Las tarjetas con tecnología NFC, una ventaja o un potencial peligro

Prácticamente todas las tarjetas bancarias, e incluso nuestra TIU, utilizan NFC (Near Field Communications), comúnmente conocido como contactless. Esta tecnología permite, basándose en el sistema RFID (Radio-Frequency Identification), la lectura de dicha tarjeta simplemente por aproximación a un lector que soporte también NFC. Eso hace posible que podamos pagar, en la mayoría de los casos, por importes inferiores a 20€ en multitud de comercios o que las puertas del gimnasio se abran al acercar nuestra tarjeta.

Las tarjetas que soportan la tecnología NFC se puede reconocer fácilmente por llevar unas ondas, similares a las que podemos ver con las conexiones WiFi

 

NFC

 

Por ejemplo, en la TIU se sitúa en la parte central izquierda de la tarjeta, en alguna tarjeta bancaria la podemos encontrar en la parte superior derecha, etc.

 

TIU

 

Esta tecnología, en teoría positiva, también tiene su lado oscuro, ya que, si alguien tuviera un dispositivo receptor, podría leer datos de nuestra tarjeta si se acercara lo suficiente. En principio, sí, pero no hay que alarmarse, ya que el que se pueda hacer no quiere decir que sea sencillo. Vamos a intentar describir los puntos débiles de esta tecnología y cómo evitar problemas.

 

Tal y como hemos mencionado, la tecnología NFC nos permite una agilidad en operaciones sencillas de identificación o pago, ya que simplemente acercando la tarjeta a menos de 10 cm de un lector NFC hace que se realice la transferencia de información entre ambas para autenticar la operación. Simplificando mucho, lo que hay detrás del chip son unas pequeñas antenas que se alimentan con las ondas emitidas por el lector y las envía al chip que, a su vez, con la energía que consigue a partir de ellas envía sus datos al lector. Es por ello que la distancia entre la tarjeta y el lector debe de ser muy corta y sin interferencias.

 

Veamos entonces qué nos puede pasar si no tenemos cuidado con este tipo de tarjetas. En primer lugar, ante una pérdida, en algunos comercios no piden DNI cuando el pago es inferior a 20€ por lo que alguien con este tipo de tarjetas podrá pagar hasta 5 veces sin que le pida PIN el lector (si no lo ha pedido el cajero o cajera antes) y, como hemos dicho, no más de 20€ ya que en importes superiores automáticamente se solicita el PIN. Por tanto, hay que tener la precaución de dar de baja la tarjeta inmediatamente al detectar su pérdida.

 

Ciertas entidades bancarias tienen Apps que permiten la comunicación inmediata de todas las compras, así como el bloqueo de la tarjeta desde la propia App. Ante una notificación de una compra desconocida o detectar la pérdida de la tarjeta, es una forma ágil de bloquearla casi inmediatamente.

 

Otra posibilidad es que nuestra entidad nos obligue a poner el PIN siempre cuando hagamos operaciones bancarias.

 

Pero vayamos ahora a la preocupación de que alguien se nos acerque con un lector de tarjetas, por ejemplo, en el metro, y nos haga cargos de menos de 20€. ¿Esto es así de fácil? Sí, porque se ha demostrado que puede realizarse, pero la normativa permite que sea fácilmente localizable el “caco”. Para que dicho lector sea operativo, hay que darlo de alta en el sistema de pagos de tarjeta, y, además, vincularlo a una cuenta corriente. Tirando del hilo sería muy sencillo localizar al ladrón.

 

Otro miedo, este algo más delicado, es el robo de datos personales. Con un móvil que soporte NFC y con una App que nos podemos descargar en Google Play, algunas de ellas gratuitas, podemos leer información de la tarjeta. Por ejemplo, es posible leer el número de cuenta y la fecha de caducidad de la misma. Es cierto que no podemos acceder al número CVV, imprescindible en casi todas las páginas para hacer compras por Internet, pero puede haber páginas que no soliciten dichos datos, y es más, solo el que puedan acceder a dicha información ya es para preocuparse.

 

Es posible saber a qué datos podrían acceder, y es posible, como hemos comentado antes, instalando en nuestro móvil si soporta NFC la App Scheckkartenleser (EMV) o la AppEMV Card Reader, ambas gratuitas, y saber exactamente qué datos pueden estar accesibles.

 

Y ahora volvemos a tranquilizar un poco a los usuarios, ya que como hemos comentado antes, casi todas las tarjetas tienen NFC y la mayoría de las personas tiene más de una. Si alguien acercara, por ejemplo, un lector a nuestra cartera, habría interferencias con la información de ellas y los datos no serían legibles. Pero aún así, existen carteras y/o fundas con una pequeña protección metálica que evita la lectura de la tarjeta si no se extrae de la misma.

 

Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.

 

 

¿Cómo cambiar mi contraseña de la UA?

¿Cómo cambiar mi contraseña de la UA?

 

En esta página encontrarás toda la información necesaria para gestionar tus contraseñas.

 

Reglas para la creación y uso de contraseñas Normativa de la U. de Alicante para la creación y uso de contraseñas.

    • Mínimo 8 caracteres
    • Utilizar caracteres de, al menos, 3 de estos grupos: mayúsculas, minúsculas, signos y números
    • No utilizar caracteres idénticos consecutivos
    • No reutilizar ninguna de las últimas 5 contraseñas
    • No deben estar basadas en datos propios (nombre, apellido, cumpleaños…)
    • Debe cambiarse cuando quede comprometida
    • Debe cambiarse obligatoriamente cada 6 meses

 

 

Creació i ús de contrasenyes / Creación y uso de contraseñas

La Universitat d’Alacant ha publicat la normativa per a la creació i ús de contrasenyes.

A partir del 3 de juny, tots els comptes de la UA que no hagen canviat la contrasenya en els 6 mesos anteriors perdran l’accés als comptes.

Trenta dies abans que caduque la teua contrasenya, t’apareixerà un avís en UACloud. Ací t’expliquem com la podràs canviar. Et recomanem incorporar una adreça electrònica alternativa si encara no ho has fet. La necessitaràs en cas que et caduque la contrasenya o la perdes.

Si tens problemes amb el canvi de contrasenya, consulta l’ajuda o posa’t en contacte amb el Centre d’Assistència a l’Usuari (96 590 9393)

__________

La Universidad de Alicante ha publicado la normativa para la creación y uso de contraseñas.

A partir del 3 de junio, todas las cuentas de la UA que no hayan cambiado la contraseña en los 6 meses anteriores perderán el acceso a las cuentas.

Treinta días antes de que caduque tu contraseña, te aparecerá un aviso en UACloud. Aquí te explicamos cómo la podrás cambiar. Te recomendamos incorporar una dirección electrónica alternativa si aún no lo has hecho. La necesitarás en caso de que te caduque la contraseña o la pierdas.

Si tienes problemas con el cambio de contraseña, consulta la ayuda o ponte en contacto con el Centro de Asistencia al Usuario (96 590 9393).

Normativa de la UA per a la creació i ús de contrasenyes

El passat 28 de febrer el Consell de Govern va aprovar la “Normativa de la UA per a la creació i ús de contrasenyes“. En la mateixa data es va publicar en el BOUA.

És necessari que les i els usuaris creen contrasenyes robustes, basant-se en regles que dificulten la seua vulnerabilitat.

Aquesta normativa regula:

  • les regles per a la creació de contrasenyes.
  • les regles per al canvi de contrasenyes.
  • les conductes que cal observar en l’ús de les mateixes.

 

Article 3. Regles per a la creació de contrasenyes segures

«a) Les contrasenyes hauran de tenir una longitud igual o superior a
vuit caràcters.
b) Les contrasenyes hauran de tenir, com a mínim, un caràcter del
menys tres d’estos quatre grups: majúscules, minúscules, signes i
xifres, i no hauran de de tenir caràcters idèntics consecutius.
c) Les contrasenyes no hauran de ser igual a cap de les cinc últimes
contrasenyes usades.
d) Les contrasenyes no hauran d’estar basades en dades pròpis que
una altra persona puga endevinar o obtenir fàcilment, com ara nom,
cognoms, data de naixement, número de telèfon i similars.»

 

Article 4. Regles per a l´ús de les contrasenyes

«a) Les contrasenyes no poden ser anotades en paper ni de cap altra
manera que puga comprometre’n la seguretat.
b) Les contrasenyes han de ser secretes. No han de ser lliurades ni
comunicades a ningú.
c) Ningú està autoritzat a accedir als serveis interns de la Universitat
d’Alacant utilitzant el nom d´usuari i la contrasenya d´altra persona
usuària.
d) Les contrasenyes hauran de ser diferents a les usades en serveis
d´altres proveïdors externs a la UA.»

 

Article 5. Canvi de contrasenya

«1. Les contrasenyes hauran de ser canviades immediatament sempre
que la persona usuària entenga que ha quedat compromesa.
2. Sense perjudici d’això, en tot cas, les contrasenyes hauran de ser
canviades cada sis mesos.»

 

En el termini de tres mesos s’hauran d’adaptar les contrasenyes al que es disposa en aquesta normativa. És a dir, abans de l’1 de juny totes les usuàries i usuaris dels sistemes d’informació de la UA hauran d’actualitzar la seua contrasenya.

 

Consells per a una bona contrasenya

Intent de phishing suplantant la UA

 

El dimecres 21 de novembre es va rebre en la UA una onada de missatges fraudulents que intentava confondre els usuaris perquè facilitaren les seues credencials. En aquests casos, mai ha de facilitar-se cap dada.

El Servei d’Informàtica va bloquejar l’adreça dins de la xarxa corporativa quan es va detectar l’atac.

Els usuaris que es van confondre i van facilitar les credencials han de canviar com més prompte millor la contrasenya.
Si rebeu algun missatge que genere qualsevol dubte, us recomanem que contactes amb el Servei d’Informàtica: 965 90 93 93, soporte@ua.es.
Vicerectorat de Campus i Tecnologia

Intento de phishing suplantando a la UA

 

El miércoles 21 de noviembre se recibió en la UA una oleada de mensajes fraudulentos que intentaba confundir a los usuarios para que facilitasen sus credenciales. En estos casos jamás debe facilitarse ningún dato.

El Servicio de Informática bloqueó la dirección dentro de la red corporativa en cuanto se detectó este ataque.

Aquellos usuarios que se confundieron y facilitaron sus credenciales deben cambiar cuanto antes su contraseña.

Si recibe algún mensaje que genere cualquier tipo de duda, recomendamos que contacte con el Servicio de Informática: 965 90 93 93soporte@ua.es

Vicerrectorado de Campus y Tecnología

Lloc de treball net i equip bloquejat

 

L’Esquema Nacional de Seguretat, regulat pel Reial decret 3/2010, de 8 de gener, determina la política de seguretat que s’ha d’aplicar en la utilització dels mitjans electrònics. Ha de ser aplicat per les administracions públiques per a assegurar l’accés, integritat, disponibilitat, autenticitat, confidencialitat, traçabilitat i conservació de les dades, informacions i serveis utilitzats en mitjans electrònics que gestionen en l’exercici de les seues competències.

Tant l’Esquema Nacional de Seguretat (mesura de protecció mp.eq.1), com la ISO 27002 (A.11.02.09) exigeixen una política de lloc de treball net per al compliment dels estàndards mínims de seguretat TI. A més, una directriu obliga a recordar periòdicament la necessitat de mantenir el lloc de treball net.

La informació i els actius que tenim en la nostra zona de treball estan en un lloc molt vulnerable i poden ser sostrets amb relativa facilitat si no s’adopten una sèrie de mesures fàcils de complir:

1. Adopta una cultura “sense paper”. Minimitza l’ús de paper, tant per una qüestió de seguretat com mediambiental.

2. No deixes damunt de la taula cap document confidencial o amb dades de caràcter personal quan t’absentes lloc de treball. Guarda aquests documents sota clau.

3. No guardes les contrasenyes d’accés en un post-it al costat de la pantalla.

4. A l’hora d’imprimir, retira de la safata d’eixida els documents de forma immediata.

5. Sigues acurat amb els documents que llances a la paperera. Utilitza una destructora si contenen dades confidencials o de caràcter personal.

6. Els dispositius d’emmagatzematge removibles (DVD, memòries USB, discos portàtils) han de tenir un tractament similar al paper: no els deixes damunt del teu lloc de treball si l’abandones, guarda’ls sota clau, no els deixes connectats a l’ordinador quan no estigues present…

7. Configura el protector de pantalla perquè s’active automàticament despre´s d’un període d’inactivitat en l’ordinador (15 minuts).

8. Activa manualment el protector de pantalla si t’absentes del teu lloc de treball.

Infografia: Pautes de seguretat per al lloc de treball.

Cupones de grandes marcas con regalos desagradables

Es habitual, por desgracia, recibir muchos mensajes considerados como SPAM en nuestras cuentas de correo. Algunos de estos, sin embargo, parecen enviados por empresas más o menos conocidas y nos ofertan cupones de descuento, premios, etc. por las causas más diversas. Aunque pensemos que se trata de una oferta publicitaria, detrás está una práctica cada vez más utilizada por los piratas informáticos para conseguir nuestros datos personales, y en algunos casos incluso nuestro dinero. Vamos a ver uno de los ejemplos más comunes y cómo actúan.

Todo empieza por un mensaje a nuestra cuenta. No necesariamente tiene que ser igual al del ejemplo, pero el patrón sí que es similar.

 

Ejemplo de mensaje fraudulento

 

Simplemente observando que se envía desde una cuenta de hotmail debería de ser suficiente para dudar de este mensaje, aunque este detalle también puede trucarse. Después, una dirección abreviada debe de hacernos pensar que la cosa sigue haciéndose más oscura. En cualquier caso, una buena medida preventiva es averiguar qué dirección se encuentra detrás del enlace abreviado. Hay muchas herramientas, pero se puede utilizar esta: https://www.unshorten.it/

Si no tiene nada que ver con la empresa en cuestión, ya sabemos que no debemos de seguir, pero consideremos que somos muy curiosos, y pinchamos (mal, pero es un ejemplo).

 

Ejemplo de mensaje fraudulento

 

Pues parece que sí que es cierto que se trata de una oferta… pero no. En la ventana superior no aparece ningún enlace de la empresa, y además, nos pide un correo, que con toda seguridad ampliará la lista negra de correo para Spam.

La siguiente ventana ya debería ser la definitiva para confirmar que es un timo de manual.

 

Ejemplo de web fraudulenta

 

Si nos piden datos personales, económicos, etc. es ya un claro síntoma de que es un timo (o Scam) de correo electrónico. En estos casos, NUNCA hay que poner este tipo de información, aunque la excusa sea la mejor del mundo (que necesitan los datos para hacer el ingreso, que lo pide la agencia de protección de datos, etc., etc.) En todos los casos, el único motivo es el de conseguir tus datos personales.

 

Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.

Fuente: blogs.protegerse.com

Aprovecha el verano para cuidar tu privacidad y tu seguridad en internet

 

La Agencia Española de Protección de Datos (AEPD) y la OSI han desarrollado una sencilla y didáctica guía sobre “Privacidad y seguridad en internet”.

 

Además han creado videotutoriales para configurar las opciones de privacidad de las principales redes sociales y aplicaciones de mensajería instantánea.

 

Descárgate la guía completa o las fichas individuales en esta dirección: https://www.osi.es/es/guia-de-privacidad-y-seguridad-en-internet

 

Privacidad y seguridad en internet

 

Recomendaciones para un puesto informático seguro

Como sabrás, el pasado fin de semana se produjo un ciberataque a nivel mundial que ha afectado a empresas, administraciones y particulares. Desde el Servicio de Informática hemos elaborado una pequeña guía básica de precauciones a seguir en nuestros hábitos de trabajo para prevenir y minimizar daños en caso de incidente.

Lo puedes consultar en:

https://si.ua.es/es/servicios/seguridad/seguridad-en-el-puesto-de-trabajo-informatico.html
Vicerrectorado de Campus y Tecnología

 

Recomendaciones para un puesto informático seguro

 

 

Nueva medida para evitar la difusión de malware por medio del correo electrónico

Se ha producido un incremento significativo del correo spam que recibimos con ficheros adjuntos que contienen malware.

Para evitar la infección de los dispositivos de nuestros usuarios, se va a proceder a la eliminación automática de los ficheros que tengan extensiones potencialmente peligrosas.

 

Aquellos mensajes en los que el fichero adjunto sea bloqueado, mostrarán la nota informativa que se muestra en la imagen

 

Mensaje de aviso de que ha sido eliminado un fichero adjunto

El usuario que necesite recibir alguno de estos ficheros deberá acordar con el remitente otra vía de intercambio.

Decálogo de seguridad para la navegación web – CCN-CERT

«En una época en la que cualquier usuario accede a su cuenta bancaria, realiza transacciones o compra todo tipo de productos a través de la Web no es de extrañar que los ciberdelincuentes hayan focalizado sus ataques en el navegador Web. Por este motivo, el CCN-CERT ha hecho público un nuevo informe de Buenas Prácticas, CCN-CERT BP-06/16, con el que concienciar al usuario sobre las técnicas más utilizadas por los cibercriminales para realizar ataques a través de los navegadores, al tiempo que se ofrecen recomendaciones de seguridad para paliar estos ataques, así como un conjunto de pautas para mejorar la privacidad durante la navegación Web.

El CCN-CERT BP-06/16 describe los componentes y tecnologías de seguridad del navegador para, a continuación, explicar cómo los cibercriminales pueden explotar sus vulnerabilidades y los tipos de ataque más comunes: ejecución de código dañino a través de exploits, robo de sesiones o ataques con JavaScript. En los últimos apartados se recoge, de manera detallada, recomendaciones de seguridad y privacidad con ejemplos prácticos.

El informe incorpora a modo de conclusión un decálogo de pautas básicas de seguridad en el uso de navegadores Web, que enumera diez medidas que los usuarios pueden aplicar fácilmente, como asegurarse de que el navegador y los plugins estén actualizados, hacer uso de HTTPS (SSL/TLS) frente a HTTP o no almacenar contraseñas de manera predeterminada.»

Recomendaciones para una navegación web segura.

 

Decálogo para una navegación web segura

La web de la UA cambia de http a https

Se cierra ahora el proceso de cambio de la web de la UA, que pasa a estar al 100% bajo el protocolo https.

Las ventajas de usar https se resumen en dos aspectos:

  • Mejorar la seguridad y la privacidad del sitio web.
  • Mejora el posicionamiento del sitio web.

Cuando los datos viajan bajo el protocolo http lo hacen en claro, por lo que serían accesibles en el caso de que alguien interceptase la comunicación. En cambio con el protocolo https los datos viajan cifrados (conexión segura mediante cifrado SSL), por lo que aumenta notablemente la seguridad del sitio.

Los motores de búsqueda valoran positivamente la seguridad de los sitios a la hora de indexar recursos, por lo que una mayor seguridad repercute en un mejor posicionamiento a medio plazo.

 

No cedas tu blog a terceros

La UA pone a disposición de los miembros de la comunidad universitaria la plataforma blogs.ua.es. Regularmente se revisa el contenido de estos blogs para verificar que se cumplen las Condiciones  de uso y con frecuencia se procede al bloqueo de algunos usuarios. El motivo más frecuente para bloquear un blog es el uso con fines comerciales o publicitarios.

Aunque ya lo suponíamos, ahora hemos podido confirmar que algunos usuarios ceden sus blogs a terceros a cambio de un pequeño pago.  Una alumna nos ha facilitado la siguiente propuesta que le ha llegado a través de su perfil en facebook:

«Hola te agradecería si me hicieras este favor, no te demoras un minuto en hacérmelo y te pago u$20.
te cuento, me gusta todo lo relacionado a las paginas web y el SEO. quería escribir un articulo acerca de mi web en la plataforma de blogs de la universidad de alicante, pero como pensaras no soy estudiante alli y para crear un blog necesito confirmarlo con un correo de la universidad.
Quería saber si tu me puedes abrir el blog, lo unico que tu necesitas hacer es confirmar en tu correo universitario que creaste el blog, no es mas . Tu me indicas tu correo de la UA, yo lo pongo aca https://blogs.ua.es/wp-signup.php y tu solo confirmas que te parece?
Acerca del pago te podria enviar el pago por paypal, por western union o como tu quieras.
Lo unico que necesitas hacer es confirmar la creacion del blog y te ganas u$20, asi de sencillo.
Ya he comprado otros blogs y no he tenido ningun problema espero tu respuesta, saludos»

Advertimos a los usuarios de la UA del riesgo extraordinario que entraña ceder su identidad electrónica a terceros. Hasta ahora solo hemos registrado incumplimientos leves de las condiciones de uso, pero podrían darse actuaciones delictivas (divulgación de información falsa  o difamatoria, publicación de pornografía infantil, delitos de amenazas, etc.).

 

Blogs.ua.es

 

 

Informe del CSIRT sobre la seguridad en internet de las cosas

«Cada vez son más los dispositivos conectados a Internet, destacando aquellos que hasta hace poco tiempo no disponían de ningún tipo de conectividad: hoy en día no suena raro que neveras, hornos, lavadoras y lámparas, entre otros muchos objetos cotidianos, tengan conexión a Internet y que puedan ser controlados de forma remota desde la web o desde otros dispositivos.

El crecimiento del número de dispositivos conectados a Internet ha hecho que aumente la preocupación por la seguridad de la información que estos dispositivos puedan manejar. Muchos nos hacemos preguntas  como, ¿hasta qué punto está nuestra información expuesta en Internet? ¿Quién puede tener acceso a este tipo de dispositivos conectados en una red? ¿De qué manera podrían acceder a ella? ¿Puedo tomar alguna medida para no exponer la información de la que dispone mi dispositivo? A estas y otras muchas preguntas, el equipo de CSIRT-CV intenta responder en el informe que hoy publicamos.»

Seguridad en internet de las cosas. Estado del arte (CSIRT, 41 págs., 1524 KB).

 

Seguridad en internet de las cosas

Uso seguro de la banca electrónica

La Oficina de Seguridad del Internauta continúa publicando excelentes materiales enfocados al usuario. La seguridad en el manejo de las nuevas tecnologías no es una cuestión técnica, sino que requiere que los usuarios mantengan una actitud proactiva y de permanente atención.

Con estos consejos básicos es improbable convertirse en víctima de situaciones como esta: Un caso de phising muy elaborado.

 

Uso seguro de la banca electrónica

 

Consejos para un uso seguro de la banca electrónica, 5/9/2014.

 

Un caso de phising muy elaborado

Recientemente, un compañero comentó que su banco habitual le hacía unas preguntas muy extrañas, solicitándole una serie de datos que nunca antes le había pedido. La recomendación inicial fue que no diera ningún dato, ya que se debía de tratar de un caso de phising. Este compañero aseguraba que no debía ser un ataque de phising, ya que seguía el consejo de localizar el enlace correcto en un buscador, no pinchando en los enlaces que vienen en los correos.

Le pedí que volviera a realizar dicha búsqueda para analizar si  era un intento de phising o no. Continue reading “Un caso de phising muy elaborado”

Gestión y uso de dispositivos móviles en administraciones públicas

El Centro Criptológico Nacional ha editado la Guía de seguridad (CCN-STIC 827) “Esquema Nacional de Seguridad – Gestión y uso de dispositivos móviles” (64 pp., PDF, 1077 KB).

CCN-CERT

«El objetivo de esta Guía es ayudar a los organismos en la gestión segura de los dispositivos móviles desplegados en la organización o que puedan ser usados para acceder a recursos, informaciones o servicios de la organización. Incluye, por tanto, a los dispositivos móviles propiedad de la organización, como aquellos otros, propiedad de los usuarios (comportamiento conocido como BYOD), y en ambos casos para el desempeño total o parcial de las labores de los usuarios en relación con sus competencias profesionales en el seno del organismo de que se trate.»

Se presta especial atención a los riesgos derivados de la movilidad, el uso de dispositivos no-confiables, el uso de redes inseguras, el uso de aplicaciones no-confiables, la interconexión con otros sistemas, el uso de contenidos no-confiables y el uso de servicios de localización.

 

Suplantación de revistas científicas

A partir del aviso de un profesor de la UA hemos conocido una nueva estrategia para realizar estafas en la que se utilizan diversas técnicas fraudulentas que podrían calificarse como un phising muy sofisticado.

Aunque es posible que esta estrategia ya sea conocida por el profesorado, recomendamos la sección dedicada a este fenómeno en el blog Scholarly Open Access: Journal Hijacking.

 

Journal Hijacking

Ataque de phising utilizando Google Docs como señuelo

Este fin de semana se ha difundido un intento de phishing bastante elaborado. En él, simulan el mensaje de un usuario de la UA que comparte un documento de Google Docs.

Como vemos en la segunda imagen, la dirección real de la página NO es de Google.

No se debe contestar a este mensaje ni entrar al enlace.

 

Phising utilizando Google Docs como señuelo

 

Dirección a la que remite el ataque de phising

Guía de seguridad en el teletrabajo

El Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) ha publicado  una Guía de seguridad en el teletrabajo que «se centra especialmente en la creciente tendencia a trabajar esporádicamente desde casa con equipos propios o a la necesidad durante periodos vacacionales de conectar con el entorno laboral, ya sea para llevar el seguimiento de tareas o proyectos, como para solventar temas urgentes cuando por la distancia no es posible trasladarse físicamente al lugar habitual de trabajo.

Aunque no es el objetivo directo de esta guía, se hará también especial hincapié en los riesgos derivados de la utilización de dispositivos personales en el entorno corporativo (también conocido como Bring Your Own Device – BYOD), así como a usuarios que conecten de continuo desde casa o remotamente desde otras ubicaciones (como puede ser la oficina del cliente).»

Guía de seguridad en el teletrabajo, 20 págs., PDF, 621 KB.

A continuación reproducimos algunas de las recomendaciones básicas, que pueden ser útiles en toda circunstancia:

• Instalación del sistema operativo desde una fuente fiable.
• Sistema operativo y aplicaciones actualizadas.
• Software antivirus.
• Cuentas de usuario sin permisos para instalar software.
• Control de acceso robusto.
• Configuraciones seguras en aplicaciones (navegación web, correo electrónico, etc.).
• Bloqueo automático por inactividad.
• Software antirootkits.
• Control de software original.
• Cifrado del disco.
• Comprobación periódica de la adecuación de las salvaguardas.

En cuanto al uso corporativo de dispositivos móviles destacan los siguientes consejos:

• Se debe limitar el acceso al dispositivo mediante un bloqueo con contraseña, patrón o similar.
• Se debe cifrar la memoria del dispositivo en caso de contener información sensible.
• Se debe disponer de medidas para poder localizar el dispositivo o hacer un borrado remoto del dispositivo en caso de pérdida o robo.
• Se debe disponer de algún mecanismo lo más automatizado posible para hacer copias de seguridad de la información del dispositivo.
• Se deben tomar medidas para prevenir y detectar malware en los dispositivos móviles.
• No se deben deshabilitar las medidas de seguridad de que disponen los dispositivos. Esto incluye, conseguir permisos de administrador, o permitir instalar software de fuentes no fiables.
• Se deben instalar siempre las últimas actualizaciones de seguridad de los programas y sistemas operativos.
• Se deben desactivar las conexiones inalámbricas que no se utilicen como el Bluetooth, Wi-Fi o NFC.

Al finalizar el trabajo, y aunque algunos consejos puedan parecer excesivos, se deberán aplicar estas medidas según la criticidad del equipo y su acceso por parte de otros usuarios:

• Cerrar todas las conexiones con servidores y páginas web utilizando cuando sea posible la opción “desconectar” o “cerrar sesión”.
• Eliminar información temporal prestando especial atención a la carpeta de descargas, papelera de reciclaje, o posibles carpetas perdidas que se dejen en “Mis documentos”.
• Utilizar herramientas de borrado seguro para eliminar los ficheros en caso de información sensible o especialmente confidencial.
• Si se han utilizado certificados digitales, estos deben ser borrados de forma segura.
• Asegurarse de retirar cualquier memoria USB, CD o DVD que se haya utilizado en el equipo.
• Borrar el histórico de navegación, así como las cookies, y otros datos del navegador web, prestando especial atención a las contraseñas recordadas.

 

Seguridad en el puesto de trabajo

El Centro de Seguridad TIC de la Comunidad Valenciana ha elaborado este decálogo (+1) de recomendaciones fundamentales:

 

BLOQUEA LA SESIÓN
Cuando abandones tu puesto de trabajo recuerda bloquear el equipo. De esta forma evitarás que nadie pueda acceder a él durante tu ausencia. Además es recomendable activar el bloqueo automático desde la configuración del protector de pantalla

 

MANTÉN EL PUESTO DE TRABAJO DESPEJADO
Nunca dejes encima de la mesa de trabajo información sensible que pueda ser vista por otras personas.

 

CIFRA LA INFORMACIÓN CONFIDENCIAL
Para la información confidencial utiliza una partición o un directorio cifrado que garantice su seguridad y confidencialidad.

 

GESTIONA DE FORMA SEGURA TUS CONTRASEÑAS
Utiliza contraseñas que contengan minúsculas, mayúsculas, signos de puntuación, símbolos y ocho o más caracteres. También debes cambiarlas periódicamente. Para recordarlas haz uso de los gestores de contraseñas, y nunca facilites a nadie tus datos de acceso.
Uso de gestores de contraseñas.

 

CIFRA LOS MENSAJES DE CORREO ELECTRÓNICO
Al enviar por correo electrónico información confidencial o especialmente sensible, debes cifrar el mensaje.
Microcurso sobre seguridad en el correo electrónico.

 

MANTÉN EL EQUIPO ACTUALIZADO
Es importante que mantengas en todo momento actualizado el equipo, tanto las aplicaciones, especialmente el antivirus, como el sistema operativo.

 

HAZ COPIA DE LA INFORMACIÓN
Para evitar posibles pérdidas de información es recomendable realizar copias de seguridad periódicas de los datos.

 

ELIMINA LOS METADATOS
Si vas a enviar o publicar un documento es importante que antes borres los metadatos ya que pueden contener información oculta. En las propiedades del documento puedes ver la información que se almacena.
La importancia de los metadatos.

 

NAVEGA SEGURO
Para navegar seguro debes comprobar que las páginas en las que introduces contraseñas o datos personales, son páginas de confianza, van cifradas (https) y disponen de certificados de seguridad.
Navegación segura.

 

UTILIZA UNA CUENTA DE USUARIO ESTÁNDAR
Evita utilizar la cuenta de administrador para las tareas habituales. De esta manera será más difícil que puedan comprometerte el equipo y protegerás la configuración en general

 

+1

MANTENTE INFORMADO CON EL CSIRT-CV. ¡CUENTA CON NOSOTROS!

En CSIRT-CV publicamos todos los días las noticias más relevantes en materia de seguridad. Además puedes seguirnos en Facebook y en Twitter para enterarte de las últimas novedades y consejos que publiquemos.

Seguridad en el puesto de trabajo, formato PDF.

 

CSIRT-CV

 

 

Guías de securización para dispositivos móviles (Android, iPad y iPhone)

Guías publicadas por el CCN-CERT.

«Se trata de tres extensas guías en las que se detallan los problemas de seguridad que pueden tener estos dispositivos complejos junto con las salvaguardas que se deben aplicar para poder utilizarlos con garantías. No está de más recordar que muchos atacantes ya buscan estos vectores de entrada, debido al alto uso de los mismos y un cierto desconocimiento general. Existen redes que controlan miles de estos dispositivos infectados. El malware también está especializándose y ya es capaz de capturar códigos para confirmar transacciones online

 

CCN-STIC 453Seguridad en Dispositivos Móviles: Android.
Recomendaciones de seguridad para la configuración de dispositivos móviles basados en el sistema operativo Android versión 2.2, cuyo objetivo es proteger el propio dispositivo móvil, sus comunicaciones y la información y datos que gestiona y almacena.
162 págs., PDF, 7,6 MB.

 

CCN-STIC 454Seguridad en Dispositivos Móviles: iPad.
Recomendaciones de seguridad para la configuración de dispositivos móviles basados en el sistema operativo iOS versión 5.x, y en concreto para dispositivos móviles iPad de Apple, cuyo objetivo es proteger el propio dispositivo móvil, sus comunicaciones y la información y datos que gestiona y almacena.
180 págs., PDF, 9.7 MB.

 

CCN-STIC 455Seguridad en Dispositivos Móviles: iPhone.
Recomendaciones de seguridad para la configuración de dispositivos móviles basados en el sistema operativo iOS versión 5.x, y en concreto para dispositivos móviles iPhone de Apple, cuyo objetivo es proteger el propio dispositivo móvil, sus comunicaciones y la información y datos que gestiona y almacena.
210 págs., PDF, 12.7 MB.