Estás en: Cristalab > Artículos > Consejos básicos de seguridad en la web
Consejos básicos de seguridad en la web
Por: XKlibur +
5 de Julio del 2009
La seguridad es un tema de vital importancia en muchos aspectos de la vida cotidiana. Muchas veces creemos tomar las medidas básicas de seguridad necesarias, pero aún así nos roban en el banco, tenemos accidentes de tráfico, cometemos errores que se manifiestan plenamente luego de nueve meses, entre otros aspectos que revelan descuido respecto a nuestra protección. En el ámbito web, los descuidos están referidos a la poca seguridad que tienen los usuarios con la principal línea de defensa de sus cuentas: la contraseña.
A continuación les presento algunos consejos básicos para preservar la seguridad de tus cuentas en la web.
Selección de contraseña
Tu contraseña constituye tu primera y única línea de defensa contra las violaciones digitales, es por ello que debes elegir una que te proporcione un grado de seguridad aceptable. Evita palabras simples que puedan aparecer en el diccionario, puesto que una técnica hacker sencilla consiste en utilizar programas que automáticamente prueben cada palabra del diccionario como contraseña (ve a cambiar tu contraseña en este momento si es tu caso). Tampoco utilices información personal como por ejemplo el nombre propio, de tu hijo, mascota, o cualquier otra similar que puedas haber publicado en facebook o en algún otro sitio.
Las mejores contraseñas son aquellas que mezclan letras minúsculas y mayúsculas con números y símbolos. Si el servicio no permite el uso de símbolos ni de mayúsculas, crea una contraseña utilizando números y letras. Adicionalmente, prefiere las contraseñas largas, de más de 8 caracteres.
Nunca uses la misma contraseña para diferentes servicios
Aún cuando resulta difícil recordar varias contraseñas, no utilices nunca la misma clave en diferentes servicios. Si lo hicieras serías más vulnerable ante los ataques y pondrías en riesgo todas tus cuentas, pues sólo se necesitará hackear una cuenta para que pierdas tu privacidad.
Para recordar más fácilmente múltiples contraseñas incorpora el nombre o las primeras letras de un sitio o servicio dentro de la clave. Asegúrate de que no sea de forma obvia, por ejemplo utilizar la primera letra del servicio en el último carácter.
Preguntas de seguridad
Nunca respondas con la verdad las preguntas de seguridad por cuanto la respuesta a dichas preguntas puede estar incluso en tu perfil de facebook sin que lo recuerdes, y si resulta que eres una personalidad famosa las respuestas pueden encontrarse en una búsqueda en la web. Esta fue la vía mediante la cual hackearon la cuenta de Yahoo! mail de la candidata a la vicepresidencia de Estados Unidos, Sarah Palin.
De ser posible crea tu propia pregunta de seguridad o simplemente olvídate de esas preguntas y concéntrate en recordar tus contraseñas.
Elevando el nivel de seguridad en el correo
Gmail representa uno de los servicios gratuitos de correo con mayor seguridad. Te permite encriptar todo tu correo mediante el uso de un estándar llamado Protocolo Seguro para Transferencia de Hipertexto (HTTPS), que garantizar la seguridad de las comunicaciones entre el usuario y el servidor web al que éste se conecta. Esto dificulta que los espías digitales intercepten tus mensajes en hotspots Wi- Fi abiertos. No obstante la referida encriptación está deseleccionada por omisión, para seleccionarla revisa la sección settings en la parte superior de tu cuenta de gmail. En la pestaña general, baja hasta donde dice Browser connection y selecciona Always use https. De manera alternativa, también puedes acceder a una versión segura del sitio tecleando https://www.gmail.com (nota la S) en la barra de dirección de tu navegador. La encriptación puede ocasionar que la página de gmail cargue un poco más lento pero la seguridad lo vale, más aún si utilizas un nodo de acceso público para conectarte.
Hotmail y Yahoo! también ofrecen encriptación HTTPS pero únicamente para tu nombre y contraseña en la página de acceso, lo cual implica que tus mensajes pueden ser interceptados por alguna mente maliciosa y creativa. En Yahoo! mail esta opción siempre está activada y en hotmail debes presionar el botón que dice Use enhaced security, abajo de donde introduces la contraseña.
Seguridad Básica
Nunca dejes tu máquina desbloqueada (nunca se sabe lo que puede ocurrir). Siempre cierren la sesión de su cuenta, principalmente si utilizas una computadora pública o compartida.
Asegúrate de que los espacios para el nombre y la contraseña no hayan sido guardados de forma automática por el navegador, incluso si eres la única persona que utiliza la computadora no es recomendable. Recuerda que las computadoras (sobre todo las laptops) son susceptibles a robos, intromisiones o pérdidas y si esto ocurre tus cuentas estarían en riesgo.
No copien sus contraseñas en papeles que luego dejen descuidados en alguna parte insegura.
Al igual que tu cepillo de dientes, cambia cada cierto tiempo las contraseñas de todas tus cuentas y nunca las compartas con tus amigos.
Caso Van Der Henst
Christian Van Der Henst (Cvander), fundador de Maestros del Web y Foros del Web fue víctima de un robo de identidad el pasado mes de febrero. El perpetrador se apoderó progresivamente de varias de sus cuentas, incluyendo sus cuentas de correo, la de facebook y las de sus dominios en GoDaddy. Gracias a su rápida reacción y al apoyo recibido por muchas personas en Internet logró solventar felizmente el percance.
Al respecto, conversé con Cvander para conocer las medidas de seguridad que ha implementado y algunos detalles pertinentes a lo acaecido:
XKlibur: ¿Habías sido víctima de algún ciberataque antes?
Cvander: Foros del Web que es el sitio que es más distribuido, ha crecido bastante y está ligado con informáticos es el que más ha sufrido históricamente. Tuvimos ataques DDos, bugs en servidores, parches de seguridad y los mismos CMSs (incluso algunos de fabricación casera) generaron que más de alguna vez nos inyectaran SQL (borrando registros, reemplazando información), hicieran un defacement y también han existido varias parodias del sitio e incluso clones para buscar hacer phishing, etc. Así que más de algo nos había pasado antes, pero lo de los dominios fue una novedad.
Xklibur: ¿Cuál crees que fue la principal fuente de vulnerabilidad que aprovechó el atacante en tu caso?
Cvander: Básicamente enviaron fake ids a mis proveedores solicitando mis accesos. Y con esto consiguieron mis claves para poder tomar control de mis servicios. Y una vez se hicieron de los dominios, se hicieron de mi email y demás.
XKlibur: ¿Qué aprendizaje te dejó el robo de identidad que viviste?
Cvander: Me hizo recordar el tema de la seguridad cuando tus proyectos han logrado algún tipo de relevancia y que cualquier recurso que puedas utilizar en pro de protegerlos, que hay que aprovecharlo. Aprendí de golpe también a mejorar mis prácticas al conectarme tan dispersamente en puntos de acceso y cibercafés, etc.
XKlibur: ¿Qué medidas has tomado para que el incidente no se repita?
Cvander: Decentralizar donde tienes tus propiedades digitales, buscar empresas con mejores sistemas (por ejemplo ahora utilizo moniker para el tema de registro de dominios por las herramientas de protección de portafolios que tienen), tema de registro de marcas.
XKlibur: ¿Lograste descubrir al atacante o al menos rastrearlo?
Cvander: Si, ya se donde vives. Esa van que se parquea frente a tu casa ocasionalmente, no está revisándole el servicio de cable a nadie
XKlibur: Yo estaba de vacaciones =_=U *Mira por la ventana buscando una van.
XKlibur: ¿Crees que puedes volver a ser víctima de un ciberataque?
Cvander: Si, no me extrañaría y estamos preparándonos para ello. Más que logré sobrevivir al último intento, seguro que el responsable no está nada contento. Después de los dominios ya intentaron utilizar una tarjeta de crédito mia. Y no la había cancelado porque buscábamos más pistas.. Y si, las conseguí y mi banco esta alertado, pendiente, y cobrando seguro contra fraudes.
XKlibur: ¿Qué recomendación general de seguridad darías?
Cvander: Sean paranóicos por unos minutos, piensen como podrían llegar a atacarse a si mismos y van a descubrir que siempre vamos dejando más de alguna puerta abierta.. Y entonces hay que cerrarla.
Espero que esta guía de seguridad básica les sea de ayuda y les permita crear un ritual de buenos hábitos para proteger su contraseña y mejorar la seguridad de los servicios web que disfrutan.
Te felicito XK. No sólo es un gran artículo, también hablas con el HackedRockstar que es el ejemplo vivo de qué no hacer. En el caso de Cristalab hay unas 10 contraseñas diferentes para todas las cosas que se hacen. Aunque sí hay vectores de ataque, la mayoría están cubiertos por usuarios independientes, por lo que sabríamos exactamente quien y cómo hizo qué.
Es lo lindo de usar Subversion de maneras creativas. Por:Freddie
Hey y que podemos hacer las personas que usamos hotmail,twitter y algún blog con wordpress je je je je.
Suerte! Por:lopezquekk-blog
Muy buen articulo creo que voy a comenzar a cambiar mis constraseñas .. U.U
Excelente artículo XK!
Más de alguno empezará a cambiar las cosas de ya
Como Tip extra, si se animan y creen que tienen buena memoria pueden intentar tecleando a lo tonto y aprenderse los primeros 8 caracteres es difícil pero vale la pena... Por:daz_angie
Rodrigo Polo-blog :
Justo el caso de cvander me hizo crear esta guía hace rato, te la comparto: http://www.espractico.com/site/buenas-practicas/buenas-practicas-de-seguridad.html
Gracias por compartir tan útil información con la comunidad
Freddie :
Te felicito XK. No sólo es un gran artículo, también hablas con el HackedRockstar que es el ejemplo vivo de qué no hacer. En el caso de Cristalab hay unas 10 contraseñas diferentes para todas las cosas que se hacen. Aunque sí hay vectores de ataque, la mayoría están cubiertos por usuarios independientes, por lo que sabríamos exactamente quien y cómo hizo qué.
Es lo lindo de usar Subversion de maneras creativas.
Gracias Freddie . No esperaba menos de la seguridad de clab . Aparte de proteger logran suplir las necesidades alimenticias del dragón de Ed (ya saben qué pasa con los que tratan de destruir la tranquilidad de Cristalab, no tienen escapatoria).
lopezquekk-blog :
Hey y que podemos hacer las personas que usamos hotmail,twitter y algún blog con wordpress je je je je.
Suerte!
Lo importante es seleccionar una contraseña que te brinde un nivel aceptable de seguridad, cambiarla periódicamente y tomar medidas adicionales, como las que se exponen en el artículo, para proteger tus contraseñas. Ser paranoico es bueno en estos casos .
Mago.ozkuro :
Muy buen articulo creo que voy a comenzar a cambiar mis constraseñas .. U.U
En verdad son Gemelos ???? :O
Gracias . ¿No sabías que eran gemelos?. Por situaciones adversas del destino tuvieron que separarse pero lograron reencontrarse luego de varios años
daz_angie-blog :
Excelente artículo XK! Más de alguno empezará a cambiar las cosas de ya
Como Tip extra, si se animan y creen que tienen buena memoria pueden intentar tecleando a lo tonto y aprenderse los primeros 8 caracteres es difícil pero vale la pena...
Como consejos paranoicos, añadiría conectarse a las wifis abiertas o públicas lo justito. De hecho, si tienes que hacerlo es preferible hacer que el navegador recuerde el login (marcar la opción "recordar mi cuenta" que ofrecen los servicios web) a introducir cada vez el usauario y la contraseña. Adicionalmente, desconfiar de las redes que tienen wifi con encriptación WEP (aunque tú te estés conectando por cable), y cambiarla cuando sea posible por WPA.
Usar un navegador decente como Firefox, y hacerle caso cuando muestra alertas de seguridad cuando intentamos acceder a sitios como gmail. Si muestra una alerta de seguridad es que SÍ hay de que preocuparse.
La razón de todo esto es que cualquiera que está conectado a la misma red que nosotros puede "ponerse en medio" entre nuestro pc y el router, lo que le permite escuchar e incluso modificar a su antojo nuestro tráfico web. Así podría ver todos las contraseñas que enviamos. Sitios con protección SSL como gmail (o un banco) están más protegidos. Se puede enviar un certificado SSL falso, pero en navegador se da cuenta de ello.
Por tanto, son vulnerables las redes abiertas, y aquellas con cifrado WEP (muy fácil de romper), ya que, en principio, cualquiera podría conectarse a ellas. En resumen, si no puedes confiar en alguno de los ordenadores que están conectados a tu red o podrían conectarse, no estás protegido a un nivel razonable para un paranoico . Por:Zah
En cuanto a las contraseñas (sobre todo de cosas como una cuenta de Windows o Linux), es extremadamente conveniente usar caracteres especiales en ellas ( @#%$?%®...). Así, romperlas obliga a usar rainbow tables extendidas, lo que requiere mucho más tiempo y capacidad de computación. Por:Zah
Gran articulo Xklibur, el incidente de cvander nos sirve para refleccionar un poco Por:D-Virus
Muy buen artículo Xk!
Eso de las contraseñas cada día se va haciendo más difícil para las personas, usamos tantos servicios on-line que llega un momento que ya no sabes que contraseña diferente inventar... si a eso le añadimos las contraseñas de las tarjetas de crédito o débito, del teléfono móvil (que también usa varias), pues nos damos cuenta de que tenemos toda una BD en nuestro cerebro para contraseñas.
En mi trabajo siempre se burlan de mí porque mis contraseñas de ingreso a la PC son larguísimas
A mí a veces me molesta cambiar las contraseñas porque luego me confundo toda... pero me obligo a hacerlo usando los servicios que tienen algunos bancos para que la contraseña caduque cada cierto tiempo y te acuerdes de cambiarla.
*se va a buscar una forma de hacer contraseñas aún más complicadas que pueda recordar
PD: aún no entiendo cómo lograron conseguir todas las contraseñas de Cvander e incluso su tarjeta de crédito... eso me asusta Por:takag
Muy buenos consejos, sobre todo lo de usar HTTPS en Gmail
daz_angie-blog :
Como Tip extra, si se animan y creen que tienen buena memoria pueden intentar tecleando a lo tonto y aprenderse los primeros 8 caracteres es difícil pero vale la pena...
Eso es justo lo que hago, el problema es cuando no sabes que contraseña es para cada cosa porque no la relacionas con nada, sino que es totalmente aleatoria Por:[Ray]
Muy buen artículo Xklibur
Expones los errores más frecuentes que cometemos al momento de crear una contraseña, queda claro que si hacemos un mal uso de la información estamos exponiendo la seguridad de cada una de nuestras cuentas. Por:fredybg
Que buen articulo XK, muy interesante
realmente hay que ir con cuidado con las contraseñas.. un pequeño descuido puede traernos consecuencias desastrosas.. >_< Por:Zguillez
Realmente es un buen artículo, muy útil Por:asanetml
Muy buen articulo, no sabia lo que comenta zah (pondre algun caracter de esos ahorita).
Tampoco sabia que los cepillos de dientes debian cambiarse periodicamente gracias XK Por:Dientuki
Esa van que se parquea frente a tu casa ocasionalmente, no está revisándole el servicio de cable a nadie 
.
.
gracias XK
