La OSI te facilita una pequeña guía sobre ciberseguridad

La Oficina de Seguridad del Internauta (OSI) elabora artículos y materiales  sobre cualquier aspecto de la ciberseguridad, específicamente dirigidos a usuarios sin conocimientos técnicos.

Ha publicado un artículo que recopila, como un índice, más de 60 artículos sobre los aspectos más variados de la seguridad digital, agrupados en estos epígrafes:

  • Mantén actualizados dispositivos, programas y aplicaciones
  • Utiliza un antivirus para analizar los archivos, descargas y cualquier información alojada en tus dispositivos
  • Mejora la seguridad de tus contraseñas y no utilices la misma para todo
  • Descarga aplicaciones de sitios seguros
  • Navega por Internet de forma segura, protegiendo tu privacidad y evitando dejar un rastro
  • Protege la información mediante copias de seguridad
  • Procura estar al día de las principales amenazas que circulan por el ciberespacio
  • No todo lo que circula por Internet tiene por qué ser cierto, acude a fuentes fiables y contrasta la información
  • Utiliza las aplicaciones de mensajería y las redes sociales de forma segura

Estas recomendaciones de ciberseguridad te interesan, OSI, 4/3/2022.

Estas recomendaciones de ciberseguridad te interesan

 

CANVI DE CONTRASENYA OBLIGATORI / CAMBIO DE CONTRASEÑA OBLIGATORIO

Davant de l’increment important en l’activitat de grups de ciberdelinqüència i cibercrim, el CCN-Cert (centre d’alerta i resposta nacional a ciberatacs) ens aconsella aplicar immediatament un conjunt de mesures proactives per a minimitzar el risc d’intrusió en els nostres sistemes d’informació.

Una d’aquestes mesures és forçar el canvi de contrasenya per a tots els comptes de la Universitat. Per a complir aquesta mesura hem configurat el sistema de gestió d’identitat de la UA perquè les contrasenyes caduquen el dilluns 28 de febrer a les 11.00 h. Per tant, has de canviar la contrasenya abans. Això no s’aplica als qui hagen canviat la contrasenya en els últims 15 dies.

Recordeu que el canvi de contrasenya afecta l’entrada en UACloud, clients de correu i connexió a la xarxa wifi. En aquest enllaç tens ajuda sobre la gestió de contrasenyes en diferents aplicacions: https://si.ua.es/va/cau/preguntes-frequents-faq/gestio-de-contrasenyes.html.

Cordialment,

Vicerectorat de Transformació Digital

__________________________

Ante el incremento importante en la actividad de grupos de ciberdelincuencia y cibercrimen, el CCN-Cert (centro de alerta y respuesta nacional a ciberataques) nos aconseja aplicar de inmediato un conjunto de medidas proactivas para minimizar el riesgo de intrusión en nuestros sistemas de información.

Una de estas medidas es forzar el cambio de contraseña para todas las cuentas de la Universidad. Para cumplir con esta medida hemos configurado el sistema de gestión de identidad de la UA para que las contraseñas caduquen el lunes 28 de febrero a las 11.00 h. Por tanto, debes cambiar tu contraseña antes. Esto no se aplica a quienes hayan cambiado la contraseña en los últimos 15 días.

Recordad que el cambio de contraseña afecta a la entrada en UACloud, clientes de correo y conexión a la red WIFI. En este enlace tienes ayuda sobre la gestión de contraseñas en diferentes aplicaciones: https://si.ua.es/es/cau/preguntas-frecuentes-faq/gestion-de-contrasenas.html

Un cordial saludo,

Vicerrectorado de Transformación Digital

Nou antivirus/Nuevo antivirus

Benvolguda companya,
Benvolgut company,

El 25 de febrer expira la llicència de l’antivirus Eset 32 que, fins ara, era l’antivirus corporatiu de la UA. A partir del mateix 25 de febrer, l’antivirus corporatiu de la UA serà Sophos XDR. La nova solució de seguretat que contracta la UA és una de les dos úniques que tenen el certificat LINCE del Centre Criptològic Nacional per a productes de seguretat per a les administracions públiques.

 

Et recomanem desinstal·lar Eset 32 i instal·lar Sophos seguint les instruccions. La versió per a equips corporatius la tens ací:  https://si.ua.es/va/fitxes-de-serveis/entorn-de-treball/antivirus-sophos-xdr.html. La versió per a equips de casa és aquesta: https://si.ua.es/va/fitxes-de-serveis/entorn-de-treball/antivirus-sophos-home.html.

Recorda que sempre és recomanable tenir un antivirus instal·lat per a limitar els problemes de seguretat dels nostres equips. Si vols conéixer més aspectes sobre seguretat informàtica, pots consultar la web https://si.ua.es/va/entorn-de-treball/seguretat/seguretat.html (és imprescindible donar-te d’alta en el servei abans d’accedir a la web de Sophos).

Vicerectorat de Transformació Digital

_______

Estimada compañera,
Estimado compañero,

El 25 de febrero expira la licencia del antivirus Eset 32 que, hasta ahora, era el antivirus corporativo de la UA. A partir del mismo 25 de febrero, el antivirus corporativo de la UA será Sophos XDR. La nueva solución de seguridad que contrata la UA es una de las dos únicas que tienen el certificado LINCE del Centro Criptológico Nacional para productos de seguridad para las administraciones públicas.

 

Te recomendamos desinstalar Eset 32 e instalar Sophos siguiendo las instrucciones. La versión para equipos corporativos la tienes aquí: https://si.ua.es/es/fichas-de-servicios/entorno-de-trabajo/antivirus-sophos-xdr.html. La versión para equipos de casa es esta: https://si.ua.es/es/fichas-de-servicios/entorno-de-trabajo/antivirus-sophos-home.html.

Recuerda que siempre es recomendable tener un antivirus instalado para limitar los problemas de seguridad de nuestros equipos. Si quieres conocer más aspectos sobre seguridad informática, puedes consultar la web https://si.ua.es/es/entorno-de-trabajo/seguridad/seguridad.html  (es imprescindible darte de alta en el servicio antes de acceder a la web de Sophos).

Vicerrectorado de Transformación Digital

Increment de la seguretat en xarxa / Incremento de la seguridad en red

Els problemes de seguretat informàtica que veiem recentment en diverses institucions recomanen extremar les mesures preventives en entorns digitals. Entre altres mesures de caràcter tècnic que ja s’han pres, el Servei d’Informàtica restringirà l’accés remot a la xarxa de la universitat des d’aplicacions externes. A partir del 31/1/2022, l’ús d’aplicacions com Teamviewer o altres escriptoris remots per a accedir a la xarxa de la UA quedarà bloquejat.

Si necessites accedir remotament a la xarxa de la universitat, pots fer-lo amb qualsevol dels mètodes que t’oferirem ací: https://si.ua.es/va/entorn-de-treball/equip-de-treball/acces-remot-a-la-ua/acces-remot-a-la-ua.html.

Aquesta mesura està avalada per l’Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica (Reial Decret 951/2015, de 23 d’octubre), les Condicions d’ús dels recursos informàtics i de comunicacions de la Universitat d’Alacant (BOUA de 8 de maig de 2007) i diverses instruccions i recomanacions tècniques.

Vicerectorat de Transformació Digital

_____

Los problemas de seguridad informática que estamos viendo recientemente en diversas instituciones recomiendan extremar las medidas preventivas en entornos digitales. Entre otras medidas de carácter técnico que ya se han tomado, el Servicio de Informática restringirá el acceso remoto a la red de la universidad desde aplicaciones externas. A partir del 31/1/2022, el uso de aplicaciones como Teamviewer u otros escritorios remotos para acceder a la red de la UA quedará bloqueado.

Si necesitas acceder remotamente a la red de la universidad, puedes hacerlo con cualquiera de los métodos que te ofrecemos aquí: https://si.ua.es/es/entorno-de-trabajo/equipo-de-trabajo/acceso-remoto-a-la-ua/acceso-remoto-a-la-ua.html.

Esta medida está avalada por el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (Real Decreto 951/2015, de 23 de octubre), las Condiciones de uso de los recursos informáticos y de comunicaciones de la Universidad de Alicante (BOUA de 8 de mayo de 2007) y diversas instrucciones y recomendaciones técnicas.

Vicerrectorado de Transformación Digital

Cambios VPN institucional – Doble factor de autenticación

Estimada compañera,
Estimado compañero,

La Universidad de Alicante está inmersa en un proceso de mejora de la seguridad informática. Como usuario/a de la VPN institucional, este proceso te afecta en la manera de acceder a la VPN. Durante esta semana, del 13 al 17 de diciembre, se mejorará la seguridad de este acceso con la inclusión del doble factor de autenticación.

El doble factor de autenticación mantiene el primer factor tradicional (contraseña) e incorpora un segundo factor en forma de código aleatorio. Este código se genera con una aplicación en nuestro móvil.

Puedes seguir las nuevas instrucciones para acceder a la VPN en https://si.ua.es/es/vpn/vpn-doble-factor-de-autenticacion.html. Recuerda que, si tienes alguna incidencia en el proceso, puedes contactar con vpn@ua.es.

Cordialmente,

Servicio de Informática

Atenció amb els atacs de phishing / Atención con los ataques de phishing

Universitats i altres institucions han patit atacs greus que han compromès els sistemes i han bloquejat els serveis tecnològics. Aquests atacs utilitzen com a via d’entrada un correu electrònic que suplanta la identitat d’una persona o organisme (un administrador de correu, un banc, Hisenda, la universitat mateixa o un conegut). Ens conviden a usar un enllaç o obrir un fitxer adjunt per a fer una tasca suposadament pendent.

Compte amb els enllaços o adjunts que arriben per correu. Pots:

  • perdre la informació personal
  • comprometre els sistemes de la universitat
  • permetre l’accés amb el teu compte a molts serveis als quals accedim diàriament

Més informació en: https://si.ua.es/va/noticies/atencio-amb-els-atacs-de-phishing.html

Vicerectorat de Transformació Digital

_______

Universidades y otras instituciones han sufrido ataques graves que han comprometido sus sistemas y han bloqueado sus servicios tecnológicos. Estos ataques utilizan como vía de entrada un correo electrónico que suplantan la identidad de una persona u organismo (un administrador de correo, un banco, Hacienda, la propia universidad o un conocido). Nos invitan a utilizar un enlace o abrir un archivo adjunto para realizar una tarea supuestamente pendiente.

Cuidado con los enlaces o adjuntos que llegan por correo. Puedes:

  • perder tu información personal,
  • comprometer los sistemas de la universidad o
  • permitir el acceso con tu cuenta a los muchos servicios a los que accedemos diariamente.

Más información en: https://si.ua.es/es/noticias/atencion-con-los-ataques-de-phishing.html

Vicerrectorado de Transformación Digital

 

Decàleg de seguretat del correu electrònic

«1. No òbriga cap enllaç ni descarregue cap fitxer adjunt procedent d’un correu electrònic que presente qualsevol símptoma o patró fora del considerat normal o habitual.

2. No confie únicament en el nom del remitent. L’usuari haurà de comprovar que el propi domini del correu rebut és de confiança. Si un correu procedent d’un contacte conegut sol·licita informació inusual contacte amb el mateix per telèfon o una altra via de comunicació per a corroborar la legitimitat d’aquest.

3. Abans d’obrir qualsevol fitxer descarregat des del correu assegure’s de l’extensió i no es fie per la icona associada a aquest.

4. No habilite les macros dels documents ofimàtics fins i tot si el propi fitxer així ho sol·licita.

5. No ha de fer-se clic en cap enllaç que sol·licite dades personals ni bancàries.

6. Tinga sempre actualitzat el sistema operatiu, les aplicacions ofimàtiques i el navegador (incloent els plugins/extensions instal·lats).

7. Utilitze eines de seguretat per a mitigar exploits de manera complementària al programari antivirus.

8. Evite fer clic directament en qualsevol enllaç des del propi client de correu. Si l’enllaç és desconegut és recomanable cercar informació del mateix en motors de cerca com Google o Bing.

9. Utilitze contrasenyes robustes per a l’accés al correu electrònic. Les contrasenyes hauran de ser periòdicament renovades. Si és possible utilitze doble autenticació.

10. Xifre els missatges de correu que continguen informació sensible

Font: Correu electrònic. Informe de bones pràctiques
CCN-CERT – Centre Criptológic Nacional
Edició: maig de 2021

 

 

Decálogo de seguridad del correo electrónico – CCN

«1.  No abra ningún enlace ni descargue ningún fichero adjunto procedente de un correo electrónico que presente cualquier síntoma o patrón fuera de lo considerado normal o habitual.

2.  No confíe únicamente en el nombre del remitente. El usuario deberá comprobar que el propio dominio del correo recibido es de confianza. Si un correo procedente de un contacto conocido solicita información inusual contacte con el mismo por teléfono u otra vía de comunicación para corroborar la legitimidad del mismo.

3.  Antes de abrir cualquier fichero descargado desde el correo asegúrese de la extensión y no se fíe por el icono asociado al mismo.

4.  No habilite las macros de los documentos ofimáticos incluso si el propio fichero así lo solicita.

5.  No debe hacerse clic en ningún enlace que solicite datos personales ni bancarios.

6.  Tenga siempre actualizado el sistema operativo, las aplicaciones ofimáticas y el navegador (incluyendo los plugins/extensiones instalados).

7.  Utilice herramientas de seguridad para mitigar exploits de manera complementaria al software antivirus.

8.  Evite hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido es recomendable buscar información del mismo en motores de búsqueda como Google o Bing.

9.  Utilice contraseñas robustas para el acceso al correo electrónico. Las contraseñas deberán ser periódicamente renovadas. Si es posible utilice doble autenticación.

10.  Cifre los mensajes de correo que contengan información sensible

Fuente: Correo electrónico. Informe de buenas prácticas
CCN-CERT – Centro Criptológico Nacional
Edición: mayo de 2021

 

¡ATENCIÓN! ¡Cuidado con los ataques de phishing!

En la actualidad, una de las mayores amenazas que estamos sufriendo las Administraciones Públicas son los ataques de Phishing a través del correo electrónico. La finalidad de estos ataques puede ser, bien para acceder y robar información sensible de estas organizaciones, bien para encriptar el sistema con el fin de solicitar dinero para recuperar dicha información.

En Internet podemos encontrar mucha información con el fin de detectar estos ataques de Phishing, pero uno de los que más nos ha gustado es que ha realizado el INCIBE y que a continuación adjuntamos los enlaces

Están diseñados para que sean muy gráficos y sencillos de entender, y que recomendamos que consultéis.

Phishing - Incibe

https://www.incibe.es/aprendeciberseguridad/phishing

https://www.incibe.es/protege-tu-empresa/tematicas/phishing

https://www.incibe.es/protege-tu-empresa/blog/phishing-no-muerdas-el-anzuelo

Saludos

Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.

¿Cómo identificar los casos más habituales de phising?

El phishing es una estafa cibernética que afecta a nuestra seguridad digital. Tras la campaña de concienciación que la UA lanzó en colaboración con el INCIBE en noviembre, continuamos proporcionándoos herramientas para no caer en esta estafa.

Podéis aprender a identificar los casos más habituales de phishing con un juego breve y entretenido que ha preparado Google en Phishing Quiz: https://phishingquiz.withgoogle.com/?hl=es.

En caso de duda ante un correo electrónico sospechoso, podéis contactar con el CAU (cv@ua.es o 965909393).

 

Pots detectar quan t'estan enganyant?

 

Com identificar els casos més habituals de phishing?

El phishing és una estafa cibernètica que afecta la nostra seguretat digital. Després de la campanya de conscienciació que la UA va llançar en col·laboració amb l’INCIBE al novembre, continuem proporcionant-vos eines per a no caure en aquesta estafa.

Podeu aprendre a identificar els casos més habituals de phishing amb un joc breu i entretingut que ha preparat Google en Phishing Quiz: https://phishingquiz.withgoogle.com/?hl=es.

I recordeu que, en cas de dubte davant d’un correu electrònic sospitós, podeu contactar amb el CAU (cv@ua.es o 965909393).

 

Pots detectar quan t'estan enganyant?

 

¿Cuándo debo sospechar de un mensaje de correo y cómo debo actuar?

¿Cuándo debo sospechar  de un mensaje de correo electrónico?

 

Las pautas que te ofrecemos son pistas para detectar el phishing, pero no garantizan que se pueda identificar al 100%. Hay que tener en cuenta que cualquiera de los puntos siguientes puede servir para alertarnos, sin necesidad de que concurran todos.

 

  • Es un correo que no esperas ni tiene ninguna relación con tu actividad profesional o personal. No lo abras.
  • El mensaje te pide datos personales (cuentas bancarias, iniciar sesión, número del móvil…). No proporciones nunca datos personales en respuesta a un correo sin cerciorarte antes de que la petición es real.

  • La dirección de correo que envía el mensaje es extraña (direcciones con letras y números mezclados, dominios poco habituales o no relacionados con nuestra actividad…). No lo abras.

 

  • Contiene un enlace cuyo texto no coincide con la dirección a la que apunta cuando pasamos el ratón o contiene un botón que al pasar el cursor por encima apunta a una dirección extraña, como en la imagen. No lo abras. 

 

  • Está muy mal redactado (es una mala traducción o no tiene sentido en algunos fragmentos)

  • Te ofrece ventajas o beneficios inverosímiles o te amenaza.

En todo caso, ante la menor duda, ponte en contacto con el Servicio de Informática, escribiendo a soporte@ua.es. Si nos reenvías el correo lo podremos analizar y detectar campañas de ataque. Así podremos tomar medidas preventivas para el resto de comunidad universitaria. 

Fuentes: 

Kit de concienciación. Phishing, Incibe y CRUE.

Conoce a fondo qué es el phishing, OSI.

¿Cómo reconocer un mensaje de tipo phishing?, OSI.

Herramientas para comprobar que un enlace es seguro: Virus Total y Getlinkinfo

¿Cómo podemos verificar si una página web es segura?

Podemos utilizar Virus Total, servicio gratuito a través de una página web, que permite analizar archivos y URL sospechosas, facilitando la detección de todo tipo de malware. Virus Total comprueba, con prácticamente todos los antivirus del mercado, si esa página es o no fiable.

www.virustotal.com

Entre las tres opciones que nos ofrece, vamos a seleccionar la revisión de URL (Search or scan a URL).

Continue reading “Herramientas para comprobar que un enlace es seguro: Virus Total y Getlinkinfo”

Campaña de correos maliciosos con ficheros .doc adjuntos

Durante unos días se ha registrado una intensa campaña de ataque con correos maliciosos que adjuntaban un fichero con formato .doc

El SI ha filtrado durante unos días estos correos para evitar que nuestros usuarios pudieran infectarse con el malware contenido en los ficheros.

Si quieres conocer con más detalle este ataque y cómo prevenir daños te recomendamos que leas este artículo de la OSI.

 

Campaña de phising

 

 

Intento de suplantación de correo en la UA

Recientemente, un profesor de la Universidad se puso en contacto con nosotros, porque varios compañeros le informaban que estaban recibiendo mensajes suyos “raros”. En primer lugar, pensamos que habían capturado su usuario y contraseña y que estaban enviando spam desde la misma, pero aún así le pedimos que nos enviara una copia del correo para investigar qué podía estar pasando. Descubrimos que el intento de engaño era más sofisticado, y sobre todo, que este tipo de engaño puede utilizarse en más ocasiones. Vamos a analizar cuál ha sido el “modus operandi” del mismo.

Una persona recibe de un compañero de departamento un correo electrónico, sin asunto, con un mensaje muy simple:

Mensaje de correo con supuesta firma

Continue reading “Intento de suplantación de correo en la UA”

Las tarjetas con tecnología NFC, una ventaja o un potencial peligro

Prácticamente  todas las tarjetas bancarias, e incluso nuestra TIU, utilizan NFC (Near Field Communications), comúnmente conocido como contactless. Esta tecnología permite, basándose en el sistema RFID (Radio-Frequency Identification), la lectura de dicha tarjeta simplemente por aproximación a un lector que soporte también NFC. Eso hace posible que podamos pagar, en la mayoría de los casos, por importes inferiores a 20€ en multitud de comercios o que las puertas del gimnasio se abran al acercar nuestra tarjeta.

Las tarjetas que soportan la tecnología NFC se puede reconocer fácilmente por llevar unas ondas, similares a las que podemos ver con las conexiones WiFi

 

NFC

 

Por ejemplo, en la TIU se sitúa en la parte central izquierda de la tarjeta, en alguna tarjeta bancaria la podemos encontrar en la parte superior derecha, etc.

 

TIU

 

Esta tecnología, en teoría positiva, también tiene su lado oscuro, ya que, si alguien tuviera un dispositivo receptor, podría leer datos de nuestra tarjeta si se acercara lo suficiente. En principio, sí, pero no hay que alarmarse, ya que el que se pueda hacer no quiere decir que sea sencillo. Vamos a intentar describir los puntos débiles de esta tecnología y cómo evitar problemas.

 

Tal y como hemos mencionado, la tecnología NFC nos permite una agilidad en operaciones sencillas de identificación o pago, ya que simplemente acercando la tarjeta a menos de 10 cm de un lector NFC hace que se realice la transferencia de información entre ambas para autenticar la operación. Simplificando mucho, lo que hay detrás del chip son unas pequeñas antenas que se alimentan con las ondas emitidas por el lector y las envía al chip que, a su vez, con la energía que consigue a partir de ellas envía sus datos al lector. Es por ello que la distancia entre la tarjeta y el lector debe de ser muy corta y sin interferencias.

 

Veamos entonces qué nos puede pasar si no tenemos cuidado con este tipo de tarjetas. En primer lugar, ante una pérdida, en algunos comercios no piden DNI cuando el pago es inferior a 20€ por lo que alguien con este tipo de tarjetas podrá pagar hasta 5 veces sin que le pida PIN el lector (si no lo ha pedido el cajero o cajera antes) y, como hemos dicho, no más de 20€ ya que en importes superiores automáticamente se solicita el PIN. Por tanto, hay que tener la precaución de dar de baja la tarjeta inmediatamente al detectar su pérdida.

 

Ciertas entidades bancarias tienen Apps que permiten la comunicación inmediata de todas las compras, así como el bloqueo de la tarjeta desde la propia App. Ante una notificación de una compra desconocida o detectar la pérdida de la tarjeta, es una forma ágil de bloquearla casi inmediatamente.

 

Otra posibilidad es que nuestra entidad nos obligue a poner el PIN siempre cuando hagamos operaciones bancarias.

 

Pero vayamos ahora a la preocupación de que alguien se nos acerque con un lector de tarjetas, por ejemplo, en el metro, y nos haga cargos de menos de 20€. ¿Esto es así de fácil? Sí, porque se ha demostrado que puede realizarse, pero la normativa permite que sea fácilmente localizable el “caco”. Para que dicho lector sea operativo, hay que darlo de alta en el sistema de pagos de tarjeta, y, además, vincularlo a una cuenta corriente. Tirando del hilo sería muy sencillo localizar al ladrón.

 

Otro miedo, este algo más delicado, es el robo de datos personales. Con un móvil que soporte NFC y con una App que nos podemos descargar en Google Play, algunas de ellas gratuitas, podemos leer información de la tarjeta. Por ejemplo, es posible leer el número de cuenta y la fecha de caducidad de la misma. Es cierto que no podemos acceder al número CVV, imprescindible en casi todas las páginas para hacer compras por Internet, pero puede haber páginas que no soliciten dichos datos, y es más, solo el que puedan acceder a dicha información ya es para preocuparse.

 

Es posible saber a qué datos podrían acceder, y es posible, como hemos comentado antes, instalando en nuestro móvil si soporta NFC la App Scheckkartenleser (EMV) o la AppEMV Card Reader, ambas gratuitas, y saber exactamente qué datos pueden estar accesibles.

 

Y ahora volvemos a tranquilizar un poco a los usuarios, ya que como hemos comentado antes, casi todas las tarjetas tienen NFC y la mayoría de las personas tiene más de una. Si alguien acercara, por ejemplo, un lector a nuestra cartera, habría interferencias con la información de ellas y los datos no serían legibles. Pero aún así, existen carteras y/o fundas con una pequeña protección metálica que evita la lectura de la tarjeta si no se extrae de la misma.

 

Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.

 

 

¿Cómo cambiar mi contraseña de la UA?

¿Cómo cambiar mi contraseña de la UA?

 

En esta página encontrarás toda la información necesaria para gestionar tus contraseñas.

 

Reglas para la creación y uso de contraseñas Normativa de la U. de Alicante para la creación y uso de contraseñas.

    • Mínimo 8 caracteres
    • Utilizar caracteres de, al menos, 3 de estos grupos: mayúsculas, minúsculas, signos y números
    • No utilizar caracteres idénticos consecutivos
    • No reutilizar ninguna de las últimas 5 contraseñas
    • No deben estar basadas en datos propios (nombre, apellido, cumpleaños…)
    • Debe cambiarse cuando quede comprometida
    • Debe cambiarse obligatoriamente cada 6 meses

 

 

Creació i ús de contrasenyes / Creación y uso de contraseñas

La Universitat d’Alacant ha publicat la normativa per a la creació i ús de contrasenyes.

A partir del 3 de juny, tots els comptes de la UA que no hagen canviat la contrasenya en els 6 mesos anteriors perdran l’accés als comptes.

Trenta dies abans que caduque la teua contrasenya, t’apareixerà un avís en UACloud. Ací t’expliquem com la podràs canviar. Et recomanem incorporar una adreça electrònica alternativa si encara no ho has fet. La necessitaràs en cas que et caduque la contrasenya o la perdes.

Si tens problemes amb el canvi de contrasenya, consulta l’ajuda o posa’t en contacte amb el Centre d’Assistència a l’Usuari (96 590 9393)

__________

La Universidad de Alicante ha publicado la normativa para la creación y uso de contraseñas.

A partir del 3 de junio, todas las cuentas de la UA que no hayan cambiado la contraseña en los 6 meses anteriores perderán el acceso a las cuentas.

Treinta días antes de que caduque tu contraseña, te aparecerá un aviso en UACloud. Aquí te explicamos cómo la podrás cambiar. Te recomendamos incorporar una dirección electrónica alternativa si aún no lo has hecho. La necesitarás en caso de que te caduque la contraseña o la pierdas.

Si tienes problemas con el cambio de contraseña, consulta la ayuda o ponte en contacto con el Centro de Asistencia al Usuario (96 590 9393).

Normativa de la UA per a la creació i ús de contrasenyes

El passat 28 de febrer el Consell de Govern va aprovar la “Normativa de la UA per a la creació i ús de contrasenyes“. En la mateixa data es va publicar en el BOUA.

És necessari que les i els usuaris creen contrasenyes robustes, basant-se en regles que dificulten la seua vulnerabilitat.

Aquesta normativa regula:

  • les regles per a la creació de contrasenyes.
  • les regles per al canvi de contrasenyes.
  • les conductes que cal observar en l’ús de les mateixes.

 

Article 3. Regles per a la creació de contrasenyes segures

«a) Les contrasenyes hauran de tenir una longitud igual o superior a
vuit caràcters.
b) Les contrasenyes hauran de tenir, com a mínim, un caràcter del
menys tres d’estos quatre grups: majúscules, minúscules, signes i
xifres, i no hauran de de tenir caràcters idèntics consecutius.
c) Les contrasenyes no hauran de ser igual a cap de les cinc últimes
contrasenyes usades.
d) Les contrasenyes no hauran d’estar basades en dades pròpis que
una altra persona puga endevinar o obtenir fàcilment, com ara nom,
cognoms, data de naixement, número de telèfon i similars.»

 

Article 4. Regles per a l´ús de les contrasenyes

«a) Les contrasenyes no poden ser anotades en paper ni de cap altra
manera que puga comprometre’n la seguretat.
b) Les contrasenyes han de ser secretes. No han de ser lliurades ni
comunicades a ningú.
c) Ningú està autoritzat a accedir als serveis interns de la Universitat
d’Alacant utilitzant el nom d´usuari i la contrasenya d´altra persona
usuària.
d) Les contrasenyes hauran de ser diferents a les usades en serveis
d´altres proveïdors externs a la UA.»

 

Article 5. Canvi de contrasenya

«1. Les contrasenyes hauran de ser canviades immediatament sempre
que la persona usuària entenga que ha quedat compromesa.
2. Sense perjudici d’això, en tot cas, les contrasenyes hauran de ser
canviades cada sis mesos.»

 

En el termini de tres mesos s’hauran d’adaptar les contrasenyes al que es disposa en aquesta normativa. És a dir, abans de l’1 de juny totes les usuàries i usuaris dels sistemes d’informació de la UA hauran d’actualitzar la seua contrasenya.

 

Consells per a una bona contrasenya

Intent de phishing suplantant la UA

 

El dimecres 21 de novembre es va rebre en la UA una onada de missatges fraudulents que intentava confondre els usuaris perquè facilitaren les seues credencials. En aquests casos, mai ha de facilitar-se cap dada.

El Servei d’Informàtica va bloquejar l’adreça dins de la xarxa corporativa quan es va detectar l’atac.

Els usuaris que es van confondre i van facilitar les credencials han de canviar com més prompte millor la contrasenya.
Si rebeu algun missatge que genere qualsevol dubte, us recomanem que contactes amb el Servei d’Informàtica: 965 90 93 93, soporte@ua.es.
Vicerectorat de Campus i Tecnologia

Intento de phishing suplantando a la UA

 

El miércoles 21 de noviembre se recibió en la UA una oleada de mensajes fraudulentos que intentaba confundir a los usuarios para que facilitasen sus credenciales. En estos casos jamás debe facilitarse ningún dato.

El Servicio de Informática bloqueó la dirección dentro de la red corporativa en cuanto se detectó este ataque.

Aquellos usuarios que se confundieron y facilitaron sus credenciales deben cambiar cuanto antes su contraseña.

Si recibe algún mensaje que genere cualquier tipo de duda, recomendamos que contacte con el Servicio de Informática: 965 90 93 93soporte@ua.es

Vicerrectorado de Campus y Tecnología

Lloc de treball net i equip bloquejat

 

L’Esquema Nacional de Seguretat, regulat pel Reial decret 3/2010, de 8 de gener, determina la política de seguretat que s’ha d’aplicar en la utilització dels mitjans electrònics. Ha de ser aplicat per les administracions públiques per a assegurar l’accés, integritat, disponibilitat, autenticitat, confidencialitat, traçabilitat i conservació de les dades, informacions i serveis utilitzats en mitjans electrònics que gestionen en l’exercici de les seues competències.

Tant l’Esquema Nacional de Seguretat (mesura de protecció mp.eq.1), com la ISO 27002 (A.11.02.09) exigeixen una política de lloc de treball net per al compliment dels estàndards mínims de seguretat TI. A més, una directriu obliga a recordar periòdicament la necessitat de mantenir el lloc de treball net.

La informació i els actius que tenim en la nostra zona de treball estan en un lloc molt vulnerable i poden ser sostrets amb relativa facilitat si no s’adopten una sèrie de mesures fàcils de complir:

1. Adopta una cultura “sense paper”. Minimitza l’ús de paper, tant per una qüestió de seguretat com mediambiental.

2. No deixes damunt de la taula cap document confidencial o amb dades de caràcter personal quan t’absentes lloc de treball. Guarda aquests documents sota clau.

3. No guardes les contrasenyes d’accés en un post-it al costat de la pantalla.

4. A l’hora d’imprimir, retira de la safata d’eixida els documents de forma immediata.

5. Sigues acurat amb els documents que llances a la paperera. Utilitza una destructora si contenen dades confidencials o de caràcter personal.

6. Els dispositius d’emmagatzematge removibles (DVD, memòries USB, discos portàtils) han de tenir un tractament similar al paper: no els deixes damunt del teu lloc de treball si l’abandones, guarda’ls sota clau, no els deixes connectats a l’ordinador quan no estigues present…

7. Configura el protector de pantalla perquè s’active automàticament despre´s d’un període d’inactivitat en l’ordinador (15 minuts).

8. Activa manualment el protector de pantalla si t’absentes del teu lloc de treball.

Infografia: Pautes de seguretat per al lloc de treball.

Cupones de grandes marcas con regalos desagradables

Es habitual, por desgracia, recibir muchos mensajes considerados como SPAM en nuestras cuentas de correo. Algunos de estos, sin embargo, parecen enviados por empresas más o menos conocidas y nos ofertan cupones de descuento, premios, etc. por las causas más diversas. Aunque pensemos que se trata de una oferta publicitaria, detrás está una práctica cada vez más utilizada por los piratas informáticos para conseguir nuestros datos personales, y en algunos casos incluso nuestro dinero. Vamos a ver uno de los ejemplos más comunes y cómo actúan.

Todo empieza por un mensaje a nuestra cuenta. No necesariamente tiene que ser igual al del ejemplo, pero el patrón sí que es similar.

 

Ejemplo de mensaje fraudulento

 

Simplemente observando que se envía desde una cuenta de hotmail debería de ser suficiente para dudar de este mensaje, aunque este detalle también puede trucarse. Después, una dirección abreviada debe de hacernos pensar que la cosa sigue haciéndose más oscura. En cualquier caso, una buena medida preventiva es averiguar qué dirección se encuentra detrás del enlace abreviado. Hay muchas herramientas, pero se puede utilizar esta: https://www.unshorten.it/

Si no tiene nada que ver con la empresa en cuestión, ya sabemos que no debemos de seguir, pero consideremos que somos muy curiosos, y pinchamos (mal, pero es un ejemplo).

 

Ejemplo de mensaje fraudulento

 

Pues parece que sí que es cierto que se trata de una oferta… pero no. En la ventana superior no aparece ningún enlace de la empresa, y además, nos pide un correo, que con toda seguridad ampliará la lista negra de correo para Spam.

La siguiente ventana ya debería ser la definitiva para confirmar que es un timo de manual.

 

Ejemplo de web fraudulenta

 

Si nos piden datos personales, económicos, etc. es ya un claro síntoma de que es un timo (o Scam) de correo electrónico. En estos casos, NUNCA hay que poner este tipo de información, aunque la excusa sea la mejor del mundo (que necesitan los datos para hacer el ingreso, que lo pide la agencia de protección de datos, etc., etc.) En todos los casos, el único motivo es el de conseguir tus datos personales.

 

Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.

Fuente: blogs.protegerse.com

Aprovecha el verano para cuidar tu privacidad y tu seguridad en internet

 

La Agencia Española de Protección de Datos (AEPD) y la OSI han desarrollado una sencilla y didáctica guía sobre “Privacidad y seguridad en internet”.

 

Además han creado videotutoriales para configurar las opciones de privacidad de las principales redes sociales y aplicaciones de mensajería instantánea.

 

Descárgate la guía completa o las fichas individuales en esta dirección: https://www.osi.es/es/guia-de-privacidad-y-seguridad-en-internet

 

Privacidad y seguridad en internet

 

Recomendaciones para un puesto informático seguro

Como sabrás, el pasado fin de semana se produjo un ciberataque a nivel mundial que ha afectado a empresas, administraciones y particulares. Desde el Servicio de Informática hemos elaborado una pequeña guía básica de precauciones a seguir en nuestros hábitos de trabajo para prevenir y minimizar daños en caso de incidente.

Lo puedes consultar en:

https://si.ua.es/es/servicios/seguridad/seguridad-en-el-puesto-de-trabajo-informatico.html
Vicerrectorado de Campus y Tecnología

 

Recomendaciones para un puesto informático seguro