La seguridad es un tema de vital importancia en muchos aspectos de la vida cotidiana. Muchas veces creemos tomar las medidas básicas de seguridad necesarias, pero aún así nos roban en el banco, tenemos accidentes de tráfico, cometemos errores que se manifiestan plenamente luego de nueve meses, entre otros aspectos que revelan descuido respecto a nuestra protección. En el ámbito web, los descuidos están referidos a la poca seguridad que tienen los usuarios con la principal línea de defensa de sus cuentas: la contraseña.
A continuación les presento algunos consejos básicos para preservar la seguridad de tus cuentas en la web.
Selección de contraseña
Tu contraseña constituye tu primera y única línea de defensa contra las violaciones digitales, es por ello que debes elegir una que te proporcione un grado de seguridad aceptable. Evita palabras simples que puedan aparecer en el diccionario, puesto que una técnica hacker sencilla consiste en utilizar programas que automáticamente prueben cada palabra del diccionario como contraseña (ve a cambiar tu contraseña en este momento si es tu caso). Tampoco utilices información personal como por ejemplo el nombre propio, de tu hijo, mascota, o cualquier otra similar que puedas haber publicado en facebook o en algún otro sitio.
Las mejores contraseñas son aquellas que mezclan letras minúsculas y mayúsculas con números y símbolos. Si el servicio no permite el uso de símbolos ni de mayúsculas, crea una contraseña utilizando números y letras. Adicionalmente, prefiere las contraseñas largas, de más de 8 caracteres.
Nunca uses la misma contraseña para diferentes servicios
Aún cuando resulta difícil recordar varias contraseñas, no utilices nunca la misma clave en diferentes servicios. Si lo hicieras serías más vulnerable ante los ataques y pondrías en riesgo todas tus cuentas, pues sólo se necesitará hackear una cuenta para que pierdas tu privacidad.
Para recordar más fácilmente múltiples contraseñas incorpora el nombre o las primeras letras de un sitio o servicio dentro de la clave. Asegúrate de que no sea de forma obvia, por ejemplo utilizar la primera letra del servicio en el último carácter.
Preguntas de seguridad
Nunca respondas con la verdad las preguntas de seguridad por cuanto la respuesta a dichas preguntas puede estar incluso en tu perfil de facebook sin que lo recuerdes, y si resulta que eres una personalidad famosa las respuestas pueden encontrarse en una búsqueda en la web. Esta fue la vía mediante la cual hackearon la cuenta de Yahoo! mail de la candidata a la vicepresidencia de Estados Unidos, Sarah Palin.
De ser posible crea tu propia pregunta de seguridad o simplemente olvídate de esas preguntas y concéntrate en recordar tus contraseñas.
Elevando el nivel de seguridad en el correo
Gmail representa uno de los servicios gratuitos de correo con mayor seguridad. Te permite encriptar todo tu correo mediante el uso de un estándar llamado Protocolo Seguro para Transferencia de Hipertexto (HTTPS), que garantizar la seguridad de las comunicaciones entre el usuario y el servidor web al que éste se conecta. Esto dificulta que los espías digitales intercepten tus mensajes en hotspots Wi- Fi abiertos. No obstante la referida encriptación está deseleccionada por omisión, para seleccionarla revisa la sección settings en la parte superior de tu cuenta de gmail. En la pestaña general, baja hasta donde dice Browser connection y selecciona Always use https. De manera alternativa, también puedes acceder a una versión segura del sitio tecleando https://www.gmail.com (nota la S) en la barra de dirección de tu navegador. La encriptación puede ocasionar que la página de gmail cargue un poco más lento pero la seguridad lo vale, más aún si utilizas un nodo de acceso público para conectarte.
Hotmail y Yahoo! también ofrecen encriptación HTTPS pero únicamente para tu nombre y contraseña en la página de acceso, lo cual implica que tus mensajes pueden ser interceptados por alguna mente maliciosa y creativa. En Yahoo! mail esta opción siempre está activada y en hotmail debes presionar el botón que dice Use enhaced security, abajo de donde introduces la contraseña.
Seguridad Básica
- Nunca dejes tu máquina desbloqueada (nunca se sabe lo que puede ocurrir). Siempre cierren la sesión de su cuenta, principalmente si utilizas una computadora pública o compartida.
- Asegúrate de que los espacios para el nombre y la contraseña no hayan sido guardados de forma automática por el navegador, incluso si eres la única persona que utiliza la computadora no es recomendable. Recuerda que las computadoras (sobre todo las laptops) son susceptibles a robos, intromisiones o pérdidas y si esto ocurre tus cuentas estarían en riesgo.
- No hagan público el número de caracteres de su contraseña.
- No copien sus contraseñas en papeles que luego dejen descuidados en alguna parte insegura.
- Al igual que tu cepillo de dientes, cambia cada cierto tiempo las contraseñas de todas tus cuentas y nunca las compartas con tus amigos.
Caso Van Der Henst
Christian Van Der Henst (Cvander), fundador de Maestros del Web y Foros del Web fue víctima de un robo de identidad el pasado mes de febrero. El perpetrador se apoderó progresivamente de varias de sus cuentas, incluyendo sus cuentas de correo, la de facebook y las de sus dominios en GoDaddy. Gracias a su rápida reacción y al apoyo recibido por muchas personas en Internet logró solventar felizmente el percance.
Al respecto, conversé con Cvander para conocer las medidas de seguridad que ha implementado y algunos detalles pertinentes a lo acaecido:
XKlibur: ¿Habías sido víctima de algún ciberataque antes?
Cvander: Foros del Web que es el sitio que es más distribuido, ha crecido bastante y está ligado con informáticos es el que más ha sufrido históricamente. Tuvimos ataques DDos, bugs en servidores, parches de seguridad y los mismos CMSs (incluso algunos de fabricación casera) generaron que más de alguna vez nos inyectaran SQL (borrando registros, reemplazando información), hicieran un defacement y también han existido varias parodias del sitio e incluso clones para buscar hacer phishing, etc. Así que más de algo nos había pasado antes, pero lo de los dominios fue una novedad.
Xklibur: ¿Cuál crees que fue la principal fuente de vulnerabilidad que aprovechó el atacante en tu caso?
Cvander: Básicamente enviaron fake ids a mis proveedores solicitando mis accesos. Y con esto consiguieron mis claves para poder tomar control de mis servicios. Y una vez se hicieron de los dominios, se hicieron de mi email y demás.
XKlibur: ¿Qué aprendizaje te dejó el robo de identidad que viviste?
Cvander: Me hizo recordar el tema de la seguridad cuando tus proyectos han logrado algún tipo de relevancia y que cualquier recurso que puedas utilizar en pro de protegerlos, que hay que aprovecharlo. Aprendí de golpe también a mejorar mis prácticas al conectarme tan dispersamente en puntos de acceso y cibercafés, etc.
XKlibur: ¿Qué medidas has tomado para que el incidente no se repita?
Cvander: Decentralizar donde tienes tus propiedades digitales, buscar empresas con mejores sistemas (por ejemplo ahora utilizo moniker para el tema de registro de dominios por las herramientas de protección de portafolios que tienen), tema de registro de marcas.
XKlibur: ¿Lograste descubrir al atacante o al menos rastrearlo?
Cvander: Si, ya se donde vives. Esa van que se parquea frente a tu casa ocasionalmente, no está revisándole el servicio de cable a nadie
XKlibur: Yo estaba de vacaciones =_=U *Mira por la ventana buscando una van.
XKlibur: ¿Crees que puedes volver a ser víctima de un ciberataque?
Cvander: Si, no me extrañaría y estamos preparándonos para ello. Más que logré sobrevivir al último intento, seguro que el responsable no está nada contento. Después de los dominios ya intentaron utilizar una tarjeta de crédito mia. Y no la había cancelado porque buscábamos más pistas.. Y si, las conseguí y mi banco esta alertado, pendiente, y cobrando seguro contra fraudes.
XKlibur: ¿Qué recomendación general de seguridad darías?
Cvander: Sean paranóicos por unos minutos, piensen como podrían llegar a atacarse a si mismos y van a descubrir que siempre vamos dejando más de alguna puerta abierta.. Y entonces hay que cerrarla.
Espero que esta guía de seguridad básica les sea de ayuda y les permita crear un ritual de buenos hábitos para proteger su contraseña y mejorar la seguridad de los servicios web que disfrutan.
¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.
Por Rodrigo Polo el 06 de Julio de 2009
http://www.espractico.com/site/buenas-practicas/buenas-practicas-de-seguridad.html
Por Freddie el 06 de Julio de 2009
Es lo lindo de usar Subversion de maneras creativas.
Por lopezquekk el 06 de Julio de 2009
Suerte!
Por Mago.ozkuro el 06 de Julio de 2009
En verdad son Gemelos ???? :O
Por daz_angie el 07 de Julio de 2009
Más de alguno empezará a cambiar las cosas de ya
Como Tip extra, si se animan y creen que tienen buena memoria pueden intentar tecleando a lo tonto y aprenderse los primeros 8 caracteres es difícil pero vale la pena...
Por XKlibur el 07 de Julio de 2009
Rodrigo Polo-blog :
http://www.espractico.com/site/buenas-practicas/buenas-practicas-de-seguridad.html
Gracias por compartir tan útil información con la comunidad
Freddie :
Es lo lindo de usar Subversion de maneras creativas.
Gracias Freddie . No esperaba menos de la seguridad de clab . Aparte de proteger logran suplir las necesidades alimenticias del dragón de Ed (ya saben qué pasa con los que tratan de destruir la tranquilidad de Cristalab, no tienen escapatoria).
lopezquekk-blog :
Suerte!
Lo importante es seleccionar una contraseña que te brinde un nivel aceptable de seguridad, cambiarla periódicamente y tomar medidas adicionales, como las que se exponen en el artículo, para proteger tus contraseñas. Ser paranoico es bueno en estos casos .
Mago.ozkuro :
En verdad son Gemelos ???? :O
Gracias . ¿No sabías que eran gemelos?. Por situaciones adversas del destino tuvieron que separarse pero lograron reencontrarse luego de varios años
daz_angie-blog :
Más de alguno empezará a cambiar las cosas de ya
Como Tip extra, si se animan y creen que tienen buena memoria pueden intentar tecleando a lo tonto y aprenderse los primeros 8 caracteres es difícil pero vale la pena...
Gracias
Por Zah el 07 de Julio de 2009
Usar un navegador decente como Firefox, y hacerle caso cuando muestra alertas de seguridad cuando intentamos acceder a sitios como gmail. Si muestra una alerta de seguridad es que SÍ hay de que preocuparse.
La razón de todo esto es que cualquiera que está conectado a la misma red que nosotros puede "ponerse en medio" entre nuestro pc y el router, lo que le permite escuchar e incluso modificar a su antojo nuestro tráfico web. Así podría ver todos las contraseñas que enviamos. Sitios con protección SSL como gmail (o un banco) están más protegidos. Se puede enviar un certificado SSL falso, pero en navegador se da cuenta de ello.
Por tanto, son vulnerables las redes abiertas, y aquellas con cifrado WEP (muy fácil de romper), ya que, en principio, cualquiera podría conectarse a ellas. En resumen, si no puedes confiar en alguno de los ordenadores que están conectados a tu red o podrían conectarse, no estás protegido a un nivel razonable para un paranoico .
Por Zah el 07 de Julio de 2009
Por D-Virus el 07 de Julio de 2009
Por takag el 07 de Julio de 2009
Eso de las contraseñas cada día se va haciendo más difícil para las personas, usamos tantos servicios on-line que llega un momento que ya no sabes que contraseña diferente inventar... si a eso le añadimos las contraseñas de las tarjetas de crédito o débito, del teléfono móvil (que también usa varias), pues nos damos cuenta de que tenemos toda una BD en nuestro cerebro para contraseñas.
En mi trabajo siempre se burlan de mí porque mis contraseñas de ingreso a la PC son larguísimas
A mí a veces me molesta cambiar las contraseñas porque luego me confundo toda... pero me obligo a hacerlo usando los servicios que tienen algunos bancos para que la contraseña caduque cada cierto tiempo y te acuerdes de cambiarla.
*se va a buscar una forma de hacer contraseñas aún más complicadas que pueda recordar
PD: aún no entiendo cómo lograron conseguir todas las contraseñas de Cvander e incluso su tarjeta de crédito... eso me asusta
Por [Ray] el 07 de Julio de 2009
daz_angie-blog :
Como Tip extra, si se animan y creen que tienen buena memoria pueden intentar tecleando a lo tonto y aprenderse los primeros 8 caracteres es difícil pero vale la pena...
Eso es justo lo que hago, el problema es cuando no sabes que contraseña es para cada cosa porque no la relacionas con nada, sino que es totalmente aleatoria
Por fredybg el 07 de Julio de 2009
Expones los errores más frecuentes que cometemos al momento de crear una contraseña, queda claro que si hacemos un mal uso de la información estamos exponiendo la seguridad de cada una de nuestras cuentas.
Por Zguillez el 08 de Julio de 2009
realmente hay que ir con cuidado con las contraseñas.. un pequeño descuido puede traernos consecuencias desastrosas.. >_<
Por Nito el 09 de Julio de 2009
Por Dientuki el 09 de Julio de 2009
Tampoco sabia que los cepillos de dientes debian cambiarse periodicamente gracias XK
Por lito el 26 de Junio de 2010
psy.tar.gz » GZIP » psy.tar » TAR » .psy/xh - Linux/Hacktool.XHide Troyano
psy.tar.gz » GZIP » psy.tar » TAR » .psy/proc - Linux/Exploit.Small.F Troyano fueron los resultados que me mostro el nod32 y es mas estos hijitos de mama hasta habian creado un Cron Job para hacer trabajar al troyano y enviar datos a una direccion de correo y tantas otras que le he ido descubriendo. lo peor es que los de hosting no se daron cuenta de que habia un troyano en su servidor y mucho menos saben decir porque y como paso eso.
Ahora mis amigos si alguien puede decirme como pudieron haber ingresado esos troyanos a la carpeta de mi sitio o que metodo usaron.
y fue atacado desde corea en idioma coreano y mi sitio esta en español por lo mismo no creo que tenga algo que ver con mi sitio sino con el server o me equivoco? lo sierto es que los que realizaron este ataque fueron unos evangelicos.
Espero ayuda y sugerencias
Por melanie el 07 de Julio de 2010