Nociones básicas y mínimas de seguridad

Con motivo de que hay gente con poca noción de informática voy a realizar una lista de consejos básicos y sencillos que me han ayudado durante muchos años a tener a los virus bastante controladitos y se cuelen poquitos, así como problemas de seguridad, como robos de cuentas y demás.

El primer consejo que suelo dar a cualquiera que no tenga idea de informática es que no abras nada que no sepas de quién es, no clickees en nada que parezca sospechoso y aunque te ponga todo bonito, duda un poco de su veracidad, es decir, cualquier email que te traiga un enlace o un fichero o te pidan credenciales o cualquier mensaje en otro idioma has de dudar de su veracidad. Dicho de otra manera, “más vale prevenir que curar”. Así mismo, controlar la información que proporcionamos a las plataformas de internet y que sea la mínima indispensable.

El segundo consejo que suelo dar es no usar aplicaciones piratas y que todo este actualizado lo más al día posible, tanto sistema operativo como aplicaciones.

El tercero consejo que suelo dar es que las contraseñas, cuanto más largas y con más variaciones (números, letras mayúsculas y minúsculas, y caracteres especiales) son más seguras, es decir, usar contraseñas de números solo son 10 dígitos (0-9) o caracteres, usar letras minúsculas son 27 más, usar letras minúsculas son otros 27 más y con caracteres especiales se suman otros tantos más, que para hacer todas las permutaciones (posibles combinaciones) mediante fuerza bruta, suelen aumentar el tiempo de descifrarlas. A eso se le tiene que añadir el cambiarla de vez en cuando y siempre manteniendo el balance de usabilidad y seguridad (paranoia).

El cuarto consejo es el uso de plugins o complementos en los navegadores como “Adblock plus” (Para Firefox,Chrome,Opera y Android) y “NoScript” (Firefox y creo que para Chrome se llama “NotScript”). El primero y para mí de vital importancia, bloquea cualquier publicidad de las paginas con una serie de filtros que agregas mediante suscripciones. El segundo, bloquea cualquier código JavaScript, Java, Flash,… de los sitios web. Juega con el bloqueo a todo y si el sitio es de confianza, le marcas la opción de permitir o permitir temporalmente. Al principio es muy cargante pues tienes que ir permitiendo cada dos por tres y está claro que si le das a permitir todo no sirve de nada. A muchos no les gusta, a mi me parece una medida preventiva cuando sin querer acabas en un enlace que quién sabe qué se estará ejecutando. Cada uno tiene sus gustos y si usáis más complementos o programas para aumentar vuestra seguridad os invito a que los pongáis en los comentarios.

Un quinto consejo es usar (o estar atento) las paginas que tengan https, antes que http. Aunque por mis conocimientos no hay que sentirse seguro con ese simple hecho, pero diferenciar que una muestra cualquier cosa que escribamos en texto plano o legible (http) y el otro al menos te lo cifra (https).

Un sexto consejo es borrar siempre el historial, archivos temporales y especialmente las cookies que guarda el navegador. Pues evita el robo de sesiones, que se guarde mucha basura, entre otras cosas, pero a costa de bajar el rendimiento de cargar la página.

Luego, consejos como: no te metas en sitios raros ayuda, usar antivirus (antiespias, antimalware,…) tienen su funcionalidad, pero no son la panacea de seguridad, pues la mayoría de las veces, carga demasiado el ordenador para la falsa sensación de seguridad que producen. También, aunque yo no soy muy dado a hacerlo, el uso de un usuario sin privilegios para realizar las acciones habituales de navegar y demás, permite ofrecer un nivel de seguridad aun más efectivo.

Y hasta aquí unas nociones básicas y mínimas para aquellos que son usuarios pero no son entendidos de informática. Si se me ha olvidado algún consejillo básico que vosotros utilicéis se agradecería que lo compartieseis.

Ser o no ser seguro

Creo que antes de ponerme en marcha con cosas técnicas debo hablar de los problemas reales que tiene el hecho de no tomarse la seguridad como algo importante y por ello voy a dedicar esta entrada a valorar ciertos aspectos importantes.

Los principales factores de que una persona no cumpla unos requisitos mínimos de seguridad suele ser aquellas que desconocen la informática pero son consumidores de ella. Estas personas carecen de gusto hacia estos ámbitos y quizás sea complicado instruirles de manera efectiva en estos aspectos, pero en cierto modo su desconocimiento suele ser recompensado con su precaución. En mi opinión, quizás lo único que les haría falta son dosis de curiosidad por aprender o entender, de la misma manera que la curiosidad los hace aprender a usar Whatsapp, Messenger, Skype,…

Aun así, en este caso y por experiencia cercana, vengo a hablar de quién aun conociendo la informática bien o bastante bien, siguen pensando que cualquier idea de seguridad es complicarse e innecesario, pues sus ideas son: “Si no tengo nada”, “Quién va a querer algo mío”, “Yo no tengo porno, cosas personales (videos o fotos) comprometidas, aplicaciones piratas (ah! No que eso no importa nada), información de tu empresa o trabajo y, así miles de excusas” o como bien dice mi hermano “Pesao, que te calles pesao” mientras tiene que formatear el portátil gracias a esos bichitos que se cuelan Dios sabe por dónde. Y en mi opinión, estos son los peores, a estos…no les haces cambiar de punto de vista hasta que se vean metidos en un buen “fregao”.

Llevo bastantes años usando y aprendiendo informática, pero apenas unos tres añitos observando tímidamente todo lo que envuelve la seguridad informática. Si es cierto que hace bastantes años, cuando comenzó Internet, los “crackers” (aquellos que buscan dañar o beneficiarse) atacaban por motivación de ser quien más computadoras infectaran o buscando saltarse las restricciones de los productos cerrados y privados. Posteriormente, cuando la tecnología e Internet provocaron que cualquier persona, con o sin conocimientos, usara la informática, comenzaron a encontrarse delincuencia equiparable a la real, donde los afectados eran los más débiles (Ejm: Timos electrónicos mediante spam, phishing o suplantación de identidad,…). Después, noté un cambio donde cualquier información ya no solo el dinero en sí era el oro que buscaban los “crackers”, donde ya no eran sólo las personas las víctimas, sino que también las empresas. Y últimamente, lo que está siendo actualidad (pero lleva unos años) es la existencia de grupos (independientes, mafia, gobiernos,…) utilizando la gran interconexión que hoy es Internet para buscar sus beneficios o los perjuicios de otros. Y es cuando aparecen términos como "Ciberactivismo", “Ciberdelincuencia”, “Ciberterrorismo” o “Seguridad Activa”, donde la inseguridad puede perjudicar gravemente a cualquiera directa o indirectamente.

Yo creo que lo peor de todo en estos momentos, es que hay todos esos perfiles en la actualidad y “no” se pueden diferenciar desde el punto de vista de una persona como tú o yo.

En conclusión, quiero mentalizar que tu nombre y apellidos, número dni, tu rostro, tu dirección, tu edad, tus gustos, tus defectos y virtudes, tus contraseñas o cualquier otra información son tan importantes como tu cuenta bancaria, tu carnet de identidad (físico), pasaporte, tu carnet de conducir o tus tarjetas. Es por eso, que en la siguiente entrada elaboraré una lista de mínimos de seguridad que actualmente uso sin necesidad de tener conocimientos amplios, para posteriormente, comenzar con la “chicha” de verdad.

Presentación

 

¡¡Hola a todos!!

Aquí comienzo mi nuevo proyecto personal que espero que aprendamos tanto vosotros como yo algo del inmenso mundo de la Seguridad Informática y aspectos relacionados con la Informática de manera técnica y profesional, aunque no prometo que de vez en cuando se me vaya por otros menesteres las entradas.

Mi nombre es Marcos y como (casi) Ingeniero Informático que soy, siento cierta atracción ante las increíbles habilidades de los expertos en Seguridad Informática y los entresijos morales que conllevan el uso de estas habilidades.

Desde este momento, quiero dejar claro que cualquier entrada o estudio que realice basado en métodos ofensivos será realizado en sistemas aislados pero reales para evitar cualquier problema legal. Además, cualquier valoración u opinión ajena a mi no me haré responsable, así como el uso que le den a cualquier cosa que cuelgue en mi blog.

También voy a recalcar, que toda opinión puesta en mis entradas se basará en principios éticos de "Para saber defender en necesario saber cómo atacar" o filosofía de "hacker ético". He establecido uno de los principales pilares de la mentalidad en este mundo en el nombre de mi blog y es que no existe un sistema 100% seguro, por eso el juego de palabras In Security Zone/Insecurity Zone que definen ese juicio de valor.

Y para terminar esta presentación que se está alargando ya demasiado (me enrollo mucho, jajaja) comentar que la asiduidad de las entradas podrán variar bastante según el tamaño de cada trabajo y pruebas, y que me gusta hacer las cosas con unos mínimos de calidad. Lo que aviso es que no es un blog diario, pero semanal es probable.

¡Espero que disfruteis y aprendais mucho!