicación al momento de su último respaldo. A partir de la última copia realizada, se hace una copia en sentido inverso, recuperando los archivos. Las transacciones ocurridas después del último respaldo se pierden. Los movimientos ocurridos entre el momento del último respaldo y el momento en que se detecta la necesidad de la recuperación deben ser reconstruidos “a mano”. La recuperación es una tarea eventual. Sólo se hace si se han perdido datos, en magnitud tal que justifique utilizar el respaldo. La recuperación puede hacerse en forma parcial, como un único archivo o completa. Si hace una recuperación parcial, debe asegurarse que la integridad de los datos no se altere, es decir, que los archivos queden en diferente estado de actualización respecto al tiempo. Asegúrate de probar el proceso de recuperación de datos de tu respaldo o copia de seguridad. Recuerda, que al final, ¡es el proceso de restitución — no el procedimiento de respaldo — el que importa !
5.3.1 Pruebas de recuperación Realiza pruebas de restauración de los respaldos históricos a lo menos cada 3 meses, a fin de evitar que el respaldo se realice con algún tipo de inconsistencia o no sea posible su recuperación exitosa.
5.3.1.1 Recuperarse de un borrado accidental de archivos Cuando borras un archivo en Windows, este desaparece de la vista, pero su cont conten enid ido o se ma mant ntie iene nen n en la co comp mput utad adora ora.. In Incl clus uso o desp después ués de va vaci ciad ada a tu Papelera, la información de los archivos borrado puede ser ubicada en su lugar
68
respectivo en el disco duro. De vez en cuando, si accidentalmente borras un archivo o car carpet peta, a, est esta a vul vulnera nerabil bilida idad d de seg seguri uridad dad pue puede de tra trabaj bajar ar a tu fav favor or.. Exist Existen en numerosos programas de recuperación de respaldos, incluyendo Recuva13. Estas herramientas no siempre funcionan, ya que el sistema operativo pudo haber escrito nuevos datos sobre tu información borrada. Es importante que utilices lo menos posible tu computadora entre el borrado del archivo y el intento de recuperarlo con Recuva. Cuanto más tiempo utilices tu computadora antes de intentar recuperar el archivo, es menos probable que tengas éxito. Utiliza la versión portable porta ble de Recuv Recuva. a. Inst Instalar alar el progra programa ma requie requiere re que escribas informaci información ón nueva en el archivo del sistema, lo que sobrescribirá los datos críticos que estás tratando de recuperar.
5.3.1.2 Recuperar archivos borrados en Linux 14
En mi caso, prefiero Scalpel basado en Foremost o Photorec15.
Para mi uso personal, me gusta Photorec, una herramienta diseñada para recupe rec uperar rar fotogra fotografía fíass bor borrad radas as o cor corrup ruptas tas de las tarjet tarjetas as de mem memori oria a de las cámaras. Photorec recupera cualquier archivo, vídeo, documento, fotografía y más de cien tipos de archivo, además de tus propias firmas en caso de ser necesario. Aunque parece mucho trabajo, el implementar las políticas de respaldo y aprender a utilizar las herramientas descritas, así como mantener tu estrategia de resp respal aldo do,, un una a vez vez qu que e te teng ngas as un sist sistem ema a en prod produc ucci ción, ón, es má máss fá fáci cill que que configurarla por primera vez. Y dado que el respaldo puede ser el aspecto individual más importante de la seguridad de datos, puedes estar seguro que el esfuerzo de recorrer todo el proceso bien vale la pena. 13 De los creadores creadores de CCleaner, CCleaner, llega una una nueva aplicación aplicación gratuita: gratuita: Recuva. Este programa recupera archivos que hayas borrado sin querer; detecta los borrados y te permite seleccionarlos. Destaca por su gran rapidez y por su facilidad de uso. También, recupera fotos borradas de tu cámara y canciones de tu reproductor MP3 portátil. 14 Código Original Original escrito por Kris Kris Kendall y Jesse Kornblum, Kornblum, Oficina de investigaciones especiales, Fuerza Aérea de USA. Modificación por Nick Mikus, Escuela de Postgrado, estudios e investigación de seguridad en sistemas de información, Marina de USA (tesis de maestría). 15 Software para recuperar archivos archivos borrados incluyendo videos, videos, documentos y archivos de los discos discos duros y CDRoms así como imágenes borradas (por eso el nombre PhotoRecovery) de las memorias de las cámaras fotográficas, MP3 players, PenDrives, etc. PhotoRec ignora el sistema de archivos y hace una búsqueda profunda de los datos, funcionando incluso si su sistema de archivos está dañado o ha sido re-formateado.
69
6. Destruir información importante
Los cap capítu ítulos los pre previo vioss han pre presen sentad tado o var varias ias her herram ramien ientas tas y pro propue puesto sto hábitos que ayudan a proteger tus datos, ¿Qué ocurre cuando decides que no necesitas conservar una parte de tu información? Si determinas que las copias cifradas del respaldo de un archivo son suficientes y deseas borrar la copia maestra, ¿Cuál es la mejor forma de hacerlo? La respuesta es más complicada de lo que crees. Cuando borras un archivo, incluso antes de vaciar la Papelera, los contenidos del archivo se mantienen en tu disco duro y pueden ser recuperados por cualquiera que tenga conocimientos, suerte y las herramientas adecuadas. Para evitar que la información borrada no termine en las manos equivocadas tienes Eraser, un software que borra los datos de manera segura y permanente. Utilizar este software es como hacer trizas un documento de papel en vez de ponerlo en la papelera y esperar que nadie lo encuentre. Otra herramienta es CCleaner, que te ayuda a borrar los muchos archivos temporales que tu sistema operativo windows y las aplicaciones crean cada vez que los usas. Por supuesto, supuesto, borrar archiv archivos os es una situación en la cual necesitas necesitas destruir datos importantes. Si cons conside idera rass lo loss da dato toss qu que e al algu guie ien n podrí podría a desc descub ubrir rir so sobr bre e ti o de tu organización al leer ciertos archivos que pensaste que habías borrado, entonces debes: destruir respaldos obsoletos, obsoletos, eliminar los datos de viejos disco duros antes de regalarlos, regalarlos, borra borrarr vieja viejass cuent cuentas as de usuari usuario o y limpiar tu histo historial rial de navega navegación, ción, para mencionar unos cuantas situaciones.
6.1 Borrar información Desde una perspectiva perspectiva técnica no exist existe e en tu compu computadora tadora una función de borrado propiamente dicha. Por supuesto, puedes arrastrar un archivo a la Papelera y vaciarla, pero esto borra el icono, elimina el nombre del archivo de la FAT (tabla localizadora de archivos) una especie de índice del contenido en tu computadora y dice a Windows que puede utilizar ese espacio para algo más. Sin embargo, hasta usar Eraser o Ccleaner o Bleachbit el espacio del archivo está ocupado por la inf inform ormaci ación ón borrad borrada. a. Si cue cuenta ntass con el sof softw tware are adecu adecuado ado y act actúas úas con prisa, prisa,
70
puedes recuperar la data que borraste. V Ver er capítulo 5. Cada vez que usas tu computadora, se crean archivos y estos mismos son borrados de manera parcial, sin tu conocimiento. Pensemos que estás escribiendo un informe extenso. Lo que te podría tomar una semana, trabajando muchas horas a diario, cada vez que el documento es guardado, el procesador de textos crea una nueva copia del documento y lo almacena en tu disco duro. Después de unos cuantos cuant os días de edita editado, do, tú puedes sin saberlo haber guarda guardado do mucha muchass versi versiones ones del mismo documento, todas en diferentes etapas de avance. El Sistema operativo borra las versiones antiguas de un archivo, pero no busca la ubicación exacta del original para reescribirlo de manera segura cuando se hace una nueva copia. En vez de ello, simplemente pone la última versión en una nueva sección del hipotético gabinete de archivos mencionado, es decir, traslada la etiqueta de la vieja sección a la nueva, y deja el anterior borrador donde estaba hasta que otro programa requiera utilizar ese espacio. Está claro, que si tú tienes una buena razón para destruir los rastros de dicho documento de tu gabinete, el borrar la última copia no será suficiente, y el botar la etiqueta sería peor. También debes recordar, que los discos duros de la computadora no son los únicos dispositivos que almacenan información digital. Los CD, DVD, los pen-drive USB, las tarjetas de memoria flash de los teléfonos móviles y los discos duros externos tienen los mismos problemas, y no debes confiar en una simple operación de borrar o reescribir para desaparecer información de cualquiera de ellos.
6.2 Eliminar Eliminar información con herramientas herramientas de borrado
Cuando utilizas una herramienta de borrado, sería preciso decir que estás reemplazando, o 'sobrescribiendo', 'sobrescribiendo', tu inform información, ación, en vez de borrarla. Si imaginas que que dich dichos os do docu cume ment ntos os,, en el gabi gabine nete te de arch archiv ivos os ma mall et etiq ique ueta tado do que que mencionamos antes, están escritos a lápiz, entonces un software de borrado no sólo borra bor ra el con conteni tenido, do, sino que gara garabat batea ea sobre cada pal palabr abra. a. Y - en form forma a muy parecida al trazo de la mina de un lápiz - la información digital puede leerse, aunque con dificultad dificultad,, incluso desp después ués de que ha sido borrada y se ha escrito algo sob sobre re ella. Debido a esto, las herramientas recomendadas aquí sobrescriben archivos
71
múltltip mú iple less vece vecess co con n da dato toss al alea eato tori rios os.. A este este proc proces eso o se le llam llama a elim elimin inado ado permanente, y cuantas veces es sobrescrita la información, mayor es la dificultad para que alguien pueda recuperar el contenido original. Los expertos coinciden genera gen eralme lmente nte que tre tress o más pasada pasadass deb deben en hac hacers erse e — alg alguno unoss est estánd ándare aress recomiendan siete o más — pero el software de eliminación permanente de datos se ocupa de esto automáticamente.
6.2.1 Eliminar archivos Existen dos maneras comunes de eliminar datos de tu disco duro o de tu dispositivo de almacenamiento. Puedes eliminar un archivo o todo el espacio 'no asignado' en la unidad. Cuando tomes esta decisión, puede ser útil considerar nuestro nuest ro ejempl ejemplo o del informe que haya podido dejar copias incomplet incompletas as esparc esparcidas idas en todo tu dis disco co duro aunqu aunque e sólo sólo un archi archivo vo es vis visibl ible. e. Si elimin eliminas as el archi archivo vo mismo, garant mismo, garantizas izas que la actua actuall versi versión ón esta completa completamente mente removida removida,, pero dejas las otras copias. De hecho, no existe manera de apuntar directamente a dichas copias, debido a que no están visibles sin utilizar un software especial. Sin embargo, al eliminar el espacio en blanco de tu dispositivo de almacenamiento, te aseguras que la información borrada sea destruida. Regresando a la metáfora del gabinete de archivos, este procedimiento es comparable a buscar en el gabinete, borrar y garabatear sobre cada documento cuya etiqueta haya sido retirada. Eraser es una herramienta de borrado segura, libre y de código abierto, fácil de usar. Con él eliminas archivos en tres diferentes formas: seleccionando un sólo archivo, seleccionando el contenido de la Papelera, o eliminando todo el espacio no asignado en la unidad. También, elimina los contenidos del archivo de paginación o intercambio o tmp, como ya se menciono. Aunque las herramientas de borrado no dañan algún archivo visible a menos que tú expresamente lo elimines, debes ser cuidadoso con el software. Después de todo los accidentes ocurren; es por ello, que son muy útiles la Papelera y a las herramientas de recuperación de datos. Si te acostumbras a eliminar tus datos cada vez que borras algo, te encontraras sin forma de recuperarte de un simple error. Aseg As egúr úrat ate e siem siempr pre e de te tene nerr un resp respal aldo do segu seguro ro ante antess de elim elimin inar ar gran grande dess cantidades de datos de tu computadora.
72
6.2.2 Eliminar datos temporales La opción de que Eraser elimine todo el espacio no asignado de una unidad no es riesgoso, debido a que elimina el contenido borrado anteriormente. Los archivos visibles no son afectados. Por otro lado, esto mismo sirve para resaltar un aspecto diferente: Eraser no te ayuda a limpiar la información que no ha sido borrada pero que pudiera estar oculta. Los archivos que contienen dichos datos pued pueden en esta estarr me meti tido doss en carp carpet etas as ocul oculta tass o alma almace cenad nados os con con nomb nombre ress sin sin significado. Este no es un gran problema para documentos electrónicos, pero es importante para información que se recolecta automáticamente cada vez que utilizas tu computadora. Incluye: ◦
◦
◦
◦
Datos temporales registrados por tu navegador al visitar páginas web, incluyendo texto, imágenes, cookies, información de cuenta, datos en formularios en línea y el historial de los sitios web visitados. Archivos temporales guardados por varias aplicaciones con el fin de ayudarte a recobrarlos en caso se cuelgue tu computadora antes de que guardes tu trabajo. Estos archivos pueden contener texto, imágenes, datos de hojas de cálculo y los nombres de otros archivos, entre otra información importante. Arch Archiv ivos os y en enla lace cess al alma mace cena nado doss por por Wi Wind ndow owss en nomb nombre re de la conveniencia, como accesos directos a aplicaciones que has utilizado recientemente, enlaces obvios a carpetas que preferirías ocultas y, por supuesto, los contenidos de tu Papelera que olvidaste vaciar vaciar.. El arc archiv hivo o de pag pagina inació ción n o de int interc ercamb ambio io de Win Window dows. s. Cua Cuando ndo la memo me mori ria a de tu comp comput utad ador ora a está está llen llena, a, como como cu cuan ando do has has esta estado do ejecutando muchos programas al mismo tiempo en una computadora, Windows a veces copia los datos que estás utilizando en un archivo extenso llamado archivo de paginación o de intercambio. Como resultado de ello este archivo puede contener casi todo, incluyendo las páginas web, los contenidos de los documentos, las contraseñas o las claves de cifrado. Incluso cuando apagas tu computadora, el archivo de paginación o intercambio no se remueve, por ello debes eliminarlo de forma manual.
Para remover archivos temporales comunes de tu computadora, puedes
73
utilizar CCleaner, software para realizar la limpieza después de utilizar programas como Internet Explorer, Mozilla Firefox y las aplicaciones de Microsoft Office — todas las cuales son conocidas por exponer información importante — así como el mismo Windows. CCleaner borra archivos de forma segura, lo cual ahorra tener que eliminar el espacio no asignado de la unidad, usando Eraser, Eraser, después de utilizarlo.
6.2.3 Utilizando de forma efectiva las herramientas de borrado Ahora que estás familiarizado con algunas de las formas en las cuales tu inf informa ormaci ción ón es está tá ex expu pues esta ta en tu co comp mput utad ador ora a o en un dis disposi positi tivvo de almacenamiento. Si eres diligente en cuanto al borrado de archivos importantes. También sabes que herramientas puedes utilizar para eliminar dicha información en forma permanente. Debes seguir unos cuantos pasos simples, especialmente si es la primera vez que usas estas estas herramien herramientas, tas, para garant garantizar izar que tu unidad quede limpia de manera segura y efectiva: Crea un respaldo cifrado de tus archivos, según capítulo 5. Recuperar información perdida. ◦
◦
◦
◦
◦
Cierra los programas innecesarios y desconectate de Internet. Borra los archivos innecesarios de los dispositivos de almacenamiento y vacía la Papelera. Elimina los archivos temporales utilizando CCleaner. Elimina el archivo de paginación o de intercambio de tmp utilizando Eraser. Elimina el espacio libre de tu computadora y de otros dispositivos de almacenamiento utilizando Eraser. Necesitas que el procedimiento se ejecute en la noche, ya que podría ser lento.
Luego, debes habituarte a: ◦
◦
Utilizar periódicamente CCleaner para eliminar tus archivos te temporales. mporales. Eliminar los documentos electrónicos utiliz utilizando ando Eraser Eraser,, en vez de utilizar la Papelera o la función de borrado de tu sistema operativo.
74
◦
◦
Utilizar Utili zar periódi periódicamen camente te Eraser para elim eliminar inar el archivo de pagina paginación ción o de intercambio tmp. Utilizar periódicamente Eraser para eliminar el espacio no asignado en tu tuss di disc scos os du duro ros, s, pe penn-dr driv ive e USB, USB, y cual cualqu quie ierr ot otro ro disp dispos osititiv ivo o de almacenamiento que pudiera tener información borrada recientemente. Entre ellos se puede incluir disquetes, CD y DVD regrabables y tarjetas de me memo mori ria a fl flas ash h de cá cáma mara ras, s, te telé léfo fono noss mó móvi vile less o re repro produ duct ctor ores es portátiles de música.
6.2.4 Eliminando contenido de un dispositivo de almacenamiento Pod odrí rías as
ne nece cesi sittar
el eliimina minarr
lo loss
co cont nten eniidos dos
de un
disp dispos osit itiivo
de
almacenamiento. o regalas vieja computadora, lo mejor es retirar el disco duroCuando y que elvendes nuevo dueño de launa computadora adquiera uno. Si no es una opción, debes al menos borrar el contenido del disco de manera rigurosa con Eraser antes de entregarlo. Incluso en caso de que conserves el disco, quieras borrar su contenido, sin importar si pretendes reutilizarlo o desecharlo. De manera similar si compras un nuevo disco duro, borra los contenidos del anti antigu guo o desp despué uéss de copi copiar ar tu tuss da dato toss y hace hacerr un re resp spald aldo o segu seguro ro.. Si lo que que pretendes es botar o reciclar un viejo disco duro, también considera el destruirlo fís física icamen mente. te. (pro (profes fesion ionales ales a car cargo go del man manteni tenimie miento nto de las com comput putado adoras ras recom rec omiend iendan an uno unoss gol golpes pes fue fuerte rtess con un mar martil tillo lo ant antes es de des desecha echarr cua cualqu lquier ier dispositivo de almacenamiento que alguna vez contuvo información.) En cualquiera de las situa situacione cioness ya descritas descritas,, neces necesitas itas Eraser para borrar el contenido de un disco duro, lo cual es imposible mientras el sistema operativo se este ejecutando en ese disco en particular. La manera fácil de tratar este asunto es remover el disco y colocarlo en una unidad de disco externa USB; la cual puedes conect con ectar ar a cua cualqu lquier ier com comput putado adora ra que ten tenga ga ins instal talado ado Era Eraser ser.. En este este pun punto, to, puedes borrar el contenido completo del disco externo y luego utilizar Eraser para eliminar todo su espacio no asignado. Afortunadamente, esto no es algo que tengas que hacer a menudo, pues puede tomar un buen periodo de tiempo. En vez de borrar borrar los datos al almacen macenados ados en un CD o DVD regrab regrabable, able, es mejor mej or des destru truir ir el dis disco co mis mismo. mo. Si es nec necesa esario rio,, pue puedes des cre crear ar uno nue nuevo vo que
75
contenga cualquier información que desees mantener. Y, por supuesto, esta es la única manera de 'borrar' el contenido de un disco no regrabable. Es difícil destruir los contenidos de un CD o DVD. Seguramente has escuchado historias sobre información recuperada de tales discos incluso después de que fueran cortados en pequeños pedazos. Aunque estas historias son ciertas, el reconstruir la información de esta manera toma tiempo y pericia. Debes juzgar por ti mismo si es probable o no que alguien gaste recursos con el fin de acceder a tus datos. Un par de fuertes tijeras o una fuerte cortadora de papel hará el trabajo. Si deseas tomar precauciones adicionales, mezclar las piezas resultantes y disponer de ellas en varias ubicaciones alejadas de tu casa u oficina. Para los amigos de Linux, si están preocupados por la seguridad de sus archivos, la mejor opción de cómo borrar un archivo en forma definitiva, ejecute: Shred Este comando comando se ejecuta desde la consola, que viene instal instalada ada por defec defecto to en casi todas las distros populares. Borra archivos y particiones en forma segura, utilizando el método Gutman. SRM Otra alternativa es SRM, del paquete de herramientas Secure Delete. Recuerda que debes instalar Secure Delete Secure Delete viene con 4 herramientas: srm (secure remove), que borra archivos y directorios en forma permanente smem (secure memory wiper), que limpia tu memoria RAM Si bien es cierto que la memoria RAM se vacía cuando apagamos la computadora, es probable que existan ciertos trazos de información residual en la memoria y que, al igual que sucede en los discos rígidos, no se borran hasta que son reescritos varias veces. Esto significa que alguien capacitado que cuente con las herramientas apropiadas puede descubrir al menos parte de la información almacenada en tu RAM. El comando smem puede utilizarse con algunos parámetros para optimizar su rendimiento, pero lo más usual es ejecutarlo así solo.
76
sfill (secure free space wiper), que limpia en forma permanente el espacio libre de tus discos. Es ideal para dejar “limpio” un disco. Es probable que para ejecutarlo sin problemas necesites permisos de administrador. sfill /ruta/montaje/disco sswap (se sswap (secur cure e swa swap p wip wiper) er),, lim limpia pia en for forma ma per perman manent ente e la inf inform ormaci ación ón almacenada en la partición swap. Si te tentó la idea de usar smem, entonces debes utilizar sswap. De lo contrario, la limpieza quedará “a medias”. Primero, es necesario deshabilitar el swap. Tanto shred como srm pueden no ser 100% efectivos en un disco de estado sólido (SSD) o incluso en algunos discos mecánicos avanzados en los que el disco puede no estar escribiendo donde uno imagina. Fs Fslin lintt es le pro progra grama ma par para a aqu aquell ellos os usu usuari arios os des desord ordena enados dos que and andan an dejando carpetas vacías, archivos duplicados por todo el computador o archivos temporales. Con una interfaz amigable, te ayuda con eso y con muchas otras cosas más; entre ellas, borrar las vistas en miniatura de tus fotos (que se acumulan con cada dispositivo que montes), y que acumula una cantidad impresionante de basura. Bleachbit Es un pro progra grama ma exc excele elente nte,, par para a bor borar ar lo que son son:: his histor torial iales, es, arc archiv hivos os temporales, miniaturas. Y no sólo de Ubuntu, sino de muchos programas: Firefox, Flash, libreoofice, Openoffice, Gimp, etc etc..
77
7. Mantener privada tu comunicación en Internet La con conveni venienc encia, ia, la relaci relación ón cos costoto-ben benefi eficio cio y la fle flexib xibili ilidad dad del cor correo reo electrónico y de la mensajería instantánea los hace valiosos para las personas y las organizaciones, incluso para aquellas con el ac acceso ceso más limitado a Internet Internet.. Para conexiones rápidas y confiables, programas como Jitsi, Skype y otras herramientas de Voz sobre Protocolo de Internet (VoI (VoIP) P) comparten estas características. Estas alternativas digitales a los medios tradicionales de comunicación no siempre pueden ser confiables para mantener privada tu información. Por supuesto, esto no es nada nuevo. El correo postal, las llamadas telefónicas y los mensajes de texto también son vulnerables, particularmente cuando se utilizan como objeto de vigilancia por parte de las autoridades. Una diferencia importante entre las comunicaciones digitales, los métodos de comunicación basados en Internet y los métodos tradicionales, es que la primera a menu me nudo do te pe perm rmit ite e el eleg egir ir tu prop propio io ni nive vell de segu seguri rida dad. d. Si enví envías as corr correo eoss electrónicos, mensajes instantáneos y conversaciones en VoIP utilizando métodos inseguros, éstos son casi con certeza menos privados que las cartas físicas o las llamadas telefónicas. Esto ocurre, debido a que potentes computadoras pueden buscar a los remitentes remitentes,, los destinatarios y palabras claves específicas en grandes cantidades de información digital. Se requieren de grandes recursos para llevar a cabo el mismo nivel de vigilancia para canales de comunicación tradicionales. Sin emb embarg argo, o, si tom tomas as cie cierta rtass pre precau caucio ciones nes,, pue puedes des hac hacer er rea realid lidad ad lo opuesto. opuest o. La fle flexib xibili ilidad dad de las her herram ramient ientas as de com comunic unicaci ación ón de Int Intern ernet et y la fortaleza del cifrado moderno proporcionan un nivel de privacidad que alguna vez estuvo al alcance de los ejércitos nacionales y de las organizaciones de inteligencia. El seguir las guías y explorar el software aquí descrito mejora la seguridad de tus comunica comunicaciones ciones.. El servicios de corre correo o elect electrónico rónico Riseup, el compl complement emento o OTR para el programa de mensajería instantánea de Pidgin, el Mozilla Firefox y el complemento Enigmail para el cliente de correo electrónico Mozilla Thunderbird son todas excelentes herramientas. Cuando las utilices debes tener en cuenta que la privacidad de una conversación nunca estará cien por ciento garantizada. Siempre
78
existe alguna amenaza que no has considerado, ya sea un registrador de teclas (key (keylog logge ger) r) en tu co comp mput utad ador ora, a, una una pe pers rson ona a escu escuch chand ando o tr tras as la puer puerta ta,, un corresponsal de correo electrónico descuidado o algo completamente diferente. El objetivo objet ivo es ayudar ayudarte te a reduci reducirr potenc potenciales iales amenaza amenazas; s; y evita evitarr la posición extrema, favorecida por algunos, de no enviar nada por Internet que no estés dispuesto/a a comunicar públicamente.
7.1 Asegurar Asegurar tu correo electrónico Existen pocos pasos que puedes dar para incrementar la seguridad de tu comunicación por correo electrónico. El primero es asegurarte que sólo la persona a quien le envías el mensaje sea capaz de leerlo. Esto se trata en las secciones Mantener privado tu correo con interfaz web y Cambiarse a una cuenta de correo electrónico más segura, que vienen a continuación. Más allá de los fundamentos, a veces es crítico que tus contactos de correo electrónico tengan la capacidad de verificar, sin duda, que un mensaje en particular viene de ti y no de alguien que podría estar intentando hacerse pasar por ti. Una manera de lograrlo está en la sección Seguridad avanzada de correo electrónico, dentro de la sección Cifrar y autenticar los mensajes individuales. Debes saber qué hacer si sospechas que la privacidad de tu cuenta de correo electrónico ha sido violada. La sección Consejos para responder a una sospecha de violación de correo electrónico se ocupa de esta interrogante. Recuerda, que el asegurar el correo electrónico no tendrá efecto positivo si lo que ingresas se registra por medio de un software espía (spyware) y es enviado de manera periódica, por medio de la Internet, a un tercero. El capítulo 1. Proteger tu computadora de software malicioso (malware) y piratas informáticos (hackers) te ofrece algunos consejos sobre como evitar esta clase de cosas, y el capítulo 3. Crear y mantener contraseñas te ayuda a proteger tus cuentas para el correo electrónico y las herramientas de mensajería instantánea descritas a continuación.
7.2 Mantener privado tu correo web La Internet es una red abierta a través de la cual la información normalmente viaja en formato legible. Si un mensaje común de correo electrónico es interceptado
79
en su ruta hacia el destinatario, su contenido puede ser leído fácilmente. Y, Y, debido a que la Internet es una gran red que depende de computadoras intermedias para diri dirigir gir el tráf tráfic ico, o, mu much chas as pers person onas as di dist stin inta tass pued pueden en te tene nerr la opor oportu tuni nida dad d de interceptar un mensaje de esta manera. Tu Proveedor de Servicio de Internet (ISP) es el primer destinatario de un mensaje de correo electrónico cuando este inicia su viaje hacia el destinatario final. De manera similar, el ISP del destinatario es la última parada para tu mensaje antes de ser entregado. A menos que tomes ciertas precauciones, tus mensajes pueden ser leídos o interferidos en cualquiera de estos puntos, o mientras viaja.
7.2.1 Reacción ante sospecha de vigilancia de correo electrónico electrónico Si sospechas que tu cuenta de correo electrónico ha sido hackeada o intervenida, existen algunos pasos para reducir el daño. Si bien no es fácil estar seguro, podrían observarse algunos indicios, como: ◦
◦
◦
◦
cambios en la cuenta de correo electrónico o en su configuración que no has efectuado. los contactos de tu lista de correo avisan que han recibido un correo que tú no enviaste. no puedes ingresar a tu cuenta de correo electrónico, aunque estás seguro de que la contraseña y otras configuraciones son correctas. has dejado de recibir con regularidad algunos correos de tus colegas que insisten haberte enviado.
◦
◦
cierta información privada que fue enviada o recibida exclusivamente por correo electrónico fue dada a conocer a un tercero, aunque ni tú ni tu corresponsal la compartieron. al ingresar al historial de actividad de la cuenta de correo (si tu proveedor la ofrezce) puedes ver que ingresaron a tu cuenta en un horario que no recuerdas o desde un lugar (o dirección IP) a la que no ingresaste.
En estas situaciones, es aconsejable tomar algunas precauciones: ◦
Dejar de usar esa cuent cuenta a de corre correo o elect electrónico rónico para enviar infor informació mación, n,
80
por lo menos hasta tener una mejor comprensión de la situación. ◦
Cambiar tu contraseña tan pronto como sea posible. Ver Ver capítulo 3.
Para cambiar la contraseña de tu cuenta (o para otras cuentas) es necesario estar familiarizado con el sistema de correo electrónico que utilizas. Cambia la contraseña de las otras cuentas que tengan la misma contraseña o una similar ya que podrían estar intervenidas. Utiliza contraseñas diferentes y seguras para cada cuenta. Cambia las contraseñas de las cuentas que posees. Considera utilizar Keepass Keepa ss para almacenarl almacenarlas as y admini administrar strarlas. las. Cambia las respu respuestas estas de seguri seguridad dad (si las utilizas) de las cuentas, para que sea imposible adivinar o encontrar la respuesta buscando información sobre ti. Esta precaución aplica en el caso de que tu computador esté infectado con programas espía (spyware) que podrían poner en riesgo las otras cuentas. Si no puedes ingresar a tu cuenta para cambiar las contraseñas, contacta con tu proveedor de correo electrónico e intentar recuperar tu cuenta. Algunos proveedores de correo electrónico cuentan con procedimientos especiales para ayudar a los usuarios en estos casos. Conocer estos procedimientos con antelación puede ser de ayuda. Debes mitigar la pérdida de información y el impacto en tu comunidad. Es import imp ortant ante e con contar tar con un plan de res respue puesta sta.. Saber Saber qué tipos tipos de inf inform ormaci ación ón importante tienes en la cuenta y determinar aquellas personas con las cuales intercambias información a través de esa cuenta, decidir a quienes alertar y qué otras cuentas es necesario visitar o cerrar. Determinar qué servicios (de Internet, financieros, etc.) es necesario conservar o cancelar. Separa y controla las carpetas de la cuenta (si es posible) para investigar qué podría haber sido enviado desde tu cuenta y actuar en consecuencia. Para informar a tus contactos, necesitas una copia de tu libreta de direcciones por separado. También, revisa la configuración de tu cuenta para ver posibles cambios que se hayan producido. Controlar las opciones de firmas de las cuentas para los enlaces y programas maliciosos (malware), enviando opciones que permitan copiar correos electrónicos que recibes a una tercera cuenta, mensajes de aviso de ausencia, visualizar el nombre, etc. Investiga cómo fue intervenida tu cuenta. Ocurrió porque la contraseña no era segura, o infección de programas maliciosos, etc. Cuanto más sepas sobre esto será mejor tu capacidad para responder ante la situación y la posibilidad de proteger
81
a sus contactos. Revisa la seguridad de tus dispositivos que acceden al correo electrónico desde esa cuenta,así como los que almacenan la contraseña de su cuenta de correo corre o elect electrónic rónico. o. Ver capít capítulos ulos 1. Prot Proteger eger tu computadora computadora de malw malware are y pirata piratass informáticos (hackers), 2. Proteger tu información de amenazas físicas y [11. Utilizar teléfonos móviles de la forma más segura posible]. Revise su software antivirus (vea los manuales guía de Avast! - Anti-Virus y Spybot - Anti-Spyware. Examina tu computador: lee 4.1 Guía corta para combatir las infecciones de virus. Utiliza un CD o USB de rescate para realizar un examen exhaustivo, ver 4.9 Métodos avanzados para la eliminación de virus. Si no estás seguro/a de que has podido limpiar tu equipo, considera volver a instalar todo el software, inclusive el sistema operativo desde una fuente limpia. Contempla el cambiar a programas más seguros como Firefox, Thunderbird, LibreOffice y otros programas de código libre y abierto. Tras realizar las mejoras mencionadas a la seguridad de tus dispositivos, cambia tus contraseñas nuevamente a nuevas, más seguras. ◦
◦
◦
Denuncia el hackeo de tu cuenta a tu proveedor de correo electrónico. Considera utilizar otra cuenta, más segura, como, una que notifique cuando se ingresa desde lugares o dispositivos inusuales e impida el acceso. Utiliza una cuenta que esté albergada fuera de tu país y usa cifrado cifr ado de correo correo,, ver gpg4us gpg4usb b - texto de correo electróni electrónico co y cifra cifrado do de ar arch chiv ivos os]] o [T [Thu hund nder erbir bird d co con n En Enig igma mailil y GP GPG G - Cl Clie ient nte e de corr correo eo electrónico seguro]. Evita guardar correos ya leídos en el servi Evita servidor dor de correo en tu cuenta de correo cor reo ele electr ctróni ónico. co. En lug lugar ar de est esto, o, descár descárgal galos os a tu com comput putado adorr segu seguro ro.. An Anal aliz izar ar la segu seguri rida dad d conq conque ue acce accede dess a tu cu cuen enta ta y los los dispositivos que utilizas a este fin.
En una situación como esta, es importante actuar con rapidez y precisión. Tener un plan preparado y ensayado puede ser de ayuda. Si sospechas que alguien está vigilando tu correo electrónico, crea una nueva cuenta cuenta y conserv conserva a la antigua como un señuel señuelo. o. Recuerd Recuerda a que cualqu cualquier ier cuenta con la cual hayas intercambiado correo electrónico en el pasado podría estar también ahora bajo vigilancia. T Toma oma algunas precauciones adicionales:
82
•
Tanto tú como tus contactos de correo electrónico deben crear nuevas cuentas y conectarse a ellas sólo desde lugares, como un café Internet, que nunca antes hayan utilizado. Te recomendamos esta estrategia para evitar conexiones desde la computadora que normalmente usas, la cual puede estar vigilada, y facilitarles a quienes te vigilan la ubicación de tu nueva cuenta. Como alternativa—si vas a iniciar sesión para tu nueva cuenta desde tu ubicación normal — utiliza una de las herramientas del capítulo 8.
•
•
•
•
Intercambia información sobre tu nueva dirección de correo electrónico sólo a trav través és de cana canale less segu seguro ros, s, como como reu reuni nion ones es cara cara a ca cara ra,, me mens nsaj ajes es instantáneos seguros o cifrados, conversaciones de Voz sobre Protocolo de Internet (VoIP). Mantén casi sin cambios el tráfico en tu vieja cuenta, al menos por un tiempo. Debes aparentar ante el espía que sigues utilizando la cuenta para información importante. Evita el revelar información vital, pero no hacer obvio que lo estás haciendo. Como puedes imaginar, esto puede ser algo exigente. Condiciona el conectar tu identidad real con tu nueva cuenta. No envíes correos electrónicos entre tu nueva cuenta y las antiguas (o las de cualquier contacto del que sospeches que también pueda estar vigilado). Mantente atento a lo que escribes cuando utilices tu nueva cuenta. Evita nombres reales y direcciones o frases como 'derechos humanos' o 'tortura.' Desarr Des arroll olla a un sis sistem tema a de cód código igo inf inform ormal al con tus con contac tactos tos de cor correo reo electrónico y cámbialo periódicamente. Recuerda, la seguridad del correo electrónico no sólo trata de fuertes defensas técnicas; es prestar atención a como tú y tus contactos de correo electrónico se comunican y se mantienen disciplinados con relación a sus hábitos no técnicos de seguridad.
7.2.2 Asegura otras herramientas de comunicación por Internet De manera similar que en el caso del correo electrónico, el software de mensajería instantánea y de Voz sobre Protocolo de Internet (VoIP) puede o no ser seguro, dependiendo de las herramientas que selecciones y cómo las uses.
83
7.2.3 Asegura tu software de mensajería instantánea instan tánea La mensajería instantánea, llamada 'chat,' no es segura, y es tan vulnerable a la vigilancia como lo es el correo electrónico. Existen programas que te ayudan a asegurar la privacidad de tus sesiones de chat. Sin embargo - del mismo modo que con el correo electrónico - un canal de comunicación seguro requiere que tanto tú como como tus tus cont contac acto toss de chat chat ut utililic icen en el mi mism smo o soft softwa ware re y to tome men n las las mi mism smas as precauciones de seguridad. El prog progra rama ma de ch chat at llllam amad ado o Pi Pidg dgin in admi admite te mu much chos os de los los pro proto toco colo loss existentes de mensajería instantánea, lo que significa que puedes utilizarlo sin tener que cambiar el nombre de tu cuenta o recrear tu lista de contactos. Con el fin de tener conversaciones privadas cifradas a través del Pidgin, necesitas instalar y activar el complemento Fuera de Registro (OTR). Es un proceso simple.
7.2.4 Asegura tu software de Voz sobre Protocolo de Internet (VoIP) Las llamadas utilizando Voz sobre Protocolo de Internet (VoIP) hacia otros usuarios del mismo protocolo son gratuitas. Algunos programas hacen llamadas económ eco nómica icass a tel teléfo éfonos nos nor normal males, es, inc incluy luyendo endo llamad llamadas as int intern ernaci acional onales. es. No es nece necesa sari rio o de deci cirr qu que e esta estass carac caracte terí ríst stic icas as son son extr extrem emad adam amen ente te út útililes es.. Los Los programas populares de Voz sobre Protocolo de Internet (VoIP) incluyen: Skype, Jitsi, Google Talk [2], y el Yahoo! Voice [3]. Cuando utili Cuando utilices ces conversac conversaciones iones por voz para el inter intercambio cambio de infor informació mación n importante impor tante selecci selecciona ona una herramienta que cifre la llama llamada da desde tu compu computadora tadora hasta la computadora del destinatario. Utiliza software libre y de código abierto, preferiblemente aquellos que han sido revisados, probados y recomendados por una comunidad confiable. Tomando en cuenta los criterios expuestos anteriormente, recomendamos que pruebes Jitsi como tu elección para VoIP VoIP..
7.3 Seguridad de Skype El Skype es una herramienta común de mensajería instantánea y de VoIP que soporta llamadas a líneas fijas y teléfonos móviles. A pesar de su popularidad, varios temas hacen de esta aplicación un elección insegura. He aquí: •
Skype encripta tanto mensajes como llamadas de voz, esto sucede cuando
84
ambos lados de la comunicación utilizan Skype. Éste, no cifra las llamadas a teléfonos o textos enviados por mensajes SMS. •
Si ambos lados de la comunicación utilizan Skype, su cifrado hará un poco más segura la llamada que aquellas realizadas de forma común por teléfono. Pero, como Skype es una programa de código cerrado, es imposible realizar una auditoría independiente y una evaluación de sus afirmaciones sobre cifrado, así mismo es imposible verificar que tan bien protege Skype a sus usuarios/as y su información y comunicación. Ver capitulo 1.
No recomendamos a Skype como herramienta segura de comunicación, toma precauciones si decides utilizarlo para información importante: ◦
Descarga e instala Skype de su sitio oficial www.skype.com para evitar un programa infectado con spyware. Revisa dos veces el URL para asegurarte de que estas conectado al sitio oficial. En algunos países, el sitio de Skype está bloqueado y/o algunos sitios falsos anunciando que son el sitio oficial de Skype están funcionando. En estos casos, la versión disponible de Skype está infectada con malware diseñado para espiar cualquier comunicación. Utiliza herramientas de evasión, ver Capítulo 8, para conectarse a Skype y descarga una versión genuina de él y cuando quieras actualizar la última versión del programa.
◦
Es importante que cambies tu contraseña de Skype regularmente. Éste, permite múltiples accesos a sesiones desde diferentes ubicaciones y no te informa de estas múltiples sesiones simultáneas. Esto es un riesgo si tu contraseña se encuentra comprometida, porque cualquiera con esa contraseña puede abrir su sesión. Las sesiones abiertas reciben todas las comunicaciones de texto y tienen acceso al historial de llamadas. Cambiar la contraseña es la única forma de deshabilitar las sesiones 'ilegales' (obligando a un reinicio de sesión).
◦
◦
Activa Acti va la conf config igur urac ación ión de pr priv ivac acid idad ad de Sk Skyp ype e para para no guar guarda darr el historial de los chat. Deshabilita la configuración del Skype para aceptar automáticamente los archivos enviados, esto es utilizado para introducir malware/spyware en las computadoras.
85
◦
Verific erifica a de forma indepe independient ndiente e la identidad de la persona con quien te comunicas. Es sencillo hacerlo cuando realizas chat con voz ya que sabes con quién estás hablando.
◦
◦
◦
Decide si quieres que tu nombre de usuario te identifique o te relacione con tu nombre verdadero o el nombre de tu organización. Busca Busc a ot otra rass al alte tern rnat ativ ivas as de comu comuni nica caci ción ón.. Sk Skyp ype e podr podría ía no esta estarr disponible en todo momento. Ten cuidado con lo que dices, desarrolla un sistema de código para conversar sobre ciertos temas sin utilizar una terminología específica.
A pesa pesarr de la popul popular arid idad ad de Sk Skyp ype, e, las las pre preoc ocup upac acio ione ness expu expues esta tass cuestionan su seguro, recomendamos deistro herramientas como Jitsi para VoIP y Pid Pidgin gin,uso , con com comple plemen mento to Fue Fuera ra el deuso Reg Regist ro (OTR) (OTR),, par para a men mensaj sajerí ería a instantánea segura.
7.4 Seguridad avanzada de correo electrónico Las herramientas y conceptos tratados a continuación se recomiendan para usuarios experimentados de computadoras.
7.4.1 Utilizar cifrado de clave (clave) pública en correo electrónic electrónico o Es po posi sibl ble e al alca canz nzar ar un ac acep epta tabl ble e nive nivell de priv privac acid idad ad co con n el corr correo eo electrónico, incluso con una cuenta de correo electrónico insegura. Para hacer esto, debes aprender sobre cifrado de clave pública. Con esta técnica, cifras mensajes individuale indiv iduales, s, haciéndolos ilegible ilegibless a cualq cualquiera uiera que no sea el desti destinatari natario o previs previsto. to. El aspecto del cifrado de clave pública es que no tiene que intercambiar información secreta con tus contactos sobre cómo vas a cifrar tus mensajes en el futuro. Esta técnica, es válida a cualquier servicio de correo electrónico, incluso para uno que no cuente con un canal de comunicación seguro, ya que los mensajes individuales son cifrados antes de dejar tu computadora. Recuerda que al utilizar el cifrado atraes la atención hacia ti. El tipo de cifrado utilizado al acceder a un sito web seguro, incluyendo una cuenta de correo con interfaz web, se ve a menudo con menor sospecha que la del tipo de cifrado de
86
clave pública del que nos ocupamos aquí. En algunas circunstancias, si un correo electrónico que contiene datos cifrados es interceptado o publicado en un foro público, podría incriminar a la persona que lo envió, sin considerar el contenido del mensaje. Tendrás que seleccionar entre la privacidad de tu mensaje y la necesidad de mantenerte sin llamar la atención.
7.4.2 Cifrar y autenticar mensajes individuales El cifrado de clave pública puede parecer complicado al inicio, pero es directo una vez que has entendido los fundamentos y que las herramientas no son difíciles de utilizar. El programa gpg4usb es simple, de fácil uso para el usuario y portátil, cifra textos y archivos para mensajes de correo electrónico incluso cuando no estás conectado a la Internet. Utiliza el programa de correo electrónico de Mozilla Thunderbird con un comp comple leme ment nto o llllam amad ado o En Enig igma mailil para para ci cifr frar ar y desc descififra rarr me mens nsaj ajes es de corr correo eo electrónico. VaultletSuite 2 Go, sof software tware gratuito de cifrado de correos electrónicos, más fácil de utilizar que Thunderbird si optas por confiar en la compañía que lo provee y le dejas realizar parte del trabajo por ti. La autenticidad de tu correo electrónico es otro aspecto de la seguridad en las las comu comuni nica caci cione ones. s. Cu Cualq alqui uier era a con con acce acceso so a la In Inte terne rnett y las las herr herram amie ient ntas as correctas puede suplantarte enviando mensajes desde un correo electrónico falso idéntico al tuyo. El peligro es aparente cuando se considera desde la perspectiva per spectiva del destinatario. Imagina, la amenaza planteada por un correo electrónico que aparenta ser de un contacto confiable pero en realidad es de alguien cuyo objetivo es perturbar tus actividades o conocer información sobre tu organización. Debido a que no podemos ver o escuchar a nuestros corresponsales a través del correo electrónico, debemos confiar en la dirección del remitente para verificar su identidad, razón por la cual somos engañados por correos electrónicos falsos. Las Firmas digitales - las cuales se sostienen en el cifrado de clave pública proporcionan un medio seguro de probar la identidad de uno cuando envía un mensaje. La guía del gpg4usb Portátil o la sección Utilizar Enigmail con GnuPG en Thunderbird de la Guía del Thunderbird explica en detalle cómo se hace esto.
87
8 Mantener el anonimato y evadir la censura en Internet Muchos países han instalado software que evita que los usuarios del país accedan a ciertos sitios web y servicios de Internet. Las compañías, colegios y bibliotecas públicas a menudo utilizan un software similar para proteger a sus empleados, estudiantes y clientes de material que consideran molesto o dañino. Este Este tip tipo o de tec tecnol nologí ogía a de fil filtra trado do vie viene ne en dif difere erente ntess for formas mas.. Alg Alguno unoss filtro filtross bloquean sitios de acuerdo a su dirección IP, otros ponen en su lista negra ciertos nombres de dominio o buscan a través de las comunicaciones no cifradas en Internet palabras claves específicas. Sin importar el método de filtrado presente, casi siempre es posible evadirlos confiando en computadoras intermediarias, fuera del país, para acceder a servicios bloqueados para ti. Este proceso se llama evasión de censura, o simplemente evasión, y las computadoras intermedias se lllaman laman proxy proxy.. T También ambién existen proxy de diferentes formas. Este capitulo incluye un breve tratamiento de redes de anonimato multiproxy multi proxy seguid seguido o de una descripc descripción ión más al detalle de proxy de evasión básica y de cual es su forma de funcionamiento. Ambos métodos son maneras efectivas de evadir los filtros de Internet, el primero es más apropiado si estas dispuesto a sacrificar velocidad con el fin de manten man tener er tus act activi ividad dades es en Intern Internet et lo más anónim anónimas as pos posibl ibles. es. Si con conoce ocess y confías en la persona o en la organización que opera tu proxy, o si el desempeño es más importante para ti que el anonimato, un proxy de evasión básica te será útil.
8.1 Comprender la censura en Internet Las inv invest estigac igacione ioness lle llevada vadass a cab cabo o por org organi anizac zacion iones es com como o Ope OpenNe nNett 16 17 Initiative (ONI) y Reporteros Sin Fronteras (RSF) indican que muchos países filtran una amplia variedad de contenido social, político y de 'seguridad nacional', aunque raramente publican listas precisas de lo bloqueado. 16 La misión de ONI es identificar y documentar el filtrado de Internet y la vigilancia, y promover e informar a los diálogos públicos más amplios sobre este tipo de prácticas. 17 RSF promueve y defiende la libertad de informar y de ser informado en cualquier lugar del mundo
88
Naturalmente, aquellos que controlan el acceso de sus ciudadanos a la Internet también hacen un esfuerzo especial para bloquear proxy y sitios web conocidos con herramientas e instrucciones para ayudar a las personas a evadir estos filtros. A pesar de la garantía de libre acceso a la información consagrada en el Artículo 19 de la Declaración Universal de los Derechos Humanos, el número de países involucrados en la censura de Internet se ha incrementado en los últimos años. A medida que la prácti práctica ca de filtr filtrado ado de Inter Internet net se disemina en el mundo, de igual manera lo hace el acceso a las herramientas de evasión que han sido creadas, utilizadas y publicitadas por activistas, programadores y voluntarios. Previo a explorar las distintas maneras de evadir la censura en Internet, debes desarrollar un entendimiento básico de cómo funcionan estos filtros. Para hacerlo, es útil considerar un modelo simplificado de tu conexión a Internet.
8.1.1 Tu Tu conexión a Internet El primer paso de tu conexión a Internet se hace a través del Proveedor de Servicio Serv icio de Inter Internet net (ISP) en casa, oficina oficina,, colegi colegio, o, biblioteca o café Internet Internet.. Este Proveedor le asigna a tu computadora una dirección IP, la cual puede ser utilizada por varios servicios de Internet para identificarte y enviarte información, como los correo cor reoss ele electr ctróni ónicos cos y pág página inass web que sol solici icites tes.. Cualqu Cualquier iera a que con conozc ozca a tu dirección IP sabe, más o menos, en que ciudad te hallas. Algunas organizaciones en tu país, pueden utilizar esta información para determinar tu ubicación precisa. Tu Proveedor de Servicio de Internet (ISP) sabrá en qué edificio estás o qué línea telefónica estás utilizando si accedes a Internet a través de un módem. Tu caf café é Interne Internet, t, bib biblio liotec teca a o neg negoci ocio o sab sabrá rá que compu computad tadora ora est estuvi uviste ste utilizando en un momento determinado, así como a qué puerto o a qué punto de acceso inalámbrico estuviste conectado. Las Las agen agenci cias as gu gube bern rnam amen enta tales les pued pueden en co cono noce cerr esto estoss deta detalllles es,, como como resultado de su influencia sobre las organizaciones arriba mencionadas. En este punto, tu Proveedor de Servicio de Internet (ISP) descansa en la infraestructura de la red en tu país para conectar a sus usuarios, incluyéndote, con el resto del mundo. En el otro extremo de tu conexión, el sitio web o el servicio de
89
Internet al cual estás accediendo pasa por un proceso similar, habiendo recibido su propia dirección IP de su Proveedor de Servicio de Internet (ISP) en su país. Incluso sin los detalles técnicos, un modelo básico es útil cuando piensas en las varias herramientas que te permiten rodear los filtros y mantenerte anónimo en la Internet.
8.1.2 Cómo son bloqueados los sitios web Esencialmente, cuando visualizas una página web, muestras la dirección IP del sitio a tu Proveedor de Servicio de Internet (ISP) y solicitas conectarte con el servidor web. Y hará eso, si tienes una conexión de Internet no filtrada. Si te encuentras encue ntras en un país que censura la Inter Internet, net, éste consulta primer primero o la list lista a negra de sitios web prohibidos y luego decide si accede o no a tu solicitud. algunos casos, puede haber una organización central que Amaneja el filtrado En en lugar de los mismos Proveedor de Servicio de Internet (ISP). menudo, una lista negra contiene nombres de dominio, como www.blogger.com, en vez de direcciones IP. En algunos países, el software de filtrado controla tu conexión, en vez de intentar bloquear direcciones específicas en Internet. Este tipo de software escanea las solicitudes que hiciste y las páginas que regresan a ti, buscando palabras claves para luego decidir si te permite o no ver los resultados. Para empeorar empeorar las cosas, cuando una página web es bloque bloqueada ada ni siqui siquiera era lo sabes. Aunque algunos filtros proporcionan proporcionan una 'pági 'página na de bloque bloqueo' o' que explica porque una página en particular ha sido censurada, otras muestran mensajes de error desorientadores. Estos mensajes pueden implicar que la página no puede ser encontrada o que la dirección fue mal ingresada. En general, lo fácil es adoptar la perspectiva correspondiente al peor caso haci hacia a la cens censur ura a de In Inte tern rnet et,, en vez vez de inte intent ntar ar inve invest stig igar ar las las fo fort rtal alez ezas as y debilidades de las tecnologías de filtrado utilizadas en tu país. En otras palabras, puedes asumir que: ◦
◦
Tu tráfico en Internet está controlado por palabras claves. El filtrado está implementado directamente al nivel del Proveedor de Servicio de Internet (ISP).
90
◦
Los sitios bloqueados son considerados en listas negras tanto por las direcciones IP como por nombres de dominio.
◦
Te pueden dar diversas razones para explicar porque un sitio bloqueado no se descarga.
Debido Debi do a qu que e la lass he herr rram amie ient ntas as de evas evasió ión n má máss ef efec ecti tiva vass pued pueden en ser ser util utiliz izad adas as si sin n im impo port rtar ar que que mé méto todo doss de fi filt ltra rado do está están n en fu func ncio iona nami mien ento to,, generalmente no hace daño hacer esta asunción pesimista.
8.2 Entender la evasión de la censura Si no accedes directamente a un sitio web debido a que está bloqueado por uno de los métodos tratados anteriormente, necesitas una forma para rodear la obstrucción. Un servidor proxy seguro, localizado en un país que no filtra la Internet te proporciona esta clase de desvío buscando las páginas web que solicitas y, luego envía dichas paginas a tu Pc. Desde la perspectiva de tu Proveedor de Servicio de Internet (ISP) apareces comunicándote de manera segura con una computadora desconocida (el servidor proxy) en algún lugar de la Internet. Obviamente, la agencia gubernamental a cargo de la censura de Internet en tu país—o la compañía que proporciona actualizaciones para su software de filtrado — finalmente podrían saber que esta 'computadora desconocida' es realmente un proxy de evasión. Si esto ocurre, su dirección IP puede ser añadida a la lista negra, y no funcionará más. Sin embargo, toma algún tiempo el bloqueo de los proxy, y aquellos quienes crean y actualizan las herramientas de evasión están conscientes de esta amenaza. Los creadores de sitios de evasión responden utilizan uno o los dos métodos mostrados a continuación: 1. Los Proxy anónimos son difíciles de identificar . Es una de las razones por la que es importante utilizar proxy seguros, los cuales son menos obvios. Sin embargo, el cifrado es sólo parte de la solución. Los operadores de un proxy también deben ser cuidadosos cuando dan su ubicación a nuevos usuarios si desean que se mantenga el anonimato. 2. Los Proxy desechables son reemplaz reemplazados ados rápidamente después de ser
91
bloqueados . El proceso de informar a los usuarios de como hallar los proxy de reemplazo puede no ser particularmente seguro. En vez de ello, las herramientas de evasión de este tipo a menudo tratan de distribuir los nuevos proxy más rápido que su proceso de bloqueo. Al final, mientras sea posible tener a la mano un proxy confiable para que te traiga los servicios que solicitas, todo lo que debes hacer es enviar tu solicitud y ver que regrese utilizando la aplicación apropiada de Internet. Los detalles de este proceso son manejados automáticamente por el software de evasión que instalaste en tu computadora, al modificar las opciones de tu navegador o dirigiéndolo a una página proxy basada en la web. La red anónima Tor18, descrita en la sección siguiente, utiliza el primer método. A continuación, el tópico de herramientas de evasión proxy básicas, únicas, cada una de las cuales funciona de manera diferente.
8.2.1 Cómo configurar un proxy en Firefox 1. Ha Hazz clic clic en el me menú nú de Fi Fire refo foxx. Pa Pasa sa por por las las "Opc "Opcio ione nes" s" y se sele lecc ccio iona na "Opciones" del submenú. 2. Abre la ca categor tegoría ía "A "Avanzad vanzado". o". Es Está tá a la derec derecha ha del tod todo o en la lista lista.. Haz cli clicc en la pestaña de "Red". 3. Ha Hazz cl clic ic en el bo botó tón n de "Aju "Ajust stes es". ". Se abre abre la ve vent ntan ana a de "Aju "Ajust stes es de conexión". 4. Elig Elige e "Con "Confi figu gura raci ción ón ma manu nual al de prox proxy" y".. Es Esto to te perm permit ite e intr introd oduc ucir ir la información en los campos situados debajo. 5. Introduce tu información proxy. 1. Intro Introduce duce el sservid ervidor or proxy a all que te cconecta onectass en el ca campo mpo "HT "HTTP TP Pr Proxy" oxy".. Si necesitas introducir un puerto específico, introdúcelo en el campo de "Puerto". 18 Tor usa el protocolo Diffie Hellman, Hellman, sobre una conexión TLS de una capa inferior previamente establecida, para procurarse claves de sesión entre el cliente y los nodos de enrutamiento de la red. Esas claves son usadas para cifrar las capas de cebolla de los paquetes que transitan por la red.
92
2. Si te cconect onectas as a un pro proxy xy FT FTP P dif diferente erente,, intro introdúcelo dúcelo e en n el camp campo o "Pro "Proxy xy FTP". Si quieres usar un servidor proxy para todos los protocolos, marca la casilla debajo del campo "HTTP Proxy" Proxy".. 3. Pre Presio siona na "OK" para gua guarda rdarr tus cam cambio bios. s. Pued Puede e que nec necesi esites tes rei reinic niciar iar Firefox para que los cambios surtan efecto.
8.2.1.Uso del modo de navegación anónima para una navegación privada Puedes abrir una ventana de incógnito en tu computadora o dispositivo móvil para evitar que Chrome guarde tu historial de navegación.
En una computadora 1. Abre bre Chrom hrome. e. 2. En esqui esquina na superi superior or derec derecha ha del navegador navegador,, clic en menú de Chrom Chrome e
.
3. Selec elecci cion ona a Nueva ventana de incógnito. 4. En la esqu esquina ina sup superi erior or dere derecha cha,, se abre una ven ventan tana a nueva co con n una figu figura ra gris. 5. Para ccerrar errar el m modo odo de nav navegaci egación ón de incó incógnito, gnito, desplá desplázate zate ha hasta sta la es esquina quina de cada una de tus ventanas de incógnito y haz clic en la X. El modo de navegación de incógnito no está disponible si la cuenta es parte del "Modo de familia" de Windows 10. También puedes presionar Ctrl + Mayús + N (Windows, Linux y Sugerencia : También Chrome) y ⌘ - Mayús – N (Mac) para abrir una ventana de incógnito.
En un dispositivo A Android ndroid 1. Ab Abre re una ve venta ntana na de Chr Chrome ome.. 2. Toca el menú de Chrom Chrome, e, que puede tener el aspec aspecto to de tres punto puntoss una pestaña
.
3. Toca Nueva pest. de incógnito.
93
od de e
4. Se abre una venta ventana na nueva con un ícono de incóg incógnito nito gris
.
5. Para ce cerrar rrar el mo modo do de naveg navegación ación de inc incógnito ógnito:: 1. Si tienes A Android ndroid 5.0 (Lollip (Lollipop) op) o una versión post posterior erior,, deslízat deslízate e en Chrom Chrome e desde la parte superior y toca Chrome: Cerrar todas las ventanas de incógnito . 2. Si tiene tieness una vers versión ión anter anterior ior de Andro Android, id, despl despláza ázate te hasta la esq esquin uina a de cada una de tus ventanas de incógnito y toca la X.
En un iPhone o iPad 1. Ab Abre re u una na vven enta tana na d de e Ch Chro rome me.. 2. Abr Abre e el íco ícono no del men menú ú de Chr Chrome ome
.
3. Sel elec ecci cion ona a Nueva pestaña de incógnito*. 4. Se abre una ventan ventana a nueva con un ícon ícono o de incógn incógnito ito gris
.
5. Par Para a cerra cerrarr el mod modo o de navega navegació ción n de inc incógn ógnito ito,, despl despláza ázate te hast hasta a la esquina de cada una de tus ventanas de incógnito y toca la X.
Nota : Tu iPhone o iPad pueden almacenar información de algunos sitios web que visitas en modo de navegación de incógnito, incluso si Google Chrome no lo hace. Esto Esto se debe a que las pestañas del modo de navega navegación ción de incógnito y del modo normal comparten almacenamiento local de HTML5 en dispositivos iOS. Los sitioss web HTML sitio HTML5 5 pueden obtene obtenerr esta inform información ación sobre tu visita en esta área de almacenamiento. Puedes cambiar entre una ventana de incógnito y una ventana normal que tengas abierta. Sin embargo, solo estarás en modo de navegación de incógnito cuando uses la ventana de incógnito.
8.2.3. Cómo funciona el modo de navegación de incógnito El modo de navegación de incógnito abre una ventana nueva donde puedes navegar en Internet sin que Chrome guarde los sitios que visitas. En el modo de navegación de incógnito, puedes abrir muchas pestañas y navegar hacia atrás y hacia adelante en las páginas que visitas. Cuando cierres las pestañas, Chrome no guardará los sitios que visitaste.
94
Ten cuidado. A continuación, se indican algunas fuentes que todavía pueden ver la actividad de navegación, incluso en el modo de navegación de incógnito: •
tu proveedor de servicios
•
tu empleador
•
el sitio web correspondiente
Descargas Chrome no guardará un registro de los archivos que descargues en el modo de navega navegación ción de incóg incógnito. nito. Sin embar embargo, go, los archi archivos vos descargados se guarda guardarán rán en la carpeta Descargas de tu computadora, donde tú y otros usuarios podrán verlos y abrirlos, incluso después de cerrar las pestañas de incógnito. Para obtener más información acerca de lo que se almacena en el modo de navegación de incógnito, consulta la política de privacidad de Chrome.
Salir y cerrar el modo de navegación de incógnito Para cerrar el modo de navegación de incógnito, desplázate hasta la esquina de cada una de tus ventanas de incógnito y haz clic o toca la X. Si tiene tieness Android 5.0 (Lollipop) o una versión posterior, deslízate en Chrome desde la parte superior y toca Chrome: Cerrar todas las ventanas de incógnito.
8.2.2 ¿Por qué esconder la IP? Una IP define los dispositivos de una red de modo parecido a como tu huella dactilar te distingue de otras personas. Cuando navegas por Internet los sitios web pueden averiguar tu IP. Es como ir dejando huellas en las páginas que visitas. Eso tiene varios riesgos. Alguien que rastree tu IP y otros datos sobre tu PC podrá: ◦
◦
Conocer tus hábitos de navegación y lo que haces en linea. Averiguar todo tipo de informaciones adicionales sobre ti. Desde tu e-mail a tu teléfono o incluso tu dirección física.
95
◦
Descubrir vulnerabilidades que ataquen tu PC y roben datos personales. In Incl clui uida dass co cont ntras raseñ eñas as de acce acceso so a tu banc banco o en line linea a o tu corr correo eo electrónico.
Ocultar tu IP Hay tres formas de esconder la IP mediante un servidor proxy o varios de ellos encadenados:
Proxy web Es el método más simple e inmediato. No hace falta instalar algún software ni configurar tu navegador. Accede a ellos entrando en un sitio web. Tienen un campo donde indicar la dirección de la página a visitar anónimamente. Algunoss per Alguno permit miten en con config figura uracio ciones nes adi adicio cional nales es par para a blo bloquea quearr coo cookie kies, s, banners publicitarios ( ads) o aplicaciones que se ejecutan en los sitios web (como javaScripts o ActiveX ). ). Esto se usa para descubrir la IP que intentas esconder. Los hay gratuitos y de pago. Los primeros ofrecen opciones extra que hay que pagar. Cosas como una navegación rápida o mayores prestaciones. Prueba estos dos: ◦
◦
Proxify. Rápido y funciona bien. Permite de modo gratuito conexiones cifradas mediante SSL y https, lo que refuerza su seguridad al esconder tu IP. Anonymouse. Una alternativa a Proxify. No puede personalizarse y el cifrado no se incluye en la versión gratuita. Pero tiene la opción de enviar AnonEmail ) o publicar con privacidad en grupos de e-mails anónimos ( AnonEmail AnonNews). noticias ( AnonNews
Proxy de software Tienes que instalarlo en tu PC como harías con cualquier programa. Mi favorito de este tipo es el PROYECTO TOR. Es gratis y uno de los sistemas más seguros y fiables para esconder la IP. Para instalar Tor en tu PC: 1. Ent Entra ra en la p pági ágina na de de desca scarga rgarr de T Tor or..
96
2. Debaj Debajo o del botón D Downlo ownload ad T Tor or Brow Browser ser Bun Bundle dle hay una llista ista de idi idiomas omas disponibles. Es mejor que mantengas el inglés, pero si quieres elige el español. Seleccionado el idioma presiona el botón de Download. 3. Gua uard rda a en tu PC el arch rchiv ivo o de insta nstallació ación. n. Cuand uando o termi ermine ne de descargarse ve hasta donde esté y haz doble clic en él. Se llama algo como torbrowser-install-[nº de versión]_[idioma] (como torbrowser-install3.5.2.1_en-US). Confirma que el archivo se ejecute si hace falta. 4. Si sal sale e la opció opción n de elegir id idiom ioma, a, sele selecci cciona ona el que qui quiera erass en la lista desplegable. Después presiona OK. Mantén la carpeta de instalación por defecto que te propone una nueva ventana y presiona Install. Luego presiona Finish. 5. Se cre crea a un una a ca carpe rpeta ta ccon on e ell no nombr mbre e Tor Browser en el Escritorio. Entra en Startt Tor Brow Browse serr para empezar a esa esa ca carp rpet eta a y ha hazz do dobl ble e cl clic ic en Star navegar anónimamente. La primera vez debes pulsar Connect . IMPORTANTE: Para garantizar tu anonimato tienes que utilizar SIEMPRE el Tor Browser, que se abre como acabo de explicar en el punto 5. Tor Browser es una versión especial de Firefox (Aurora). Se usa casi igual que tu navegador de costumbre. Lo usan todo tipo de personas para mantener el anonimato en Internet. Incluidos periodistas o disidentes de países dictatoriales que de otro modo se pondrían a sí mismos en peligro. La red Tor está compuesta por una gran cantidad de Pc repartidos por el mundo (nodos o relays Tor). Cuando alguien navega usando Tor lo hace siguiendo un camino aleatorio a través de varios de esos nodos, hasta llegar al sitio web de destino. Las comunicaciones dentro de Tor están cifradas. Es muy difícil reconstruir el camino seguido y rastrear su origen (a ti).
8.2.3 Cómo protegerte Esconder la IP de un PC tiene su ciencia. No puedes cambiarla para ocultar la verdadera. Igual que no puedes cambiar a voluntad tus huellas o tu cara. Lo que sí puedes hacer es usar una especie de máscara que engañe a quien
97
pretende rastrear tu IP. IP. Eso se consigue mediante lo que se llama un servidor proxy . En condiciones normales navegas por Internet a cara descubierta, podría decirse. Usas por ejemplo un navegador como Explorer 9. Escribes en él una dirección que te conecta sin filtros con un sitio web y éste puede por ello saber tu IP (reconocer tu cara). Un servidor proxy es un intermediario entre tú e Internet. Para acceder a un sitio web te conectas al proxy y él quien se conecta a ese sitio web. La dirección IP que aparece no es la tuya, sino la del servidor proxy (lo que ve ve es una máscara, no tu verdadera cara). Importante sobre la navegación anónima: ◦
◦
◦
NING NINGÚN ÚN mé méto todo do pa para ra esco esconde nderr la IP es se segu guro ro al 100% 100%.. Una Una orga organi niza zaci ción ón co con n recu recurs rsos os sufi sufici cien ente tess –com –como o una una agen agenci cia a de inteli inteligen gencia cia-- pue puede de ras rastre treart arte. e. Los ser servic vicios ios de ano anonim nimato ato deb deben en usarse para mantener tu privacidad y no para cometer actos ilegales. Cuando Cuan do nave navega gass an anóni ónima mame ment nte e algu algunos nos siti sitios os we web b pued pueden en no fu func ncio ionar nar.. O no hace hacerlo rlo bie bien n del tod todo. o. Quiz Quizá á no veas víd vídeo eoss o ejecutes ciertas aplicaciones de la página. La navegación anónima es siempre más lenta que la normal. La diferencia suele ser mayor cuanto más seguro es el método usado.
8.3 Redes anónimas y servidores proxy básicos 8.3.1 Redes anónimas Las redes anónimas normalmente 'hacen rebotar' tu tráfico de Internet entre varios proxy seguros con el fin de disfrazar de donde vienes y a que estas tratando de acceder. Esto puede reducir significativamente la velocidad a la cual eres capaz de descargar las páginas web y otros servicios de Internet. Sin embargo, en el caso de Tor Tor,, este también te proporciona un medio confiable, seguro y público de evasión que te ahorra el preocuparte si confías o no en las personas que operan tus proxy y los sitios web que visitas. Como siempre, debes garantizar que tienes una conexión cifr cifrad ada, a, util utiliz izan ando do HT HTTP TPS, S, pa para ra un siti sitio o we web b segu seguro ro ante antess de inte interc rcam ambi biar ar
98
información importante, como contraseñas y correos electrónicos, a través de un navegador. Tienes que instalar software para utilizar el Tor, pero el resultado es una herramienta que te proporciona anonimato así como evasión. Cada vez que te conectas a la red del Tor, seleccionas una ruta aleatoria a través de tres proxy seguros del Tor. Esto garantiza que ni tu Proveedor de Servicio de Internet (ISP) ni los mismos proxy conozcan tanto la dirección IP de tu computadora y al mismo tiempo la ubicación de los servicios de Internet que solicitas. Puedes aprender más sobre esta herramienta en la Guía del Tor. Una de las fortalezas del Tor es que no sólo trabaja con navegador sino que puede ser utilizado con varios tipos de software de Internet. Los programas de correo electrónico, entre ellos el Mozilla Thunderbird, y los programas de mensajería instantánea, incluyendo al Pidgin, pueden puede n ser operados a través del Tor Tor,, ya sea para acceder a servicios filtrados o para esconder el uso que le das a dichos servicios.
8.3.2 Proxy básicos de evasión Exist Existen en tre tress imp import ortant antes es car caract acterí erísti sticas cas que deb debes es con consid sidera erarr cua cuando ndo seleccionas un proxy básico de evasión. Primero, ¿es una herramienta basada en la web? o ¿requiere que cambies las opciones o que instales software en tu computadora? Segundo, ¿es seguro? Tercero, ¿es público o privado?
8.3.3 Proxy basados en la web y otros Los proxy basados en la web son los más fáciles de usar. Sólo requieren que apuntes tu navegador hacia una página web proxy, ingreses la dirección filtrada que deseas ver y pulses un botón. El proxy entonces muestra el contenido solicitado dentro de su propia página web. Puedes normalmente seguir los enlaces o ingresar una nueva dirección en el proxy si deseas ver una nueva página. No necesitas instalar ningún software o cambiar alguna opción de navegador, lo cual significa que los proxy basados en la web son: ◦
◦
Fáciles de usar Asequibles desde computadoras públicas, como aquellas en los cafés Internet, las cuales no podrían permitirte instalar programas o cambiar
99
opciones ◦
Son po Son pote tenc ncia ialm lmen ente te se segu guro ross si está estáss preo preocu cupa pado do acerc acerca a de ser ser 'sorprendido' con software de evasión en tu computadora.
Los proxy basados en la web también tienden a tener ciertas desventajas. No siempre muestran correctamente las páginas, y muchos proxy basados en la web no lograrán descargar sitios web complejos, entre ellos los que presentan archivos de audio simultáneo y contenido de video. Además, mientras que un proxy se hará mas lento mientras sea utilizado por más usuarios, esto podría ser problemático con los proxy públicos basados en la web. Los proxy basados en la web sólo funcionan para páginas web. No puedes utilizar un programa de mensajería instantánea o un cliente de correo electrónico para acceder a servicios bloqueados a través de un proxy basado en la web. Finalment Finalm ente, e, los pro proxy xy bas basado adoss en la web ofr ofrece ecen n una con confid fidenc encial ialida idad d limitada debido a que ellos mismos deben acceder y modificar la información de retorno hacia ti proveniente de los sitios web que visitas. Si no lo hicieran, serías incapaz incap az de presio presionar nar en un enlace sin dejar atrasa atrasado do al proxy e intentar hacer una conexión directa hacia la página web objetivo. Otros tipos de proxy requieren que instales un programa o configures una dirección externa de un proxy en tu navegador o sistema operativo. En el primer caso, tu programa de evasión normalmente proporcionará alguna forma de activar y desactivar la herramienta, para indicarle a tu navegador si debe o no utilizar el proxy. El software de este tipo a menudo te permite cambiar automáticamente de proxy si uno de ellos es bloqueado, como se trató anteriormente. En el segundo caso, necesitarás saber la dirección correcta del proxy, la cual cambiará si dicho proxy es bloqueado o se vuelve tan lento que se convierta en inútil. Aunque esto puede ser más difícil de utilizar que un proxy basado en la web, este método de evasión esta mejor dotado para mostrar páginas complejas de manera correcta y le tomará mucho más tiempo ralentizarse a medida que las personas utilicen un proxy dado. Además, pueden encontrarse proxy para varias aplica apl icacio ciones nes dif difere erente ntess de Intern Internet. et. Los eje ejempl mplos os inc incluy luyen en pro proxy xy HTT HTTP P par para a navegadores naveg adores,, SOC SOCKS KS para progra programas mas de corre correo o elect electrónic rónico o y mensa mensajería jería (chat) y VPN que pueden redireccionar todo tu tráfico de Internet para evitar el filtrado.
100
8.3.4 Proxy seguros e inseguros Un proxy seguro se refiere a cualquier proxy que permita conexiones cifradas de sus usuarios. Un proxy inseguro te permite evadir muchos tipos de filtro pero fracasará si tu conexión de Internet esta siendo escaneada en busca de palabras claves o de direcciones de páginas web. Es malo utilizar un proxy inseguro para acceder a sitios web que normalmente están cifrados, como aquellos de cuentas de correo electrónico con interfaz web y páginas web bancarias. Al hacerlo, podrías estar exponiendo información importante que normalmente estaría escondida. Y, como se mencionó anteriormente, los proxy inseguros a menudo son más fáciles de descubrir y bloquear por parte de aquellos que actualizan el software y la políticas de filtrado de Internet. Al final, el hecho de que existan proxy libres, rápidos, seguros significa que existen muy pocas razones para decidirse por uno inseguro. Tu sabrás si un proxy basado en la web es seguro o inseguro si puedes acceder a las mismas páginas web del proxy utilizando direcciones HTTPS. Del mismo modo que con los servicios de correo con interfaz web, las conexiones seguras e inseguras pueden ser admitidas, de modo que debes estar seguro de utilizar una dirección segura. Puede pasar que, en dichos casos, se pida aceptar una 'advertencia de certificado de seguridad' de tu navegador con el fin de continuar. Este es el caso para el proxy Peacefire. Advertencias como estas te indican que alguien, como tu Proveedor de Servicio de Internet (ISP) o un pirata informático (hacker), podría estar vigilando tu conexión al proxy. A pesar de estas advertencias, podría ser una buena idea utilizar proxy seguros en la medida de lo posible. Sin embargo, cuando confíes en tales proxy para evasión, debes evitar visitar sitios web seguros, a menos que verifiques la huella digital Capa de Conexión Segura (SSL) del proxy. Con el fin de hacer esto, necesitarás una manera de comunicarte con el admi admini nist stra rado dorr del pr prox oxyy. En ge gene neral ral,, es me mejo jorr evit evitar ar ingre ingresa sarr cont contra rase señas ñas o intercambiar información importante cuando utilices un proxy web El Apéndice C de la Guía de Usuario del Psiphon [3] explica los pasos que tanto tú, como el administrador del proxy verifiquen la huella digital del proxy proxy.. Evita el acceder a información importante a través de un proxy basado en la web a menos que confíes en la persona que lo dirige. Esto se aplica sin importar si ves o no una advertencia de certificado de seguridad cuando visitas el proxy. Incluso se aplica si conoces lo suficiente al operador del proxy para verificar la huella digital
101
del servidor antes de dirigir tu navegador a aceptar la advertencia. Cuando confías en un único proxy para la evasión, su administrador conocerá en todo momento tu dirección IP y el sitio web al que estás accediendo. Sin embargo, es mucho más impo import rtan ante te cons consid ider erar ar que que si ese ese pr prox oxyy está está basa basado do en la we web, b, un oper operad ador or malicioso podría tener acceso a toda la información que pasa entre tu navegador y los sitios web que visitas, incluyendo el contenido de tu correo con interfaz web y tus contraseñas. Para los proxy que no están basados en la web, debes investigar un poco para determinar si admiten conexiones seguras o inseguras. Todas los proxy y las redes anónimas recomendadas en este capitulo son seguros.
8.3.5 Proxy privados y públicos Los proxy públicos aceptan conexiones de cualquiera, mientras que los privados normalmente requieren un nombre de usuario y una contraseña. Mientras que los proxy públicos tienen la obvia ventaja de estar disponibles libremente, asumiendo que puedan ser hallados, estos tienden a saturarse muy rápidamente. Como Co mo res resul ulta tado do de el ello lo,, aunq aunque ue lo loss prox proxyy públ públic icos os se sean an té técn cnic icam amen ente te ta tan n sofi sofist stic icad ados os y bi bien en ma mant nten enid idos os como como los los priv privad ados os,, esto estoss so son n a me menu nudo do relativame relat ivamente nte lentos. Finalmen Finalmente, te, los proxy privado privadoss tiend tienden en a ser dirigidos ya sea por lucro o por administradores que crean cuentas para sus usuarios a quienes cono conoce cen n pe pers rson onal al o so soci cial alme ment nte. e. De Debi bido do a esto esto,, es gene genera ralm lmen ente te mu muyy fá fáci cill determinar que motiva a un operador de un proxy privado. Sin embargo, no debes asumir que los proxy privados son por tanto básicamente más confiables. Después de todo, motivos de lucro han conducido en el pasado a los servicios en línea a exponer a sus usuarios. Pr Prox oxyy si simp mple les, s, in inse segu guro ross y pú públ blic icos os pued pueden en a me menu nudo do enco encont ntra rars rse e ingresando términos como 'proxy público' en un buscador, pero no debes confiar en proxy descubiertos de esta manera. Dada la oportunidad, es mejor utilizar un proxy seguro y privado conducido por personas que conoces y en las que confías, ya sea personalmen person almente te o por su reputa reputación, ción, y quien quienes es tienen las habilidade habilidadess técni técnicas cas para mantener su servidor seguro. Ya sea que utilices o no un proxy basado en la web dependerá de tus particulares necesidades y preferencias. En cualquier momento en que que util utilic ices es un pr prox oxyy para para evas evasió ión, n, es una una buen buena a idea idea ut utililiz izar ar ta tamb mbié ién n el navegador Firefox e instalar el complemento NoScript, como se trató en la Guía del
102
Firefox. El hacerlo puede ayudarte a protegerte tanto de proxy maliciosos como de sitios web que pueden tratar de descubrir tu verdadera dirección IP. Finalmente, ten en cuenta que incluso un proxy cifrado no tornará un sitio web inseguro en uno seguro. Debes garantizar que tienes una conexión HTTPS antes de enviar o recibir información importante. Si eres incapaz de encontrar en tu país una persona, una organización o una compañía cuyo servicio proxy consideres confiable, asequible y accesible, debes pensar en utilizar la red anónima del Tor, de la cual nos ocupamos anteriormente en la parte de Redes anónimas.
8.4 Proxy específicos de evasión A con contin tinuac uación ión hay una unass cua cuanta ntass her herram ramien ientas tas y pro proxy xy esp especí ecífic ficos os que pueden ayudarte a evadir el filtrado de Internet. Nuevas herramientas de evasión son producidas regularmente, y las existentes son actualizadas frecuentemente, por tanto para saber más debes visitar el sitio web en línea de la Caja de Herramientas de Seguridad, y los sitios mencionados en las sección de Lecturas Adicionales que se halla a continuación.
8.4.1 Red Virtual Privada (VPN) basado en proxy Los VPN proxy que se describen a continuación hacen que tu conexión completa a internet pasen por el proxy mientras estés conectado. De mucha utilidad si usas usas prov provee eedo dore ress de corr correo eo el elec ectr trón ónic ico o o mens mensaj ajer ería ía inst instan antá táne nea a que que se encuentran filtrados en su país. Riseup VPN. Es para usuarios que tienen cuentas de correo en el servidor de Riseup. Ofrece la posibilidad de conectarse a un servidor con un VPN proxy gratuito, privado y seguro.
Hotspot Shield, es un proxy de evasión público, seguro, VPN y gratuito. La compañía que lo desarrolla recibe fondos de anunciantes, de modo que veras una ‘pancarta publicitaria’ en la parte superior de la ventana de tu navegador cada vez que lo uses para visitar sitios web que no proporcionan cifrado. A pesar de que es imposible de verificar, esta compañía afirma borrar la dirección IP de quienes utilizan la herramienta, en vez de almacenarla o enviarla a sus anunciantes.
103
Your-Freedom es un proxy de evasión privado, seguro y no basado en web. Es una herramienta de software gratuito que puede utilizarse para acceder a un servicio de evasión sin costo. Puedes pagar un cargo para acceder a un servicio come comerc rcia ial,l, el cual cual es má máss rápi rápido do y ti tien ene e me meno noss limi limita taci cione ones. s. Pa Para ra ut utililiz izar arlo lo necesitarás neces itarás descar descargar gar la herra herramienta mienta y crear una cuent cuenta, a, ambas accion acciones es pueden real realiz izar arse se en el si siti tio o we web b de Your our-F -Fre reed edom om.. De ma mane nera ra simi simila larr nece necesi sita tará ráss configurar tu navegador para utilizar el proxy OpenVPN cuando te conectes a la Internet. Freegate es un proxy de evasión público, seguro, VPN y gratuito. SecurityKISS es un proxy de evasión público, seguro, VPN y gratuito. No hay necesidad de registrar una cuenta. Los usuarios/as de forma gratuita están restringidos utilizar un límiteno diario de 300MB del tráfico de internet por VPN mediopara del proxy. Para alos suscriptores existen restricciones y más servidores usar.
Psiphon3 es un proxy de evasión público y seguro que utiliza tecnología de proxy VPN, SSH y HTTP para facilitar tu acceso a contenido de Internet sin censura. Además, funciona asimismo con dispositivos Android. 8.4.2 Proxy Web
Peacefire mantiene un gran número de proxy públicos basados en la web, los cuales pueden ser seguros e inseguros dependiendo de como accedes a ellos. Cuando lo utilices, debes ingresar la dirección HTTPS con el fin de tener una conexión segura entre tú y el proxy. Los nuevos proxy se anuncian a través de una larga lista de correo de manera regular.
104
9. Protegerte a ti mismo y a tus datos al utilizar sitios de redes sociales Las comunidades en línea han existido desde la invención de la Internet. Primero habían tablones de anuncios y listas de correo electrónico, las cuales le dieron die ron a las per person sonas as la opo oportu rtunid nidad ad de con conect ectars arse, e, com comuni unicar carse se y com compar partir tir informació infor mación n sobre temas particul particulares. ares. Hoy en día, los sitio sitioss web de redes sociale socialess han han expan expandi dido do el rang rango o de posi posibl bles es in inte tera racc ccio ione nes, s, comp compar arti tiend endo o me mens nsaj ajes es,, imágenes, archivos e incluso información actualizada al minuto acerca de lo haces y donde estas. Estas funciones no son nuevas o únicas – estas acciones pueden ser ejecutadas por Internet sin tener que unirse a un sitio de redes sociales. Recuer Rec uerda da que los sitios sitios de red redes es soc social iales es son pro propie piedad dad de emp empres resas as privadas, y que hacen dinero recolectando datos sobre personas y vendiéndolos, especialmente a anunciantes. Cuando ingresas al sitio de una red social, dejas atrás las libertades de Internet e ingresas a una red gobernada y regida por los dueños del sitio. Las configuraciones de privacidad sólo suponen tu protección de otros miembros de la red social, pero no protegen tus datos de los propietarios del servicio. Básicamente estas cediendo tus datos a los propietarios y que se los confias a ellos. Las redes sociales son útiles y promueven la interacción social tanto en línea como fuera de ella, si las utilizas podrías estar poniendo tu información a disposición de personas que quieran hacer mal uso de ella. Piensa en las redes sociales como si fueran una enorme fiesta. Ahí hay personas person as que conoc conoces, es, así como otras que no conoc conoces. es. Imagina caminar a travé travéss de la fies fiesta ta con con tu tuss deta detalllles es pers person onale aless y expli explica cand ndo o lo que que pien piensa sas, s, cada cada pensamiento es actualizado al minuto, escrito en un gran aviso adherido a tu espalda espal da de modo que puedan leerlo, inclus incluso o sin que lo sepas. ¿Realmen ¿Realmente te deseas que sepan todo sobre ti? Si trabajas con información y tópicos vitales, y estás interesado en utilizar los servicios de las redes sociales, es importante que seas consciente de los problemas de privacidad y seguridad que estás generan. Los defensores de los derechos humanos son particularmente vulnerables a los peligros de las redes sociales y
105
necesitan ser cuidadosos sobre la información que revelan sobre sí mismos y sobre las personas con las que trabajan. Antes de utilizar cualquier sitio de redes sociales debes entender cómo te hacen vulnerable, y luego dar pasos para protegerte a ti mismo y a las personas con las que trabaj trabajas as o vives vives.. No se trata dejar de utilizar utilizar las herra herramienta mientass de las redes sociales. Pero debes tomar las medidas de seguridad pertinentes, de modo que puedas utilizar estas herramientas sin hacer que tu o alguien más sean vulnerables.
9.1 Consejos generales sobre uso de las redes sociales Siempre hazte las preguntas: ◦
◦
◦
◦
◦
¿Quién puede acceder a la información que estoy colocando en línea? ¿Quién controla y posee la información que coloco en un sitio de redes sociales? ¿Qué inform ¿Qué informaci ación ón pro propia pia est están án tra transm nsmiti itiend endo o mis con contac tactos tos a otr otras as personas? ¿Les importa a mis contactos si comparto información sobre ellos con otras personas? ¿Confío en las personas con las que estoy conectado?
Asegúrate de utilizar contraseñas seguras para acceder a las redes sociales. Si otra persona se mete en tu cuenta, está accediendo a mucha información sobre ti y sobre cualquiera con quien estés conectado a través de la red social. Cambia tus contraseñas regularmente como si fuera un asunto de rutina. Asegú Asegúrat rate e de que ent entien iendes des la con configu figurac ración ión de privac privacida idad d por def defect ecto o ofrecida por el sito de redes sociales, y cómo cambiarla. Evalú Evalúa a uti utiliz lizar ar cue cuenta ntass y/o ide identi ntidade dadess sep separa aradas das,, o tal vez dif difere erente ntess seudónimos seudó nimos,, para diferentes campaña campañass y acti actividade vidades. s. Recue Recuerda rda que la clav clave e para utilizar una red de manera segura es siendo capaz de confiar en sus miembros. Las cuentas separadas son una garantía de que la confianza es posible. Se cuidadoso cuando accedas a tu cuenta en la red social en espacios
106
públicos con Internet. Borra tu contraseña e historial de navegación cuando utilices un navegador en una máquina pública. Accede a los sitios de redes sociales utilizando https:// para salvaguardar tu nombre de usuario, contraseña y otra información que coloques. El utilizar https:// añade otra capa de seguridad por medio del cifrado del tráfico de tu navegador al sitio de tu red social. Ver Capítulo 8. Cuídate Cuídat e de no pon poner er dem demasi asiada ada inf inform ormaci ación ón en tus act actual ualiza izacio ciones nes de estado – incluso si confías en las personas en tus redes. Es fácil para cualquiera copiar tu información. La mayoría de redes sociales te permite integrar información con otras redes sociales. Puedes publicar una actualización en tu cuenta de Twitter y hacer también que esta automáticamente se publique en tu cuenta de Facebook. Se especialmente cuidadoso cuando integres las cuentas de tus redes sociales! Podrías ser anónimo en un sitio, pero estar expuesto e xpuesto cuando utilices otro. Se cauteloso sobre cuan seguro está tu contenido en una red social. Nunca conf confíe íess en un siti sitio o de red soci social al como como rec recep epto torr prim primar ario io para para tu cont conten enid ido o o información. Es fácil para los gobiernos bloquear el acceso a un sitio de red social dent dentro ro de sus sus lílími mite tess si de pr pron onto to encu encuen entr tran an su cont conteni enido do cens censur urabl able. e. Los Los administradores de un sitio de red social podrían retirar ellos mismos el contenido censurable, en vez de afrontar la censura dentro de un país en particular.
9.2 Publicar detalles personales Los sitios de redes sociales requieren una gran cantidad de datos personales para hacer fácil a otros usuarios el ubicarte y conectarse contigo. Tal vez, la más grande vulnerabilidad que esto crea a los usuarios de estos sitios es la posibilidad de un fraude de identidad, el cual es común. Además, cuanta mayor información propia reveles en línea, más fácil será para las autoridades identificarte y vigilar tus actividades. Las actividades en línea de activistas en algunos países ha conducido a las autoridades a convertir en objetivos ob jetivos a sus familiares residentes en su tierra natal. Pregúntate: ¿es necesario publicar la siguiente información en línea? ◦
fechas de nacimiento
107
◦
números telefónicos de contacto
◦
direcciones
◦
detalles de miembros de la familia
◦
orientación sexual
◦
historial de educación y empleo
◦
Amigos, seguidores y contactos
La primera cosa que harás después de completar tus detalles personales en la solicitud de cualquier red social es establecer conexiones a otras personas. Presumiblemente estos contactos son personas que conoces y en quienes confías – pero podrías estar conectándote a una comunidad en línea de personas afines que tu nunca has conocido. Lo que debes entend entender er es que tipo de inform información ación le estas dando a conocer a esa comunidad en línea. Cuando utilices una cuenta de red social como Facebook, que mantiene inf inform ormaci ación ón pers personal onal,, eva evalúa lúa con conect ectart arte e sól sólo o con per person sonas as que con conoce ocess y en quienes confías; y que no utilizarán la información que publicas de mala manera.
9.2.1 Actualizaciones Actualizaciones de estado En Twitter y en Facebook y en redes similares, la actualización de estado responde a las preguntas: ¿Qué estoy haciendo ahora? ¿qué esta pasando? Lo que debes entender sobre la actualización del estado es quién puede verlo realmente. La configuración por defecto para la actualización del estado en la mayoría de las aplicaciones de red social es que cualquiera en la Internet puede verla. Si sólo quieres que tus contactos vean tus actualizaciones, necesitas comunicarle a la aplicación de red social que mantenga tus actualizaciones ocultas del resto. Para hacer esto en Twitter, busca “Proteger tus Tweets”. En Facebook, cambia tu configuración para compartir tus actualizaciones a “Sólo Amigos”. Incluso si cambias a dicha configuración, considera cuán fácil es para tus seguidores y amigos re-publicar tu información. Acuer cuerda da con con tu red red de am amig igos os,, un enfo enfoqu que e comú común n para para tr tras asla lada darr la información publicada de sus cuentas de red social. También debes pensar acerca
108
de que podrías revelar sobre tus amigos que ellos no quisieran que supieran otros; es importante ser perceptivo acerca de esto, y pedirle a otros ser perceptivos acerca de lo que revelan sobre ti. Han habido muchos incidentes en los cuales la información incluida en las actualizaciones de estado han sido utilizadas contra las personas. Profesores en el mundo mun do fue fueron ron des despedi pedidos dos des despué puéss de pub public licar ar act actuali ualizac zacione ioness sob sobre re cóm cómo o se sentían acerca de sus estudiantes; otros empleados han perdido sus trabajos por publicar acerca de sus empleadores. Algo sobre lo que necesitamos ser cuidadosos.
9.2.2 Compartir contenido de Internet Es fácil compartir un enlace a un sitio web y llamar la atención de tu amigo. Pero, ¿quiénes más estarán prestando atención? ¿Qué clase de reacción tendrán? Si dices que te gusta un sitio que está relacionado a derrocar un régimen represivo, dicho régimen podrían tomar interés y entonces tenerte en la mira. Si quieres que tus contactos sean las únicas personas que vean las cosas que compartes o marcas como interesantes, asegúrate de revisar tu configuración de privacidad.
9.2.3 Revelar tu ubicación La mayoría de los sitios de redes sociales muestran tu ubicación si dichos datos están disponibles. Esta función es proporcionada cuando utilizas un teléfono con capacidad GPS para interactuar con una red social, pero no asumas que es imposible si no estás conectado desde un teléfono móvil. La red a la que está conectada tu computadora puede proveer datos de ubicación. La manera de estar a salvo es verificar dos veces tu configuración. Se cuidadoso sobre las opciones de ubicación en los sitios de intercambio de fotos y videos. No asumas que estos no están compartiendo tu ubicación: verifica dos veces tu configuración para estar seguro. Consulta también Sobre Privacidad de la Ubicación, y Cómo Evitar Perderla para Siempre en el sitio web de la Electronic Frontier Foundation.
109
9.2.4 Compartir videos/fotos Fotoss y vi Foto vide deos os pued pueden en reve revela larr las las iden identi tida dade dess de las las pers person onas as.. Es importante que tengas el consentimiento de los sujetos que se hallen en cualquier foto o video que publiques. Si estás publicando la imagen de otra persona, se consci con scient ente e de cóm cómo o pod podría ríass est estar ar pon ponien iendo do en pel peligr igro o su pri privac vacida idad. d. Nun Nunca ca publiques un video o foto de alguien sin tener primero su consentimiento. Los fotos y videos también pueden, sin intención, revelar mucha información. Muchas cámaras insertarán datos ocultos (rótulos de metadatos), que revelan la fecha, hora y ubicación de la foto, tipo de cámara, etc. Los sitios de intercambio de foto y video podrían publicar esta información cuando subes contenido a sus sitios.
9.2.5 Charlas instantáneas Muchos sitios de redes sociales tiene herramientas que te permiten tener discusiones con tus amigos en tiempo real. Operan como la Mensajería Instantánea y son una de las formas más inseguras de comunicarse en la Internet. Con el fin de asegurarte de que tus charlas son seguras, tú y tus amigos necesitan iniciar una sesión en tus cuentas de redes sociales utilizando https://, o utilizando un cliente para tus charlas, como el Pidgin con un programa progr ama añadido Off-the-record, que utiliza cifrado. Lee la Guía Práctica de 'Pidgin – mensajería instantánea segura'. 9.2.6 Unirse/crear grupos, eventos y comunidades ¿Qué información estás dando a las personas si te unes a un grupo o comunidad? ¿Qué dice este hecho sobre ti? Por otro lado, ¿Qué es lo que las personas anuncian al mundo si se unen a un grupo o comunidad que has creado? ¿Cómo estas poniendo en riesgo a las personas? Cuando te unes a una comunidad o grupo en línea revelas algo tuyo a otros. En general, las personas podrían asumir que tu apoyas o estás de acuerdo con lo que el grupo está diciendo o haciendo, lo cual podría hacerte vulnerable si estás siendo visto como alineado a un grupos políticos particulares. Por otro lado, si te unes a un grupo con un gran número de miembros que no conoces, ello podría poner en peligro algunas opciones de privacidad o seguridad que has empleado en tu cuenta, por tanto reflexiona acerca de que información
110
estás entregando entregando antes de unirte unirte.. ¿Estas utilizan utilizando do tu foto y nombre real de modo que extraños puedan identificarte? De modo alternativo, si estableces un grupo y las personas eligen unirse a este, ¿qué mensaje están enviando al mundo al hacerlo? Por ejemplo, tal vez sea un grupo de apoyo a gays y lesbianas el que has formado para ayudar a las personas, pero al unirse al mismo las personas se están identificando abiertamente como homosexuales homosexuales o amist amistosos osos con ellos, lo cual podría generarle generarless riesgos en el mundo real.
11 1111
10. Utilizar los teléfonos móviles de la manera más segura posible Los teléfonos móviles son una parte integral de nuestras comunicaciones diarias. Estos dispositivos tiene la capacidad para servicios de mensajería de voz y de text texto o si simp mple le.. Su pe pequ queño eño ta tama maño ño,, rela relati tiva vame ment nte e bajo bajo cost costo o y mú múltltipl iples es apli aplica caci cion ones es ha hace cen n de esto estoss di disp spos osit itiv ivos os inva invalu luab able less para para prop propós ósit ito o de comunicación y organización. Recientemente, se han puesto a disposición dispositivos móviles con más funciones. Éstos, cuentan con GPS, capacidad multimedia (registro de foto, video y audio y a veces su transmisión), procesamiento de datos y acceso a la Internet. Sin embargo, la forma en la que la red móvil opera, su infraestructura, hardware y software son esencialmente distintos a como funciona la Internet, creando retos adic adicio iona nales les a la segu seguri rida dad, d, y ries riesgo goss pa para ra la priv privac acid idad ad de los los usua usuari rios os y la integridad de su información y comunicaciones.
10.1 Dispositivos móviles y seguridad Al utilizar teléfonos móviles, debemos protegernos a nosotros mismos, a nuestros contactos y nuestros datos. La manera en que las redes y la infraestructura telefónica funcionan afectan significativamente la capacidad de los usuarios para mantener privadas y seguras la información y las comunicaciones. Las redes de telefonía móvil son redes privadas administradas por entidades comerciales, las cuales pueden estar bajo el control monopólico del gobierno. La entidad comercial o gubernamental, tiene acceso ilimitado a la información y a las comunicaci comun icaciones ones de sus clientes, así como la capac capacidad idad para interc intercepta eptarr llama llamadas, das, mensajes de texto, y vigilar la ubicación de cada aparato (y de sus usuarios). Los Sistemas Operativos en sí, utilizados en aparatos móviles son hechos a pedi pedido do o conf config igur urad ados os po porr lo loss fa fabr bric ican ante tess de te telé léfo fono noss de acue acuerd rdo o a las las especificaciones de varios proveedores de servicios y para su uso en las propias redes de esas compañías. En consecuencia, el Sistema Operativo (OS) puede incluir características ocultas que permitan una mejor vigilancia por parte de los proveedores de servicio de cualquier otro dispositivo en particular.
112
El número de las funciones dispon disponibles ibles en los teléfonos móvil móviles es ha creci crecido do en años recientes. Los teléfonos móviles modernos son de hecho minicomputadoras portátiles conectadas a Internet con funciones de teléfono móvil. Para det Para determ ermina inarr que asp aspect ectos os de tus com comuni unicac cacion iones es nec necesi esitan tan est estar ar protegidos, podría ser de ayuda hacerte a ti mismo algunas preguntas: ¿Cuál es el contenido de tus llamadas y de tus mensajes de texto? ¿Con quién te comunicas, y cuándo?, ¿De donde estás llamando? La información es vulnerable de distintas maneras: •
La información es vulnerable cuando se envía desde un teléfono móvil Cada Ca da pr prov ovee eedo dorr de te tele lefo foní nía a mó móvi vill ti tien ene e acce acceso so comp comple leto to a to todo doss los los
mensajes detán texto y voz enviados a dos través la mayoría des pa paííse sess, es está n le lega galm lmen ent te ob obliliga gado s ademsu ante anred. tene nerLos r regi recuales, gisstr tros os ende to toda dass las la comuni com unicac cacion iones. es. En alg alguno unoss paí países ses los pro provee veedor dores es telefó telefónic nicos os est están án baj bajo o el contro con troll mon monopó opólic lico o del gob gobier ierno. no. Las comuni comunicac cacion iones es de voz y tex texto to tambié también n pued pueden en se serr in inte terv rven enid idas as po porr te terc rcero eross en las las prox proximi imida dade dess al te telé léfo fono no mó móvi vil,l, utilizando equipo de bajo precio. •
La información es vulnerable al interior de los teléfonos tanto del emisor como del receptor receptor..
Los teléfonos móviles almacenan toda clase de datos: historial de llamadas, mensajes de texto enviados y recibidos, información de libretas de direcciones, fotos, video clips, archivos de texto. Estos datos pueden revelar tu red de contactos, e infor información mación persona personall sobre ti y tus colegas. Ase Asegurar gurar esta inform información ación es difí difícil, cil, incl inclus uso o – en al algu guno noss te telé léfo fono noss – impo imposi sibl ble. e. Los Los te telé léfo fono noss mo mode dern rnos os so son n computadoras de bolsillo. Con más funciones, el riesgo se hace mayor. Además, Además, los teléfonos que se conectan a la Internet también están sujetos a las inseguridades de las computadoras y de la Internet. Como part Como parte e de su op oper erac ació ión n no norm rmal al,, ca cada da te telé léfo fono no mó móvi vill de fo form rma a automática y regular informa al proveedor del servicio telefónico donde está en determinado momento. Es más, muchos teléfonos hoy en día tienen funciones de GPS, y esta información precisa sobre la ubicación podría ser incorporada en otros tipos de datos como fotos, el servicio de mensajes cortos (SMS) y en solicitudes de Internet que son enviadas desde el teléfono.
113
La evolución de la tecnología trae más características, pero también más riesgos.
10.2 Movilidad y vulnerabilidad de la información Intuit Intuitiva ivamen mente te com compre prende ndemos mos lo imp import ortant ante e que es man manten tener er seg seguro uross nuestros nuest ros bolsos y billet billeteras, eras, ya que sabemos que en ellos guarda guardamos mos informaci información ón importante, y perderlos podría comprometer nuestra privacidad y seguridad mas tiempo y dinero en recuperar licencia de conducir, tarjetas de crédito y débito, las fotos familiares. Las personas son menos conscientes de la cantidad de información personal que tienen en sus teléfonos móviles, y consideran la pérdida del teléfono más una molestia y no un riesgo. Si consideras al teléfono móvil como un dispositivo de computación que siempre se encuentra conectado a una red y continuamente es trasladado de un lugar a otro, se destaca la diferencia entre portar información discreta y pasiva como la billetera, y portar un elemento activo e interactivo como un teléfono móvil. Como simple ejercicio, vacía el contenido de tu bolso o cartera, y toma en cuenta los elementos importantes que contienen. Encontrarás: - Fotos de la familia (~5 fotos) - Tarjetas de identificación (licencia de conducir, tarjetas de membresía, cédula cédul a de identi identidad, dad, etc) - Seguro Seguross e inform información ación médic médica a (~2 tarjeta tarjetas) s) - Dinero (~5 billetes) - Tarjetas de Crédito/Débito (~3 tarjetas) Ahora exa Ahora examin mina a el con conteni tenido do de tu teléfo teléfono no móv móvil. il. Un usu usuari ario o típ típico ico de teléfo teléfono no móv móvilil pod podría ría enc encont ontrar rar más can cantid tidad ad de inf inform ormaci ación ón que la des descri crita ta anteriormente, y en algunos casos, muchos datos importantes y valiosos: - Foto Fotoss de la familia (~100 fotos) - Aplicaci Aplicaciones ones de corre correo o elect electrónico rónico y sus cont contra rase señas ñas - Co Corr rreo eoss el elec ectr trón ónic icos os (~50 (~500 0 corr correo eos) s) - Vide Videos os (~ (~50 50 video videos) s) Aplicaciones de redes sociales y sus contraseñas - Aplicaciones de bancos en internet (con acceso a cuentas bancarias) - Documentos importantes - Registros importantes de comunicaciones - Conexión inmediata a tu información importante Entre más utilizas tu teléfono móvil más atento debes estar de los riesgos asociados asoci ados a él y tomar las preca precaucione ucioness neces necesarias arias.. Estos teléfon teléfonos os son poten potentes tes amplif amp lifica icadore doress y dis distri tribuid buidores ores de tus dat datos os per person sonale ales, s, est están án dis diseña eñados dos par para a propor pro porcio cionar nar la may mayor or con conect ectivi ividad dad pos posibl ible e y acc accede ederr aut automá omátic ticame amente nte a los
114
servicios de redes sociales. Recuerd servicios Recuerda, a, tus datos person personales ales son valio valiosos, sos, pueden ser agregados, buscados y vendidos. Además, los teléfonos móviles que se conectan a la Internet también están suje sujeto toss a lo loss ries riesgo goss y vu vuln lner erab abililid idad ades es asoc asocia iada dass co con n la In Inte tern rnet et y las las computadoras, como la seguridad de la información, el anonimato, la recuperación de la información, la perdida, el robo y la intercepción. Con el fin de reducir algunos de estos riesgos de seguridad, los usuarios deben ser conscientes de la potencial inseguridad de sus teléfonos, así como de sus opciones de configuración. Una vez que sepas cuales podrían ser los posibles problemas, pondrás salvaguardas y tomar medias preventivas.
10.2 Buenas prácticas en seguridad telefónica Como en el caso de otros dispositivos, la primera línea de defensa para la seguridad de la información en tu teléfono móvil es la protección física de él y de su tarjeta SIM. Mantén tu teléfono contigo siempre. Nunca lo dejes sin vigilancia. Evita mostrar tu teléfono en público. Siempre utiliza tus códigos de bloqueo de tu teléfono o los Números de Identificación Personal (PIN) y manténlos en secreto (desconocidos para otros). Siempre cámbialos para que no sean lo que coloca el fabricante. Marca físicamente la tarjeta SIM, tarjeta adicional de memoria, batería y teléfono con algo único y no perceptible para un extraño (pon una marca pequeña, dibujo, letras o números, o trata de utilizar un rotulador ultravioleta, el cual será invisible a la luz normal). Para ayudarte a identificar si alguno de estos objetos ha sido sido ma mani nipu pula lado do o remp rempla laza zado do,, colo coloca ca et etiq ique ueta tass de segu seguri rida dad d a prue prueba ba de manipulaciones o cinta adhesiva sobre las juntas del teléfono. La etiqueta o la cinta adhesiva estará desalineada o dejará un residuo visible. Asegúrate de ser consciente de la información que está almacenada en tu tarjeta SIM, en tarjetas externas y en la memoria interna de tu teléfono. Atento de no dejarlos en la tienda de reparaciones cuando tu teléfono esta siendo arreglado. No almacenes información importante en el teléfono. Si necesitas almacenarla colocala en tarjetas de memoria SD que fácilmente son desechadas o borradas.
115
Cuando te deshagas de tu teléfono verifica que no entregas información almacenada en él o en la tarjeta SIM o en la tarjeta de memoria (incluso si el teléfono o las tarjetas están rotas o han expirado). Deshacerte de las tarjetas SIM destruyéndolas físicamente sería la mejor opción. Si planeas obsequiar, vender o reutilizar tu teléfono asegúrate que toda la información sea eliminada. Considera Consid era uti utiliz lizar ar comer comercio cioss con confia fiable bless de dis distri tribuc bución ión y rep repara aració ción n de teléfonos. Ello reduce la vulnerabilidad de tu información cuando consigas teléfonos móviles de segundo uso o tengas que reparar tu teléfono. Ten presente que el comprar tu teléfono de un distribuidor autorizado pero elegido al azar – de este modo reducirás la posibilidad de que el teléfono esté específicamente preparado para ti con software espía preinstalado en el mismo. Hazencopias de seguridad enlatucopia computadora de la que(ver se encuentra tu teléfono. Almacena de seguridad de información manera segura capítulo: 4). Esto te permitirá restaurar los datos si pierdes tu teléfono. Tener una copia de seguridad te ayuda a recordar que información podría estar en peligro (cuando tu teléfono se haya perdido o haya sido robado), de modo que puedas tomar las acciones pertinentes. El número de serie de 15 dígitos o número IMEI te ayuda a identificar tu teléfono y puede ser accedido tecleando *#06# en la mayoría de teléfonos, viendo detrás de la batería en tu teléfono o revisando las especificaciones del mismo. Toma Toma nota de este número y manténlo alejado de tu teléfono, pues este número podría ayud ayudar ar a rast rastre rear arlo lo en ca caso so sea sea roba robado do y a prob probar ar la propi propied edad ad del del mi mism smo o rápidamente. Pondera las ventajas y desventajas de registrar tu teléfono con el proveedor del servicio. Si informas que tu teléfono ha sido robado, el proveedor del servicio entonces será capaz de impedir el uso posterior de tu teléfono. Sin embargo, el registrarlo significa que el uso de tu teléfono está ligado a tu identidad.
10.3 Funciones básicas, capacidad de rastreo y anonimato Con el fin de enviar o recibir llamadas o comunicaciones de cualquier tipo desde y hacia tu teléfono, la antenas de señal más cercanas son alertadas, sobre tu presencia, por tu teléfono móvil. Cómo resultado de tales alertas y comunicaciones
116
el proveedor de servicios de red sabe exactamente la ubicación geográfica de tu teléfono móvil en un momento dado.
10.3.1 Sobre el Anonimato Si estas llevando a cabo conversaciones telefónicas importantes o enviando mensajes SMS importantes, cuídate de la 'característica' de rastreo mencionada arriba ya que que se halla en todos los teléfonos móviles. Pondera el seguir los pasos siguientes: •
•
•
•
Cada vez que hag Cada hagas as lla llamad madas as haz hazlas las de dis distin tintas tas ubi ubicac cacione iones, s, y elige elige ubicaciones que no se puedan asociar contigo. Mantén tu teléfono apagado, con la batería desconectada, ve a la ubicación elegida, enciende tu teléfono, comunícate, apaga tu teléfono y desconecta la batería antes de regresar. El hacer esto de manera habitual cada vez que tengas que hacer una llamada, significará que la red no pueda rastrear todos tus movimientos. Cambia a menudo de teléfonos y de tarjetas SIM. Intercambia entre amigos o con el mercado de segundo uso. Utiliza tarjetas SIM prepagadas no registrada Utiliza registradass si ello es posible en tu área. Evita pagar por un teléfono o tarjetas SIM utilizando una tarjeta de crédito, lo cual crearía una conexión entre estos objetos y tú.
10.3.2 Sobre escuchas secretas Tu teléfono puede ser preparado para registrar y transmitir cualquier sonido dentro del rango de alcance de su micrófono sin tu conocimiento. Algunos teléfonos pueden ser encendidos de manera remota y puestos en acción de esta manera, aún cuando parezcan estar apagados. Nunca permitas que las personas de quienes desconfías tengan acceso físico a tu teléfono; esta es una manera común de instalar software espía en tu teléfono. Si estas conduciendo reuniones privadas e importantes, apaga tu teléfono y desconecta la batería. O no lleves el teléfono contigo si no puedes dejarlo donde
117
pueda estar completamente a salvo. Asegúrate de que cualquier persona con la que te comuniques también emplee las acciones descritas aquí. Además, no olvides que utilizar un teléfono en público, o en lugares en los que no confías, te hacen vulnerable a las técnicas tradicionales de escucha secreta, o que te roben el teléfono.
10.3.3 Sobre intercepción de llamadas Generalmente, el cifrado de las comunicaciones por voz (y por mensajes de texto) que viajan a través de la red de telefonía móvil es relativamente débil. Existen técn técnic icas as de ba bajo jo co cost sto o qu que e pued pueden en ut utililiz izar ar te terc rcer eros os para para inte interc rcep epta tarr tu tuss comunicaciones escritas, o para escuchar tus llamadas, si están en la proximidad de tu teléfono y pueden recibir transmisiones desde el mismo. Y por su puesto, los proveedores de telefonía móvil tienen acceso a todas tus comunicaciones de voz y texto. Actualmente es costoso y/o de alguna manera técnicamente difícil cifrar las llamadas telefónicas de modo que incluso el proveedor de telefonía móvil no pueda escucharlas secretamente – sin embargo, se espera que estas herramientas pronto se vuelvan económicas. Para utilizar el cifrado primero tendrías que instalar una aplicación o programa de cifrado en tu teléfono, así como en el dispositivo de la persona con la cuál planeas comunicarte. Entonces utilizarías esta aplicación para enviar y recibir llamadas y/o mensajes cifrados. El software de cifrado actualmente sólo puede ser admitido en unos cuantos modelos llamados teléfonos 'inteligentes'. Las conversaciones entre el Skype y los teléfonos móviles tampoco están cifrados, pues en algún punto, la señal se desplazará a la red móvil, donde el cifrado NO está en uso.
10.3.4 Comunicaciones textuales – SMS / Mensajes de texto No debes confiar en los servicios de mensaje de textos para transmitir información importante de manera segura. Los mensajes intercambiados son en texto simple lo que los hace inapropiados para transacciones confidenciales. El envío de mensajes SMS puede ser interceptado por el operador de servicio o por terceros con equipo de bajo costo. Dichos mensajes llevan los
118
números telefónicos del emisor y del receptor así como el contenido del mensaje. Lo que es más, los mensajes SMS pueden ser fácil fácilmente mente alterad alterados os o falsi falsificado ficadoss por terceros. Piensa en establecer un sistema Piensa sistema de códig código o entre tu y tus corre correspondi spondientes. entes. Los códigos podrían hacer tu comunicación más segura y podrían proporcionar una forma adicional de confirmar la identidad de las personas con las que te estas comu comuni nica cand ndo. o. Los Los sist sistem emas as de códi código go nece necesi sita tan n se serr segu seguro ross y ca camb mbia iarr frecuentemente. Los mensajes SMS están disponibles después de ser transmitidos: En mu much chos os pa país íses es,, la le legi gisl slac ació ión n (u ot otra rass infl influe uenc ncia ias) s) exig exigen en a los los proveedores de la red mantener un registro de largo plazo de todos los mensajes de texto enviados por sus clientes. En la mayoría de los casos los mensajes SMS son mantenidos por los proveedores para fines comerciales, contables o de litigio. Los mensajes en tu teléfono pueden ser fácilmente accedidos por cualquiera que consiga tu teléfono. Evalúa eliminar en seguida todos los mensajes recibidos y enviados. Algunos teléfonos tienen la facilidad de deshabilitar el registro del historial de llamadas telefónicas o de mensajes de texto. Ellos será especialmente útil para personas que realicen actividades más importantes. También debes asegurarte de estar familiarizado con lo que tu teléfono es capaz de hacer. ¡Lee el manual!
10.4 Funciones más allá de la conversación y los mensajes Los teléfonos móviles se están convirtiendo en dispositivos de computación móvile móv iles, s, con sus pro propio pioss sis sistem temas as ope operat rativo ivoss y apl aplica icacio ciones nes des descar cargab gables les que proveen diversos servicios a los usuarios. En consecuencia, los virus y el software espí espía a han han pene penetr trad ado o el mu mund ndo o de la telef telefon onía ía mó móvi vil.l. Los Los virus virus pued pueden en ser ser sembrados en tu teléfono, o pueden venir empacados dentro de las aplicaciones, los tonos de llamada y mensajes multimedia que descargas de la Internet. Mientras que los primeros modelos de teléfonos móviles tenían pocas o ninguna función de Internet, es no obstante importante observar las precauciones planteadas más abajo en todos los teléfonos, para estar absolutamente seguros de que que su di disp spos osititiv ivo o no esta esta en peli peligr gro o si sin n tu cono conoci cimi mien ento to.. Algu Alguna nass de esta estass
119
precauciones podrían aplicarse sólo a los teléfonos móviles, pero es muy importante saber exactamente cuáles son las capacidades de tu teléfono, con el fin de tener certeza de que has tomado las las medidas apropiadas: No al alma mace cene ness arc archi hivo voss y fo foto toss conf confid iden enci cial ales es en tu te telé léfo fono no mó móvi vil.l. Trasládelos, lo más pronto posible, a una ubicación segura, como se explica en el Capítulo 4, Proteger los archivos importantes en tu computadora. Borra fre Borra frecue cuente ntemen mente te los reg regist istros ros de llamad llamadas as telefó telefónic nicas, as, men mensaj sajes, es, ingreso de datos a tu libreta de direcciones, fotos, etc. Si utilizas tu teléfono para navegar en la Internet, sigue prácticas seguras similares a aquellas que utilizas cuando estas en la computadora (por ejemplo, siempre envía información a través de conexiones cifradas como HTTPS). Conecta tu teléfono a una computadora sólo si estás seguro que esta esta libr libre e de soft softwa ware re ma malilici cios oso o (m (mal alwa ware re). ). Co Cons nsul ulta ta el Ca Capí pítu tulo lo 1. Prot Proteg eger er tu computadora de software malicioso (malware) y piratas informáticos (hackers). No ace acepte ptess ni ins instal tales es prog program ramas as des descon conoci ocidos dos y no ver verifi ificad cados os en tu teléfono, entre ellos tonos de llamada, fondos de pantalla, aplicaciones de java o cualquier otro que se origine en una fuente no deseada o inesperada. Estas pueden contener virus, software malicioso o programas espía. Observa el comportamiento y el funcionamiento de tu teléfono. Está atento a prog progra rama mass de desc scon onoc ocid idos os y pr proc oces esos os en ejec ejecuc ució ión, n, me mens nsaj ajes es extr extrañ años os y funcionamiento irregular. Si no conoces o no utilizas algunas de las características y aplicaciones en tu teléfono, deshabilita o desinstala de ser posible. Se cauteloso cuando te conectes a los puntos de acceso WiFi que no ofrecen contraseñas, del mismo modo que lo serías cuando utilizas tu computadora y te conectas a puntos de acceso WiFi. El teléfono móvil es esencialmente como una computadora y por tanto comparte las vulnerabilidades e inseguridades que afectan a las computadoras y a la Internet. Asegúrate que estén apagados y deshabilitados en tu teléfono los canales de comunicación como el Infra Red (IR), Bluetooth y Wireless Internet (WiFi) si no los estás utilizando. Enciende sólo cuando se requiera. Utilízalos sólo en situaciones y ubicaciones confiables. Evalúa no utilizar Bluetooth, pues es relativamente simple
120
escuchar a escondidas en esta tipo de comunicaciones. En vez de ello, transfiere datos utilizando una conexión con cable desde el teléfono a audífonos de manos libres o a una computadora.
10.5 Plataformas, Configuración básica e Instalación 10.5.1 Plataformas y Sistemas Operativos Al momento de escribir este capítulo, los teléfonos móviles de uso más común son el iPhone de Apple y Android de Google, seguidos por el Blackberry y teléfonos de Windows. La mayor diferencia entre el Android y los otros sistemas operativos, es que Android es un sistema, principalmente de Código Abierto (FOSS (FOSS), ), permitiendo que su sistema operativo sea auditado de forma independiente para verificar si protege apropiadamente la información y comunicación de los usuarios. También facilita el desarrollo de aplicaciones de seguridad para su plataforma. Muchos Much os progra programadore madoress consc conscientes ientes de la segur seguridad idad desarr desarrollan ollan aplic aplicacione acioness para Andr An droi oid d pens pensan ando do siem siempr pre e en la se segu guri rida dad d del del usua usuari rio. o. Algun lgunas as de esta estass aplicaciones las destacaremos más adelante en este capítulo. Sin importar el tipo de teléfono móvil que utilizas, es importante que seas consciente de algunos temas al usar un teléfono que se conecta a internet y que contiene características como GPS o capacidad de red inalámbrica. En este capítulo nos enfocamos en dispositivos con la plataforma Android, ya que, como explicamos anteriormente, es más fácil asegurar datos y comunicaciones. Sin embargo, las guías de configuración básicas y algunas aplicaciones para dispositivos que no sean teléfonos Android se proporcionan también. Los teléfonos Blackberry han sido presentados como dispositivos “seguros” para para me mens nsaj ajer ería ía y co corr rreo eo el elec ectr trón ónic ico. o. Es Esto to porq porque ue los los me mens nsaj ajes es y corr correo eoss elec electr trón ónic icos os son son di diri rigi gido doss de fo form rma a segu segura ra por por me medi dio o de los los serv servid idor ores es de Blackberry, fuera del alcance de potenciales intrusos. Desafortunadamente, más y más gob gobier iernos nos est están án dem demand andand ando o acc acceso eso a est estas as comuni comunicac cacione iones, s, citando citando la necesi nec esidad dad de pro proteg tegers erse e con contra tra el ter terror rorism ismo o y crimen crimen org organi anizad zado. o. La Ind India, ia, Emiratos Árabes Unidos, Arabia Saudita, Indonesia y el Líbano son ejemplos de gobiernos que han analizado el uso de dispositivos Blackberry y han exigido el acceso a los datos del usuario en sus países.
121
10.5.2 Teléfonos Teléfonos móviles convencionales Otra categoría de teléfonos móviles, como Nokia 7705 Twist o Samsung Rogue, son llamados 'móviles convencionales' . Recientemente, estos teléfonos han incrementad incre mentado o sus funci funcionalid onalidades ades para inclu incluir ir alguna algunass conte contenidas nidas en los teléf teléfonos onos móviles. Generalmente los sistemas operativos de los móviles convencionales son menos accesibles, y por lo tanto existen limitadas oportunidades para aplicaciones de seguridad o mejoras a las mismas. No abordamos específicamente los móviles convenciona conve ncionales, les, sin embarg embargo o mucha muchass de las medidas expresadas en este capítul capítulo o también tienen sentido para los móviles convencionales. 10.5.3 teléfonos móviles de marca y bloqueados Los Los te telé léfo fono noss mó móvi vile less us usua ualm lmen ente te so son n vend vendid idos os co con n una una ma marc rca a o bloqueado bloque ados. s. Un tel teléfo éfono no móv móvilil blo bloque queado ado sig signif nifica ica que el dis dispos positi itivo vo sól sólo o es operado con un único proveedor y el dispositivo sólo funciona con su tarjeta SIM. Los proveedores de redes móviles le ponen marca a los teléfonos mediante la instalación de su propio firmware 19 o software. También puede que los proveedores deshabiliten algunas funcionalidades o agregar otras. La marca es un medio para que las empresas aumenten sus ingresos mediante la canalización del uso de tu teléfono móvil, a menudo también la recopilando datos acerca de cómo utilizas el teléfono o habilitando el acceso remoto a tu teléfono móvil. Por estas razones, recomendamos teléfonos móviles desbloqueados, ya que un teléf teléfon ono o bl bloq oquea ueado do in incr crem emen enta ta lo loss ries riesgo goss debid debido o a que que tu tuss dato datoss so son n cana canaliliza zado doss haciendo a trav través és imposible de un sólo só lo pro prove veed edor or, , cent centra rali liza zand ndo o difundir así así el fl fluj ujo odatos de tu información cambiar las tarjetas SIM para los a través de diferentes proveedores. Si tu teléfono está bloqueado, pregunta a alguien de confianza cómo desbloquearlo.
10.5.4 Configuración General Los Los te telé léfo fono noss mó móvi viles les ti tien enen en mu much chas as opci opcion ones es de conf config igur urac ación ión que que 19 Firmware es es un programa programa grabado en memoria ROM, ROM, que establece establece la lógica de bajo nivel que controla la electrónica de un dispositivo, y por ende se considera parte del hardware, también es software, pues proporciona la lógica y está programado en algún tipo de lenguaje de programación. El firmware recibe órdenes externas y responde operando el dispositivo. El BIOS es un firmware.
122
controlan su seguridad. Es importante prestar atención sobre como se encuentra conf config igur urad ado o tu te telé léfo fono no mó móvi vil.l. En las gu guía íass prác prácti tica cass que que se pre prese sent ntan an má máss adelante, te alertamos sobre algunas opciones de seguridad del teléfono móvil que están disponibles pero no están activadas por defecto, así como aquellas opciones que se encuentran activadas por defecto y que vulneran tu teléfono.
10.5.5 Instalar y actualizar aplicaciones La forma común de instalar nuevo software en tu teléfono móvil es usando el Appsto App store re de iPh iPhone one o Goo Google gle Pl Play ay sto store, re, ing ingres resas as tu inf inform ormaci ación ón de usu usuari ario, o, descargas e instalas la aplicación que deseas. Al iniciar la sesión, estás asociando tu información de cuenta de usuario a la tienda virtual. Los dueños de la tienda virtual mantienen registros del historial de navegación del usuario y sus preferencias de aplicaciones. Las Las ap aplilica caci cion ones es qu que e of ofre rece cen n las las ti tien enda dass virt virtua uale less of ofic icia iale less son, son, supuestamente, verificadas por los dueños de las tiendas (Google o Apple), pero en la realidad esto provee poca protección contra lo que puede hacer la aplicación una vez instalada en tu teléfono. Por ejemplo, algunas aplicaciones pueden copiar y enviar tu directorio de contactos luego de ser instaladas en tu teléfono. En el caso de los teléfonos Android, durante el proceso de instalación cada aplicación te solicita permiso sobre lo que puede o no hacer una vez en uso. Deberías prestar atención a los los ti tipo poss de pe perm rmis isos os soli solici cita tado dos, s, y si ésto éstoss ti tien enen en se sent ntid ido o resp respec ecto to a la funcionalid funci onalidad ad de la aplic aplicación ación que estás instal instalando. ando. Si estás consid considerando erando instalar una aplicación para “lectura de noticias” y te solicita derechos para enviar tus contactos a través de una conexión móvil de datos a terceros, deberías buscar otras aplicaciones acordes con accesos y derechos. Las aplicaciones de Android también están disponibles fuera de los canales oficiales de Google. Sólo debes marcar la caja de Fuentes desconocidos que se encuentra en Aplicaciones para utilizar estos sitios web de descargas. Son muy útiles estos sitios web alternativos si quieres minimizar tu contacto en línea con Google. Recomendamos F-Droid ('Free Droid'), que ofrece aplicaciones FOSS. FOS S. En est este e doc docume umento nto,, F-D F-Droi roid d es el rep reposi ositor torio io de las apl aplica icacio ciones nes que reco recome menda ndamo mos, s, y só sólo lo te refe referi rimo moss a Go Goog ogle le Play Play si una una apli aplica caci ción ón no está está disponible en F-Droid.
123
Si no de dese seas as (o no pued puedes es)) co cone nect ctar arte te a inte intern rnet et para para acce acceder der a las las apli aplica caci cion ones es,, tran transf sfie iere re apl aplic icac acio ione ness al te telé léfo fono no de ot otra ra pers person ona a envi envian ando do archivos .apk (siglas para 'paquetes de aplicaciones para android') vía bluetooth. Como alternativa puedes descargar el archivo .apk a la tarjeta Micro SD de tu dispositivo móvil o utilizar un cable usb para trasladarlo desde una computadora. Cuando hayas recibido el archivo, simplemente haz un pulso largo al archivo y estará listo para instalarse. Nota: aunque parezca paranoico se cuidadoso cuando usas bluetooth.
10.6 Voz y Mensajes vía teléfono móvil 10.6.1 Conversaciones Seguras
10.6.1.1 Telefonía Básica Utilizar Internet a través de tu teléfono móvil sobre conexiones móviles de datos o WiFi puede ofrecer muchas opciones para comunicarte de forma segura con las personas, para ello utiliza VoIP e implementa medidas para asegurar este canal de com comuni unicac cación. ión. Inc Inclus luso, o, alg algunos unos tel teléfo éfonos nos móv móvile iless ext extien ienden den la seg seguri uridad dad a llamadas de teléfono móvil, más allá de VoIP (Ver Redphone abajo). Aquí enumeramos algunas herramientas, con sus ventajas y desventajas:
Skype La aplicación comercial VoIP más popular Skype está disponible para todas las plataformas de teléfonos móviles y funciona si tu conexión inalámbrica es fiable. Es menos seguro en conexiones de data móvil. Previamen Previa mente te hem hemos os men mencio cionad nado o sob sobre re los riesgo riesgoss al utiliz utilizar ar Sky Skype, pe, y porqué, si es posible, debemos evitar su uso. En resumen, Skype no es un software de Código Abierto lo que dificulta verificar de forma independiente sus niveles de seguri seg uridad dad.. Adi Adicio cionalm nalment ente, e, es pro propie piedad dad de Mic Micros rosoft oft,, el cual cual tiene tiene el int interé eréss comercial de saber cuándo lo utilizas y desde dónde. Así mismo, Microsoft podría permitirle a las agencias de seguridad de USA 20 acceso retrospectivo de todo tu historial de comunicaciones. 20 La Agencia Agencia de Seguridad Nacional (National (National Security Agency, Agency, conocida como NSA), NSA), es una agencia de inteligencia de los Estados Unidos que se encarga de la seguridad de la información.
124
Otros VoIP Procura utilizar VoIP gratuitos (más barato que las llamadas móviles) y que dejan menos rastros de tus datos. Una llamada segura con VoIP es la forma segura de comunicarse. pote tent nte e cl clien iente te VoI oIP P para para And Androi roid, d, que que cuen cuenta ta con con CSipSimple es un po excelente excel ente mantenimi mantenimiento ento y con senci sencilla lla confi configuraci guración ón del asist asistente ente para difer diferentes entes servicios VoIP. Al utilizar CSipSimple, nunca te comunicas directamente con la otra persona, en vez de ello tus datos se canalizan a través del servidor Ostel. Esto hace que sea difícil rastrear tus datos y averiguar con quién estás hablando. Adicionalmente, Ostel no guarda ninguna información, excepto los datos de la cuenta que necesitas para iniciar la sesión. Todas tus conversaciones están cifradas; y tus meta datos (los cuales son usualmente muy difíciles de ocultar) son confusos para el tráfico pasa por el servidor Ostel.
Open Secure Telephony Network (OSTN) y el servidor de Guardian Project ofrecen uno de los medios más seguros para la comunicación de voz. Conocer y confiar en el proveedor que opera el servidor de tu comunicación VoIP es de vital importancia – Guardian Project – es respetado en la comunidad. RedPhone es una aplicación gratuita y Código Abierto que cifra datos de comunicación de voz enviados entre dos dispositivos que corren con esta misma aplicación. Es fácil de instalar y de utilizar, ya que se integra a tu marcado normal y sistema contactos. Las personas con las queRedPhone deseas comunicarte necesitan instalar yde utilizar RedPhone. Para facilitar su uso utiliza su número de teléfono móvil como su identificador (como un nombre de usuario en otros servicios VoIP). Sin embargo, se vuelve más sencillo analizar el tráfico que produce y rastrearte de vuelta a través de tu número de teléfono móvil. RedPhone utiliza un servidor central como punto de centralización pone a RedPhone en una poderosa posición (por tener control sobre algunos esto datos).
Enviando Mensajes de forma Segura Debes tomar precauciones a la hora de enviar SMS o al utilizar mensajería instantánea o chat en tu teléfono móvil.
125
10.6.1.2 SMS La com comuni unicac cación ión SMS es ins insegur egura a por def defect ecto. o. Cualqu Cualquier ier per person sona a con acceso a una red de telecomunicación móvil puede interceptar los mensajes, y esto es una acción cotidiana que se da en muchas situaciones. No se confíe enviando mensajes SMS inseguros en situaciones críticas. No existen ninguna forma de autenticar un mensaje SMS, por lo tanto es imposible saber si el contenido de dicho mensaje fue alterado durante su envío o si el emisor del mensaje realmente es la persona que dice ser.
Asegurando los SMS TextSecure es una herramienta de Código Abierto FOSS para enviar y recibir SMS de forma segura en los teléfonos Android. Funciona tanto para mensajes cifrados y no cifrados, así que puedes utilizarla por defecto como una aplicación SMS. Para intercambiar mensajes cifrados esta herramienta debe estar instalado tanto por parte del emisor como del receptor del mensaje, por lo tanto deberás prom promov over er su uso uso cons consta tant nte e entr entre e la lass pers person onas as con con las las que que te comu comuni nica cas. s. TextSecure automáticamente detecta los mensajes cifrados recibidos desde otro usuario de TextSecure. También te permite cifrar mensajes a más de una persona. Los men mensaj sajes es son firmad firmados os aut automá omátic ticame amente nte hac hacien iendo do cas casii imp imposi osible ble que los contenidos del mensaje sean alterados.
Chat Seguro La mensajería instantánea o chat en tu teléfono puede producir mucha información vulnerable a la interceptación. Estas conversaciones podrían ser usadas en tu co cont ntra ra po porr ad adve vers rsar ario ioss post poster erio iorm rmen ente te.. De Debe berí rías as por por lo ta tant nto o se serr extremadamente cauteloso sobre lo que escribes en tu teléfono mientras envías mensajes instantáneos y al chatear. Existen formas seguras para chatear y enviar mensajes instantáneos. La mejor forma es utilizar cifrado de extremo a extremo (doble vía), asegurando que la persona al otro extremo sea la persona con la que deseas comunicarte. Gibberbot21 es una aplicación segura para chatear en teléfonos Android. 21 Gibberbot Gibberbot ahora ahora se llama llama ChatSec ChatSecure. ure.
126
126
Ofrece cifrado sencillo y fuerte para tus chats con el protocolo de mensajería Offthe-Record. Este cifrado provee ambas autenticaciones, por un lado puedes verificar que que ch chat atea eass con con la pers person ona a corr correc ecta ta,, y por por ot otro ro lado lado co cont ntie iene ne se segu guri rida dad d independiente entre cada sesión, de esta forma si una sesión de chat cifrado se ve comprometida, otras sesiones pasadas o futuras se mantendrán seguras. Gibberbot ha sido diseñado para funcionar en conjunto con Orbot, de esta forma tus mensajes de chat son canalizados a través de la red anónima Tor. Esto hace que sea muy difícil de rastrear o incluso averiguar si sucedió alguna vez. Para clientes de iPhones, el ChatSecure provee las mismas características, sin embargo no es tan sencillo utilizarlo con la red de Tor Tor.. Independientemente Independient emente de la aplic aplicación ación que utili utilices, ces, siempre considera desde cuál cuenta usarás el chat chat.. Al utili utilizar zar Google T Talk, alk, tus creden credenciale cialess y tiemp tiempo o de la sesión del chat son conocidas por Google. Ponte de acuerdo con tus contactos para no dejar guardados los historiales de chat, especialmente si no están cifrados.
10.7 Guardando Información Información en tu teléfono móvil Los teléfonos móviles vienen con gran capacidad de almacenamiento de datos dat os.. Des Desafo afortu rtunad nadame amente nte,, los dat datos os gua guardad rdados os en tu dis disposi positiv tivo o pue pueden den ser accesibles a terceras personas, ya sea de forma remota o con acceso físico al teléfono. Algunas precauciones básicas sobre cómo reducir el acceso indebido a esta información se explica en la Guía de Configuración Básica para Android. Adicionalmente, puedes tomar medidas para cifrar información importante en tu teléfono utilizando herramientas específicas.
10.7.1 Herramientas para cifrar datos Android Androi d Pri Privac vacyy Gua Guard rd (AP (APG) G) cifra cifra arc archiv hivos os y cor correos reos ele electr ctróni ónicos cos con OpenGPG. También puede ser usado para mantener tus archivos y documentos seguros en tu teléfono, así como cuando envías correos electrónicos. Cryptonite es otra herramienta de Código Abierto FOSS para cifrar archivos. Ti Tiene ene caract caracterís erísticas ticas avanzad avanzadas as para teléf teléfonos onos And Android roid preparados con firmware personalizado.
127
10.7.2 Enviando Correos Electrónicos con teléfonos móviles En primera instancia, considera si realmente necesitas acceder a tu correo electr ele ctróni ónico co con tu tel teléfo éfono no móv móvil. il. Aseg Asegura urarr una com comput putado adora ra y su con conten tenido, ido, generalmente es más sencillo que hacerlo con un teléfono móvil. Recuerda que éste es más susceptible a robos, vigilancia e intrusiones. Si es absolutamente necesario que accedas a tu correo electrónico desde tu teléfono móvil, existen acciones que puedes implementar para aminorar los riesgos: •
•
•
No consideres tu teléfono móvil como el principal medio para acceder a tu correo electrónico. Descargar (y eliminar) correos electrónicos de un servidor de correos y guardarlos sólo en tu teléfono móvil no es recomendable. Puedes configurar tu aplicación de correo electrónico para usar únicamente las copias de tus correos. Si utilizas correo cifrado con tus contactos, considera la instalación del mismo en tu teléfono móvil. El beneficio adicional es que los correos cifrados permanecen secretos si el teléfono cae en las manos equivocadas. Si guardas tu clave privada de cifrado en tu teléfono móvil es un riesgo. Sin embargo, el beneficio de enviar y guardar tus correos electrónicos cifrados y seguros en el dispositivo móvil pesa más que el riesgo. Considera generar un par de claves únicas de cifrado para móvil (usando APG) en tu teléfono móvil, de esta forma evitas copiar tu clave privada de tu computadora al dispositivo móvil.
Notarr qu Nota que e es esto to requ requie iere re pr preg egun unta tarl rle e a las las pers person onas as con con las las que que te comunicas, que deben cifrar sus correos electrónicos utilizando la clave única de cifrado de móviles.
10.7.3 Capturando Multimedia con teléfonos móviles Capturar fotos, videos o audios con tu teléfono móvil es un excelente medio para documentar y compartir eventos importantes. Sin embargo, es importante ser cuidadoso y respetuoso de la privacidad y seguridad de las personas fotografiadas, filmadas o grabadas. Si tomas fotos o filmas y grabas un evento importante, puede ser peligroso para ti o para los que aparecen en las grabaciones si tu teléfono cae en las manos equivocadas.
128
En estos casos, estas sugerencias pueden ser de ayuda: ◦
◦
◦
◦
Ten un mecanismo de seguridad para subir los archivos multimedia a un lugar protegido en internet y elimínalos del teléfono inmediatamente (lo mas pronto posible). Usa herramientas herramientas para difum difuminar inar rostros de las personas que aparec aparecen en en la lass im imág ágen enes es o vi vide deos os,, o dist distor orsi sion ona a las las voce vocess de los los audi audio o y gr grab abac acio iones nes de vi vide deo, o, y sólo sólo guar guarda da las las copi copias as dist distor orsi sion onad adas as y difuminadas en archivos multimedia en tu dispositivo móvil. Protege o remueve la meta información relacionada con tiempo y lugares que quedan registrados en los archivos multimedia. Guardian Project ha creado una aplicación de Código Abierto FOSS llllam amad ada a Ob Obsc scur uraC aCam am qu que e id iden enti tifi fica ca los los ro rost stro ross en las las fo foto toss y los los difumina. Puedes seleccionar el modo de difuminación y que deseas difuminar. También elimina las fotos originales, y si tienes un servidor para subir los multimedia grabados, suministra funciones para subirlos.
10.7.4 Acceso a Internet Seguro con teléfonos móviles Los teléfonos móviles te permiten controlar cómo accedes a Internet: vía conexión inalámbrica desde un punto de acceso (como un internet café o cyber), o vía conexión de data móvil, como GPRS, EDGE, o UMTS que ofrece tu proveedor de red móvil. Utilizar una conexión WiFi reduce los rastros o huellas de los datos que estás deja dejand ndo o en tu pr prov ovee eedo dorr de se serv rvic icio ioss de te tele lefo foní nía a mó móvi vill (y (ya a que que no está estáss conectado/a con tu suscripción de teléfono móvil). A pesar de ello, algunas veces la conexión de data móvil es la única forma de estar en línea. Desafortunadamente, los protocolos de la conexión de data móvil (como EDGE o UMTS) no tienen protocolos abiertos. abiert os. Desar Desarrollado rolladores res indepe independient ndientes es e ingeni ingenieros eros de segur seguridad idad no pueden examinar estos protocolos para ver cómo están siendo implementados por los operadores de data móvil. En alg alguno unoss paí países ses,, los pro provee veedor dores es de ser servic vicios ios móv móvile iless ope operan ran baj bajo o diferentes legislaciones que los proveedores de servicios de internet, lo que puede
129
resultar en una mayor vigilancia por parte de gobiernos y responsables del soporte. Inde Indepe pendi ndien ente teme ment nte e de dell cami camino no que que to tome mess para para tu tuss co comu muni nica caci cion ones es digita dig itales les con tel teléfo éfonos nos móv móvile iles, s, pue puedes des red reduci ucirr los riesgo riesgoss de exp expone onerr dat datos os mediante el uso de herramientas para el cifrado y anonimato. Anónimo Para acceder a contenido en línea de forma anónima, usa la aplicación para Android llamada Orbot, que canaliza tu comunicación en internet mediante la red anónima de Tor Tor.. Otra aplicación llamada Orweb, tiene la característica de ser un navegador web con potentes características de privacidad utilizando proxy que no guardan el hist histor oria iall de la na nave vega gaci ción ón lo loca cal.l. Junt Juntos os,, Or Orbo bott y Or Orwe web, b, elude eluden n los los fi filtltro ross y cortafuegos en la web y ofrecen navegación anónima. Proxy La versión móvil del navegador Firefox – Firefox mobile puede equiparse con complementos proxy que dirigirán tu tráfico a un servidor proxy. Por lo tanto, tu tráfico irá al sitio que estás solicitando. Esto en casos de censura, pero puede que revele tus solicitudes si tu conexión desde tu cliente al proxy no está cifrada. Utiliza el complemento llamado Proxy Mobile, también de Guardian Project, el cual hace que el proxy con Firefox sea sencillo. A Así sí mismo, es la única form forma a de canalizar la comunicación móvil de Firefox a Orbot y la red T Tor. or.
10.8 Seguridad Avanzada para teléfonos móviles La mayoría de los teléfonos móviles son capaces de hacer más que lo que ofre ofrece ce el sist sistem ema a op oper erat ativ ivo o in inst stal alad ado o en ello ellos, s, del del soft softwa ware re ma manu nufa fact ctur urad ado o (f (fir irmw mwar are) e) o de lo loss prog progra rama mass de dell op oper erad ador or mó móvi vil. l. Po Porr ot otro ro lado lado,, algu alguna nass funcionalidades están "encerradas" por lo que el usuario no es capaz de controlar o alterar estas funciones y están fuera de alcance. En la mayoría de casos, algunas funcio fun cional nalida idades des son inn innece ecesar sarias ias par para a los usu usuari arios os de teléfo teléfonos nos móv móvile iles. s. Sin emba em barg rgo, o, exis existe ten n al algun gunas as apli aplica caci cion ones es y fu func ncio iona nalilida dade dess que que aume aument ntan an la seguridad de datos y comunicaciones en el teléfono móvil. También existen otras funciones que se pueden remover para evitar riesgos a la seguridad.
130
Por esto Por esto,, y por por ot otra rass razo razone nes, s, al algun gunos os usua usuari rios os de te telé léfo fono noss mó móvi vile less prefieren manipular los diversos programas y software ya instalados en los teléfonos móvile móv iless con el fin de obt obtene enerr pri privil vilegi egios os par para a ins instal talar ar fun funcio ciones nes mej mejora oradas das,, o remover y/o reducir otras.
10.8.1 Rooting o jailbreaking El pr proc oces eso o de supe supera rarr lo loss lílími mite tess im impu pues esto toss por por el oper operad ador or mó móvi vill o fabricante del sistema operativo en un teléfono móvil se llaman “rooting” (en el caso de dispositivos de Android), o “jailbreaking” (en el caso de dispositivos iOS como iPhone o iPad). Normalmente, el éxito del “rooting” o “jailbreaking” tiene como resultado resul tado obtener los privilegios necesari necesarios os para instalar o utili utilizar zar aplicacione aplicacioness adicionales, realizar modificaciones a configuraciones bloqueadas y tener control total sobre los datos guardados y la memoria del teléfono móvil. Nota: El “rooting Nota: “rooting”” o “jailb “jailbreaki reaking” ng” no es un proces proceso o reversible reversible,, y requier requiere e de experiencia en la instalación y configuración de software. Considere lo siguiente: Existe el riesgo de que tu tel Existe teléfono éfono móv móvilil quede inopera inoperable, ble, o “bric “bricking king it” (convertirlo en un ladrillo). La garantía del fabricante u operador móvil puede quedar sin efecto o anulada y en algunos lugares este proceso es considerado ilegal. Si eres cuidadoso, un dispositivo “rooted” puede ser una forma sencilla de obtener mayor control sobre los teléfonos móviles hacerlo mucho más seguro.
10.8.2 Firmware Alternativo Firmware se refiere a programas que están estrechamente relacionados a un dispos dis positi itivo vo en par partic ticular ular.. Est Están án en coo cooper peraci ación ón con el sis sistem tema a ope operat rativo ivo del dispositivo y son responsables de la operación básica del hardware de tu teléfono móvil, móv il, com como o el mic micróf rófono ono,, par parlan lantes tes,, cám cámara ara,, pan pantal talla la tác táctil til,, mem memori oria, a, llaves llaves,, antenas, etc. Si tie tienes nes un dis disposi positiv tivo o An Androi droid, d, pued puedes es con consid siderar erar ins instal talar ar un fir firmwa mware re alternativo para mejorar tu control sobre el teléfono. Nota que para instalar firmware alternativo debes implementar el proceso de “rooting” a tu teléfono.
131
Como firmware alternativo para un teléfono Android tenemos Cyanogenmod, el cua cuall te per permit mite e des desins instal talar ar apli aplicac cacione ioness al niv nivel el del sis sistem tema a de tu teléfo teléfono no (aquellas aplicaciones instaladas por el fabricante del teléfono o tu operador de red móvil). Al hacerlo, reduces la cantidad de formas en las que tu dispositivo es supervisado, como cuando la información es enviada a tu proveedor de servicios sin tu conocimiento. Adicional Adicio nalmen mente, te, Cy Cyanog anogenm enmod od nav navega ega por def defect ecto o con una apl aplica icació ción n OpenVPN, que en caso contrario sería tedioso instalar. VPN es una de las formas de asegurar el proxy de tu comunicación en internet. Cyanogenmod también ofrece un modo de navegación anónima en la cual el historial de tus comunicaciones no es registrada en tu teléfono móvil. Viene con muchas much as otra otrass ca cara ract cter erís ísti tica cas. s. Si Sin n em emba barg rgo, o, no es co comp mpat atib ible le con con to todo doss los los dispositivos de Android, así que antes de continuar revisa la lista de dispositivos compatibles.
10.8.3 Cifrar volúmenes completos Si tu te telé léfo fono no ha sido sido “roo “roote ted” d” qu quiz izá á quie quiera rass cifr cifrar ar to todo do el espa espaci cio o de almacenamiento de datos, o bien crear un volumen en el teléfono móvil para proteger alguna información en el teléfono. Luks Manager cifra volúmenes con alta seguridad y de forma instantánea mediante una interfaz sencilla. Es recomendable que instales esta herramienta antes de empezar a guardar datos en tu dispositivo Android y utilices los Volúmenes Cifrados que provee Luks Manager para almacenar tus datos.
10.8.4 Red Virtual Privada Una RPV ofrece un túnel cifrado a través de la internet entre tu dispositivo y un servidor VPN. Esto se llama túnel porque a diferencia de otros tráficos cifrados, como https, esconde todos los servicios, protocolos y contenidos. Una conexión VPN se configura una sola vez, y termina sólo cuando tu lo decidas. Ten en cuenta que como todo tu tráfico viaja a través de un servidor proxy o VPN,, un intermedia VPN intermediario rio sólo neces necesita ita acceso al proxy para analizar tus activ actividades idades.. Porr lo tant Po tanto, o, es su suma mame ment nte e im impo port rtan ante te que que elij elijas as cuida cuidado dosa same ment nte e entr entre e los los
132
servicios de proxy y de VPN. También es recomendable utilizar diferentes proxy y/o RPV, ya que al distribuir en diferentes canales tus datos se reduce el impacto de un servicio en peligro. Trata el uso del servidor RiseUp VPN. Puedes utilizar RiseUp VPN en un disp dispos osititiv ivo o An Andr droi oid d de desp spué uéss de in inst stal alar ar Cy Cyan anog ogen enmo mod. d. Ad Adem emás ás es fá fáci cill de configurar la conexión del RiseUp VPN a un iPhone.
133
Glosario A continuación, se definen los términos técnicos usados en este libro: KeePass – Software libre de base de datos de contraseñas seguras Proveedor de Servicio de Internet (ISP) – La compañía u organización que provee tu conexión inicial a la Internet. Los gobiernos de muchos países ejercen control sobre la Internet, utilizando medios como el filtrado y la vigilancia, a través de los proveedores de servicios de Internet que operan en dichos países.
Administrador de correo. Persona responsable de solucionar problemas en el correo electrónico, responder preguntas a los usuarios y otros asuntos en un servidor. Administrador Administra dor del sistema . Persona responsable de administrar, controlar, superv sup ervisa isarr y gar garant antiza izarr la ope operat rativi ividad dad y fun funcio cional nalida idad d de los sis sistem temas. as. Dic Dicha ha administración está en cabeza de la Gerencia de informática.
Amenaza física – En este contexto, cualquier amenaza a tu información importante impor tante que sea el resultado de la acción de otras person personas as que tengan acces acceso o físico directo al hardware de tu computadora o cuyo origen sea otro riesgo físico como una rotura, accidente o desastre natural. Amenaza : Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir daño (material o inmaterial) sobre los elementos (activos, recursos) de un sistema. Android: Es un sistema operativo de código abierto basado en Linux para teléfonos móviles y dispositivos como las tabletas, desarrollado por Google.
APG: Android Privacy Guard : Es una aplicación de software libre y de códi código go abie abiert rto o pa para ra te telé léfo fonos nos mó móvi vile less An Andr droid oid,, la cu cual al fa faci cililita ta el cifr cifrad ado o co con n OpenPGP.. Puede ser integrada con el correo K9. OpenPGP apk: Es la extensión de archivo usada para las aplicaciones de Android. reposit sitori orio o (pr (prede edeter termin minado ado)) des desde de el cua cuall se pue pueden den Appstore: Es un repo encontrar y descargar las aplicaciones para iPhone.
134
Archivo de paginación o intercambio – Archivo en tu computadora en el cual se guarda información, parte de la cual puede ser importante, ocasionalmente con el fin de mejorar su rendimiento. Arrancado – Acción de iniciar una computadora. Ataque: Es una amenaza que se convirtió en realidad, es decir cuando un evento se realizo. No dice nada si o no el evento fue exitoso. Autenticidad : La leg legititim imid idad ad y cred credibi ibililida dad d de una una pers person ona, a, serv servic icio io o elemento debe ser comprobable. Avast – Herramienta antivirus de software gratuito. Herramienta que puede cifrar y Base de datos de contraseñas seguras – Herramienta almacenar tus contraseñas utilizando una única contraseña maestra.
BlackBerry: Es una marca de teléfonos móviles basada en el sistema operativo BlackBerry desarrollado por Research In Motion (RIM). ambi bién én cono conoci cido do como como cuen cuenta ta de corr correo eo,, es un re rece cept ptác áculo ulo Buzón. Tam exclus exc lusivo ivo,, asi asignad gnado o en el ser servid vidor or de cor correo reo,, para almac almacena enarr los mensa mensajes jes y archivos adjuntos enviados por otros usuarios internos o externos a la empresa.
Cable de seguridad – Cable de cierre que puede utilizarse para asegurar, a una pared o un escritorio, una computadora portátil u otros equipos, entre ellos discos duros externos y algunas computadoras de escritorio. Ello con el fin de impedir que sean físicamente removidos del lugar. (Secure Sockets Layer (SSL)) – Tecnología que Capa de Conexión Segura (Secure te permite mantener una conex conexión ión segura, cifrada entre tu compu computadora tadora y alguno algunoss de los sitio sitioss web y los servici servicios os de Inter Internet net que visit visitas. as. Cuando estas conecta conectado do a un sitio web a través de una capa de conexión segura (SSL), la dirección del sitio web empezará con HTTPS en vez de HTTP HTTP..
CCleaner – He Herr rram amie ient nta a de soft softw ware are libr libre e que que elim elimin ina a los los arch archiv ivos os temporales y los potencialmente importantes rastros dejados en tu disco duro por programas que utilizaste recientemente y por el mismo sistema operativo Windows. Certificado de seguridad – Forma de garantizar que los sitios web y otros servic ser vicios ios de Intern Internet, et, uti utiliz lizand ando o cifrad cifrado, o, son rea realme lmente nte qui quiene eness dic dicen en ser ser.. Sin
135
embargo, con el fin de que tu navegador acepte un certificado de seguridad como valido, el servicio debe pagar por una firma digital de una organización confiable. Debido a que ello es oneroso algunos operadores de servicios son reticentes o incapaces incap aces de gasta gastarr en este. Sin embargo, de manera ocasional verás un error de certificado de seguridad incluso cuando visitas un servicio válido.
Chat. (Tertulia, conversación, charla). Comunicación simultánea entre dos o más personas a través de Internet. Cifrado – Forma ingeniosa de utilizar las matemáticas para cifrar, o mezclar, información de modo que solo pueda ser descifrada y leída por quien tenga cierta información, como una contraseña o una clave de cifrado. ClamAV – Programa antivirus de software libre y de código abierto para Linux.
Cobian Backup – Herramienta de respaldo de software libre y de código abierto. La última versión del Cobian es de software gratuito pero de código cerrado, sin embargo, las versiones anteriores fueron lanzadas como software gratuito y de código abierto. Código fue Código fuente nte – Cód Código igo sub subyac yacente ente escri escrito to por los progra programad madore oress de computadoras que permite la creación de software. El código fuente para una herramienta dada revelará como funciona y si esta puede ser insegura o maliciosa. Código mnemotécnico – Un sistema simple que puede ayudarte a recordar contraseñas complejas. Comodo Firewall – Herramienta cortafuegos de software libre. Computador . Es un dispositivo de computación de sobremesa o portátil, que utiliza un microprocesador como su unidad central de procesamiento o CPU. Computadores de escritorio y portátiles: conformados por CPU (Discos duros, dur os, mem memori orias, as, pro proces cesado adores res,, mai main n bor borrad rad,, bus de dat datos) os),, cables cables de pod poder er,, monitor,, teclado, mouse. monitor Confidencialidad : Da Dato toss solo solo pued pueden en ser ser legi legibl bles es y mo modi difi fica cado doss por por personas autorizados, tanto en el acceso a datos almacenados como también durante la transferencia de ellos.
136
Conj njun unto to de núme número ros, s, letr letras as y cara caract cter eres es,, Contraseña Contrase ña o pas passwor sword d. Co utilizados para reservar el acceso a los usuarios que disponen de esta contraseña.
Cookie – Pequeño archivo, que almacena tu navegador en tu computadora. Este puede utilizarse para almacenar información de, o para identificarte, en un sitio web particular. particular. ambi bién én co cono noci cido do co como mo E-ma E-mailil,, abre abrevi viac ació ión n de Correo elec Correo electrón trónico ico. Tam electronic mail. Consiste en el envío de textos, imágenes, videos, audio, programas, etc., de un usuario a otro por medio de una red. El correo electrónico también puede ser enviado automáticamente a varias direcciones.
Corriente Eléctrica Ininterrumpida (UPS) – Equipo que permite a tus equipo equ iposs de compu computac tación ión crític críticos os que con contin tinúen úen ope operand rando, o, o que se apa apaguen guen paulatinamente ante la ocurrencia de una breve pérdida de energía. Cortafuegos (firewall) – Herramienta que protege a tu computadora de conexiones no confiables desde o hacia redes locales y la Internet. Cryptonite : Es una aplicación de software libre y código abierto para cifrar archivos en teléfonons inteligentes Android. Cuentas de correo. Son espacios de almacenamiento en un servidor de correo, para guardar información de correo electrónico. Las cuentas de correo se componen de un texto parecido a este mperez @codechoco.gov.co donde " mperez " es nombre o sigla identificadora de usuario, " codechoco " el nombre de la empresa con la que se crea la cuenta o el dominio y ".gov.co" una extensión propio de Internet según el dominio. Dirección Direcció n de Protoco Protocolo lo de Inte Internet rnet (direc (dirección ción IP) – Identificador único asignado a tu computadora cuando se conecta a Internet. Disponibilidad : Acceso a los datos debe ser garantizado en el momento necesario. Hay que evitar fallas del sistema y proveer el acceso adecuado a los datos. bajar. Transferencia de información desde Internet a Downloads. Descargar, bajar. una computadora.
EDGE, GPRS, UMTS: Los Datos Mejorados para la Evolución de GSM, el
137
Servicio General ral de Radi dio o por Paquetes, y el Sistema Universal de Telecomunicaciones Móviles, son tecnologías que le permiten a los dispositivos móviles conectarse a Internet.
Edición de cuentas de correo. Mirar o leer el contenido de los correos recibidos o enviados por un usuario. Electricidad estática . La corriente estática se presenta cuando no existe ninguna fuerza externa (voltaje) que impulse a los electrones o si estos no tienen un camino para regresar y completar el circuito, la corriente eléctrica simplemente "no circula". La única excepción al movimiento circular de la corriente la constituye la electr ele ctrici icidad dad es estát tática ica que con consis siste te en el des despla plazam zamient iento o o la acu acumul mulaci ación ón de partículas (iones) de ciertos materiales que tienen la capacidad de almacenar una carga eléctrica positiva o negativa. Element Ele mentos os de Info Informac rmación ión: Tam ambi bién én “Act “Activ ivos os”” o “R “Rec ecurs ursos os”” de una una institución que requieren protección, para evitar su perdida, modificación o el uso inadecuado de su contenido, para impedir daños para la institución y las personas que que sa sale len n en la in info form rmac ación ión.. Se di dist stin ingu gue e y divi divide de tr tres es grup grupos os,, a) Da Dato toss e Información, b) Sistemas e Infraestructura y c) Personal.
Elementos de tecnología . Se consideran los siguientes, siendo la Gerencia Elementos de Informática responsable de su administración. Eliminación Permanente – Proceso de borrado de información de manera segura y permanente. Enigmail – Complemento del programa de correo electrónico Thunderbird que le permite a este enviar y recibir correos electrónicos cifrados y firmados digitalmente. Enrutador (router) – Equipo de red a través del cual las computadoras se conectan a sus redes locales y por medio del cual varias redes locales acceden a Internet. Inter net. Inter Interruptor ruptores es (swi (switches tches), ), pasare pasarelas las (gatew (gateways) ays) y conce concentrado ntradores res (hubs (hubs)) realizan tareas similares, del mismo modo que los puntos de acceso inalámbricos para computadoras que están apropiadamente equipadas para utilizarlos. como mo:: Sw Swit itch ch,, Equ quip ipos os de re red des comu mun nica icacio ione nes s co Conversores de fibra y demás equipos de redes y comunicaciones.
rout router er,,
Hu Hub, b,
138
– Herramienta que elimina información, de tu computadora o de tu Eraser dispositivo removible de almacenamiento, de manera segura y permanente.
Estenografía – Cualquier método de disfrazar información importante de modo que aparezca ser algo distinto. Ello se hace con el fin de evitar atraer la atención hacia esta. Evasión – Acto de evadir los filtros de Internet para acceder a los sitios web y otros servicios de Internet bloqueados. F-Droid: Es un repo reposi sito tori rio o al alte tern rnat ativ ivo o dond donde e se pued pueden en enco encont ntra rarr y descargar muchas aplicaciones de software libre y código cód igo abierto para Android. Firefox – Popular Popular navegador web de softw software are libre y de código abierto que es una alternativa al Internet Explorer de Microsoft. Firma Firm a Digita Digitall – Forma de utilizar el cifrado para probar que un archivo o mensaj men saje e par partic ticular ular fue real realmen mente te env enviad iado o por la per person sona a que afirma afirma habe haberlo rlo enviado.
Fuera Fuer a de Re Regi gist stro ro (OTR (OTR)) – Com Comple plemen mento to de cifrad cifrado o del progra programa ma de mensajería instantánea Pidgin. Gestión de Riesgo: Método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo. Está compuesta por cuatro fases: 1) Análisis, 2) Clasificación, 3) Reducción y 4) Control de Riesgo. Gibberbot: Es una aplicación de software libre y código abierto para Android que facilita el chat seguro sobre el protocolo XMPP (también utilizada por Google Talk). Es compatible con Off-the-Record (OTR), y si se utiliza en conjunto con Orbot, puede dirigir los chat por medio de la red Tor (anonimato en línea). GNU/Linux – Sistema operativo de software libre y código abierto que es una alternativa a Windows de Microsoft. Google Play: Es un repositorio (predeterminado) desde el cual se pueden encontrar y descargar aplicaciones para Android. Guardian Project: Es una organización que crea aplicaciones para teléfonos móviles, realiza mejoras de sistemas operativos para dispositivos móviles y los
139
personaliza tomando en cuenta la privacidad y seguridad. Hacker. Per Person sona a ded dedica icada da a log lograr rar un con conoci ocimie miento nto pro profun fundo do sob sobre re el funcionamiento interno de un sistema, de una PC o de una red con el objeto de alterar en forma nociva su funcionamiento.
HTTPS – Cuando estas conectado a un sitio web a través de una Capa de Conexión Segura (Secure Socket Layer (SSL)), la dirección del sitio web empezará con HTTPS en vez de HTTP. Imp mpre reso sora ras, s, radioteléfonos.
UPS,
es escá cáne nerr,
lec ecto tore ress,
fot otoc ocop opia iado dora ras, s,
te telléf éfon onos os,,
Integridad : Datos son completos, non-modificados y todos los cambios son reproducibles (se conoce el autor y el momento del cambio). Internet : Conjunto de redes conectadas entre sí, que utilizan el protocolo TCP/IP para comunicarse entre sí.
Intranet . Red privada dentro de una empresa, que utiliza el mismo software y protocolos empleados en la Internet global, pero que solo es de uso interno. teléfonos onos móviles diseñad diseñada a por Appl Apple, e, y funci funciona ona iPhone: Es una marca de teléf sobre su sistema operativo llamado iOS .
Jailbreaking : Es el proceso de desbloquear características en un iPhone, que de lo contrario, son bloquedas por el fabricantes o el operador de telefonía móvil con el fin de obtener total acceso al sistema operativo K9 Mail: Es un cliente de correo de software libre y código abierto para teléfonos móviles Android, el cual habilita el cifrado OpenPGP cuando se usa con la aplicación APG. Lan. (Local Area Network). (Red de Area Local). Red de computadoras ubicadas en el mismo ambiente, piso o edificio. Lista ta de sit sitios ios web o de servi servicio cioss de Inter Internet net a los cual cuales es Lista blanca – Lis ciert ierta a for forma de ac acce cesso es estta pe perrmit mitid ido, o, mien mientr tras as que que ot otro ross sit itio ioss son automáticamente bloqueados. – Lista de sitios web y otros servicios de Internet bloqueados Lista negra – que no puede ser accedidos debido a una política restrictiva de filtrado.
140
- Untemporal. CD que permite a tu computadora ejecutar un sistema operativo LiveCD diferente en forma
Log. Registro de datos lógicos, de las acciones o sucesos ocurridos en los sistemas aplicativos u operativos, con el fin de mantener información histórica para fines de control, supervisión y auditoría. Megabyte MB. Es bien un millón de bytes ó 1.048.576 bytes. Messenger: Opción de mensajería instantánea disponible en Internet. Puede traer problemas en las redes y sistemas privados, por cuanto puede convertirse en una herramienta de tráfico de virus y publicidad no solicitada así como una canal vulnerable para la seguridad de redes y servidores. Monitoreo de Cuentas de correo. Vigilancia o seguimiento minucioso de los mensajes de correo que recibe y envía un usuario. Nombre de dominio – La dirección, en palabras, de un sitio web o de un servicio de Internet; por ejemplo: security.ngoinabox.org security.ngoinabox.org NoScript – Complemento de seguridad para el navegador Firefox que te prot proteg ege e de pr prog ogram ramas as ma malilici cios osos os qu que e podr podría ían n pres presen enta tars rse e en pági página nass we web b desconocidas. Obscuracam: Es una aplicación de software libre y código abierto para teléfonos móviles Android la cual protege la identidad de las personas, que incluye funciones de edición de fotografías, como por ejemplo borrar rostros. Orbot: Es una aplicación de software libre y código abierto para teléfonos móviles Androi móviles Android, d, que al igual que Orweb y Gibbe Gibberbot, rbot, habilit habilitan an la conex conexión ión a la red Tor. Orweb: Es un nave navega gado dorr we web b de softw software are libr libre e y códi código go abie abiert rto o para para teléfonos móviles Android, el cual si se usa en conjunto con Orbot, facilita la navegación sobre la red Tor. Peacefire – Lo Loss susc suscri ript ptor ores es a este este serv servic icio io grat gratui uito to re reci cibe ben n co corr rreo eoss electrónicos periódicos que contienen una lista actualizada de proxy de evasión, los cuales pueden ser utilizados para eludir la censura en Internet. Pidgin – Herramienta de mensajería instantánea de software libre y de
141
código abierto que se apoya en un complemento llamado Fuera de Registro (OTR). Pirata informático (hacker) – En este contexto, un criminal informático malicioso quien puede intentar acceder a tu información importante o tomar control de tu computadora de manera remota. Docu cume ment nto o escr escrit ito o que que desc descri ribe be có cómo mo tu Política Polít ica de segur segurida idad d – Do organi org anizac zación ión pue puede de pro proteg tegers erse e de mej mejor or man manera era de dis distin tintas tas ame amenaz nazas, as, est esta a incluye una lista de pasos a seguir en caso ocurran ciertos eventos vinculados a la seguridad. intermediario diario a trav través és del cual puedes conduci conducirr alguna algunass o Proxy – Servicio interme todas tus comunicaciones por Internet y que puede ser utilizado para evadir la censura en Internet. Un proxy puede ser público, o podrías necesitar un nombre de usuario y una contraseña para conectarte a este. Solamente algunos proxy son seguros, lo que significa que utilizan cifrado para proteger la privacidad de la información que pasa entre tu computadora y los servicios de Internet a los cuales te conectas a través del proxy.
Quemad Quem ador or de CD – Unidad CD-ROM de una computadora que puede escribir datos en CD en blanco. Los Quemadores de DVD pueden hacer lo mismo con DVD in blanco. Las unidades de CD-RW y de DVD-RW pueden borrar y reescribir información más de una vez en el mismo CD o DVD que cuente con estas características. Red: Se tiene una red, cada vez que se conectan dos o más computadoras de manera que pueden compartir recursos. Registrador de teclas (keylogger) – Tipo de software espía que registra que teclas has presionado en el teclado de tu computadora y envía esta información a un tercero. Los registradores de teclas (keyloggers) son utilizados frecuentemente para robar correos electrónicos y otras contraseñas. correo electrónico administrado por y para activista activistas. s. A Riseup – Servicio de correo este servicio se puede acceder de manera segura a través de un servidor web de correo o utilizando un cliente de correo electrónico como el Mozilla Thunderbird. proce ceso so de de desb sbloq loque uear ar cara caract cter erís ísti tica cass en un te telé léfo fono no Rooting: Es el pro Android, que de lo contrario son bloqueados por el fabricante o el operador de
142
telefonía móvil con el fin de obtener total acceso al sistema operativo. S.O. (Sistema Operativo) . Programa o conjunto de programas que permiten administrar los recursos de hardware y software de una computadora.
Seguridad Informática : Procesos, actividades, mecanismos que consideran las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad. d isponibilidad. Seguridad: Mecanismos de control que evitan el uso no autorizado de recursos. Servidor – Computadora que se mantiene encendida y conectada a la Internet con el fin de proporcionar algún servicio, como puede ser el alojamiento de una página web o el envío y recepción de correo electrónico a otras computadoras. Servidor de correo. Dispositivo especializado en la gestión del tráfico de correo electrónico. Es un servidor perteneciente a la red de Internet, por lo que tiene conexión directa y permanente a la Red Pública. Su misión es la de almacenar, en su disco duro, los mensajes que envía y que reciben los usuarios.
Servidor. Computadora que comparte recursos con otras computadoras, conectadas con ella a través de una red. Sistema Básico de Entrada/Salida (BIOS) – El primer y más profundo nivel de softw softwar are e en un una a co comp mput utad ador ora. a. El BI BIOS OS te perm permitite e fi fija jarr mu much chas as opci opcione oness avanzadas vinculadas al hardware de la computadora, entre ellas la contraseña de encendido. Skype – Herramienta de software libre de voz sobre protocolo de Internet (VoIP) que te permite hablar gratuitamente con otros usuarios de Skype y hacer llamadas telefónicas pagando una tarifa. La compañía que respalda el Skype afirma que las conversaciones con otros usuarios de Skype son cifradas. Debido a que es una herramienta de código cerrado, no hay manera de verificar esta alegación, pero much mu chas as pers person onas as cree creen n qu que e es ci cier erta ta.. Sk Skyp ype e ta tamb mbié ién n of ofre rece ce el serv servic icio io de mensajería instantánea.
Software gratuito (freeware) – Incluye software sin costo pero que está sujeto a restricciones legales o técnicas que le impiden al usuario acceder al código fuente utilizado para crearlo.
143
– Esta de software está Software Libre y de Código Abierto (FOSS) disponible disponible gratuita gratuitamente mente y no tiene restri restriccion cciones es legales quefamilia impidan a un usuar usuario io probarlo, compartirlo o modificarlo.
Software malicioso (malware) – Término general para referirse a cualquier software malicioso, entre ellos virus, software espía (spyware), troyanos, y otras amenazas similares. Software propietario – Es el opuesto al software libre y de código abierto (FOSS). Estas aplicaciones son normalmente comerciales, pero también pueden pue den ser software libre con requisitos de licencia restrictivos. Todos los componentes no físicos de una PC (Programas). Software. Todos
Spybot – Herramienta de software libre que combate el software malicioso (malware (malw are), ), po porr el ello lo esca escanea nea,, el elim imin ina a y ayuda ayuda a prot proteg eger er tu co comp mput utad ador ora a de cualquier software espía (spyware). Tarjeta SIM – Tarjeta Tarjeta pequeña y desmontable que puede ser insertada en un teléfono móvil con el fin de proporcionar servicio con una compañía de telefonía móvil en particular. Las tarjetas SIM también pueden almacenar números telefónicos y mensajes de texto. una a ap aplilica caci ción ón de so soft ftwa ware re libr libre e y códi código go abie abiert rto o para para Textsecure: Es un Android que facilita enviar y guardar mensajes de texto cifrados.
Thunderbird – Programa de correo electrónico de software libre y de código abie ab iert rto o con con varia va s cara caract cter erís ísti tica cass de segu seguri rida dad, d, entr entre e ella ellass la admi admisi sión ón del del complemento derias cifrado Enigmail.
Tor – Herramienta de anonimato que te permite evadir la censura en Internet y ocultar las páginas web y servicios de Internet que visitas de cualquiera que pudiera estar vigilando tu conexión a Internet. Al mismo tiempo esta herramienta oculta tu ubicación a aquellos sitios web a los que ingresas. TrueCrypt – Herramienta de cifrado de archivos de software libre y código abierto que te permite almacenar información importante de manera segura. Undelete Plus – Herramienta de software libre que a veces puede restituir la información que pudieras haber borrado de manera accidental.
144
. Toda persona, funcionario contratista, quey Usuario utilic utilice e los sis sistem temas as de inform informaci ación ón de la (empleado, empres empresa a deb debida idamen mente te temporal), ide identi ntific ficado ado autorizado a emplear las diferentes aplicaciones habilitadas de acuerdo con sus funciones.
VauletSuite 2 Go - Programa de software gratuito para cifrado de correo electrónico. Virus. Programa que se duplica a sí mismo en un sistema informático, incorporándose a otros programas que son utilizados por varios sistemas. Estos programas pueden causar serios problemas a los sistemas infectados. Al igual que los virus en el mundo animal o vegetal, pueden comportarse de muy diversas maneras. (Ejemplos: caballo de Troya y gusano). Voz sobre Protocolo de Internet (VoIP) – Tecnología que te permite utilizar Internet para comunicaciones por voz con otros usuarios de Voz sobre Protocolo de Internet y teléfonos. Vulnerabilidad: Son la cap capaci acidad, dad, las con condic dicion iones es y carac caracter teríst ística icass del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. Web Mail. Es una tecnología que permite acceder a una cuenta de Correo Electrónico (E-Mail) a través de un navegador de Internet, de esta forma podrá acceder a su casilla de correo desde cualquier computadora del mundo. Web Site. Un Web Site es equivalente a tener una oficina virtual o tienda en el Internet. Es un sitio en Internet disponible para ser accesado y consultado por todo navegante en la red pública. Un Web Site es un instrumento avanzado y rápido de la comu comuni nica caci ción ón que que fa faci cililita ta el sumi sumini nist stro ro de info inform rmac ació ión n de prod produc ucto toss o entidades. Un Web Site es también considerado como un conjunto de páginas electrónicas las cuales se pueden accesar a través de Internet. Windows Phone: sistema operativo de teléfono móvil de Microsoft.
Your-Freedom – Herramienta de evasión de software libre que te permite evadir filtros en la Internet por medio de una conexión a un proxy privado. Si YourFreedom esta configurado adecuadamente, tu conexión a estos proxy será cifrada con el fin de proteger la privacidad de tus comunicaciones.
145
137
BIBLIOGRAFÍA • "Si "Site te Sec Securi urity ty Han Handbo dbook" ok".. Req Reques uestt For Com Commen ments ts 1244 1244.. P. Hol Holbroo brookk y J. Reynolds. • "Definición de una política de seguridad". José R. Valverde. www www.rediris.es/cert. .rediris.es/cert. • "Computer Security Basics". D. Russell y G.T G.T.. Gangemi. O’Reilly & Associates. • "Building Internet Firewalls". D.B. Chapman y E.D. Zwicky. O’Reilly & Associates. Cap. 3 y 11. • "Security in Computing". C. P P.. Pfleeger. Prentice Hall. Second Ed. Cap.10. Piattinni, G. M & Peso del E. Auditoría Informática. Un enfoque práctico. Alfaomega • Echenique G. J.A. (2001). Auditoría en Informática. 2da. Ed. Mc Graw- Hill Introducción a la Computación, del Departamentode Métodos Matemático – Cuantitativos. Además, están editados por la Oficina de Apuntes del CECEA. “Aspectos “Aspec tos leg legale ales, s, der derech echos os ded aut autor or y pirate piratería ría de sof softwa tware” re”,, Simón Simón Mar Mario io Tenzer, 26 páginas. “E “Ele leme ment ntos os de Orga Organi niza zaci ción ón de la Fu Func nció ión n In Info form rmát átic ica” a” (Adm (Admin inis istr trac ació ión n Informática), 19 páginas. “Evaluación de paquetes contables” (sólo para Opción Administrativo / Contable), Beatriz Pereyra, 14 páginas. Incluye “Integración de las actividades de control con la evaluación de riesgos.” “Respaldo y Recuperación de Datos”, Simón Mario T Tenzer enzer y Nelson Pequeño, Julio 2000, 17 páginas. “Seguridad Informática”, Leonardo Sena Mayans, Julio 2000, 11 páginas. “Virus informático”, Setiembre 2002, 21 páginas. Informe sobre malware en América Latina, Laboratorio ESET Latinoamérica, 2008. http://www.eset-la.com/threat-center/1732-informe-malw http://www .eset-la.com/threat-center/1732-informe-malware-america-latina are-america-latina • Ten Ten ways hackers breach security. Global Knowledge. 2008 http://images.globalknowledge.com
138
• Bruce Schneier, Secrets Secrets & Lies. Digital Security in a Networked World. John Wiley & Sons, 2000. • Kevin Mitnick, The Art of Intrusión. John Wiley & Sons, 2005. • La Odisea de Homero. • Official Certified Ethical Hacker Hacker,, Sybex. 2007. • Sun Tzu, El arte de la guerra. Versión de Samuel Griffith. Editorial Taschen Benedikt. 2006. Farw Fa rwel ell, l, Jame Jamess P.; Ra Rafa fall Ro Roho hozi zins nski ki;; “Stu “Stuxn xnet et and and th the e Fu Futu ture re of Cy Cybe berr War”, Survival , vol. 53, número 1, 201 2011 1 Salido, Javier; “Data Governance for Privacy, Confidentiality and Compliance: A Holistic Approach”, ISACA Journal , vol. 6, 2010 Dobbs, Michael; The Edge of Madness, Simon & Shuster UK Ltd., RU, 2008 IBM, Top 3 Keys to Higher ROI From Data Mining , artículo técnico de IBM SPSS YourDictionary.com, http://computer http://computer.yourdictionary .yourdictionary.com/dataintegrity .com/dataintegrity Véase Kerviel, Jerome; L’engranage, Memoires d’un Trader , Flammarion, Francia, 2010, y Societe Generale, Generale,www.societegenerale.com/en/search/node/kerviel . Op. cit ., ., Farwell
Broad, William J.; John Markoff; David E. Sanger; “Israeli Test on Worm Called Crucial in Ira ran n Nucle lea ar Delay”, The New York Times,15 de enero de www.nytimes.com/201 .nytimes.com/2011/01/16/world/middleeast/16stuxnet 1/01/16/world/middleeast/16stuxnet.. html?pagewanted=all 2011, www 212
Assurance Guide: Using COBIT , EE. UU., 2007, pág. IT Governance Institute, IT Assurance
Bankar, Pritam; Sharad Verma; “Mapping PCI DSS v2.0 With COBIT 4.1”, COBIT Focus, vol. 2, 2011, www.isaca.org/cobitnewsletter Data Management Association International (DAMA), The DAMA Guide to the Data Manag anagem emen entt Body Body of Know Knowlled edge ge, Technics Publications LLC, EE. UU., 2009, www.dama.org/i4a/pages/index.cfm?pageid=3345 Unión Europea (UE), Directiva 95/46/CE, emitida por el Parlamento Europeo y el Consejo el 24 de octubre de 1995, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos UE, Directiva 2006/43/CE, emitida por el Parlamento Europeo y el Consejo el 17
de mayo de 2006, sobre la auditoría legal de las cuentas anuales y de las cuentas
139
cons consol olid idad adas as,, po porr la que que se mo modi difi fica can n las las Di Dire rect ctiv ivas as del Co Cons nsej ejo o 78/6 78/660 60/C /CEE EE y 83/349/CEE y se deroga la Directiva del Consejo 84/253/CEE. Adaptado de US Chiefs of Staff Joint Publication 3-28, “Civil Support”, EE. UU., septiembre de 2007 Op. cit ., ., DAMA
[1] ISO 7498-2. Information processing system – Open systems interconections – Basic Bas ic ref refere erence nce mod model el – Pa Part rt 2: Sec Securi urity ty arc archit hitect ecture. ure. Int Intern ernati ational onal Org Organi anizat zation ionss of Standarization, 1989. [2] ISO ISO/IE /IEC C 101 10181-4 81-4.. Inform Informati ation on tec techno hnolog logyy- Ope Open n sys system temss int interc ercone onecti ctios os – Security frameworks in open systems – Part 4: Non-repudiation. ISO/IEC, 1996. [3] ISO ISO/IE /IEC C DIS 138 13888-1 88-1.. In Infor format mation ion tec techno hnolog logyy- Sec Securi urity ty tec techni hniques ques – Non repudiation - Part 1: General model. ISO/IEC JTC1/FC27 N1503, November 1996. [4] ISO/IEC 5th CD 13888-2. Information technology- Security techniques –Non repudiation - Part 2: Using symetric techniques. ISO/IEC JTC1/FC27 N1505, November 1996. [5] ISO ISO/IE /IEC C DIS 138 13888-3 88-3.. In Infor format mation ion tec techno hnolog logyy- Sec Securi urity ty tec techni hniques ques – Non repudiation - Part 3: Using asymetric techniques. ISO/IEC JTC1/FC27 N1507, November 1996. [6] T. Cof Coffey fey,, P. Sai Saidha dha,, Non Non-rep -repudi udiati ation on wit with h man mandat datory ory pro proof of of rec receipt eipts, s, Computer Communications Review, Review, 26 (1), January 1996, pp. 6-17 [7] J. Zhou, D. Gollman, A Fair Non-repudiation Protocol, Proceedings of the 1996 IEEE Symposium on Security and Privacy, 1996, pp. 55-61 [8] J. Zho Zhou, u, D. Gol Gollma lman, n, Obs Observ ervati ations ons on Non Non-re -repud pudati ation, on, Lec Lectur tures es Not Notes es in Computer Science. Advances in Criptology Criptology.. ASIACRY ASIACRYPT PT ’96, 1996, pp. 133144 [9] C. H. You, K. Y. Lam, On the efficient inplementation of fair non-repudiation, Computer Communication Review, Review, 28(5), October 1998, pp. 50-60 [10] [10] L. Lamp Lampor ort, t, Pa Pass sswo word rdss au auth then enti tica cati tion on wi with th inse insecu cure re co comm mmun unic icat atio ion, n, Communications of the ACM, 24 (11), 1981, pp. 770-772 [11] S. Haber, S. Stornetta, How to time-stamp a digital document, Journal of Cryptology, 3 (2), 1991, pp. 99-111 [12] [12] T. Pe Pede ders rsen en,, El Elec ectr tron onic ic paym paymen ents ts of sm smal alll am amou ount nts, s, Proc Procee eedi ding ngss of Cambridge Workshop on Security Protocols, 1996, pp. 59-68
[13] N. Asokan, M. Schunter, M. Waidner, Optimistics protocols for fair exchange,
140
4th ACM Conference on Computer and Communications Security Security,, 1998, pp. 8-17 [14] J. Zho [14] Zhou, u, D. Gol Gollma lman, n, An ef effic ficient ient Non Non-re -repud pudiat iation ion Pro Protoc tocol, ol, 10t 10th h IEE IEEE E Computer Security Foundations Workshop, 1997, pp. 126-132 [15] R. Deng, F. Bao, Evolution of fair non-repudiation with TTP, Proceedings of 1999 Australasian Conference on Information Security and Privacy Privacy,, 1999, pp.258-269
View more...
Comments