Guías de securización para dispositivos móviles (Android, iPad y iPhone)

Guías publicadas por el CCN-CERT.

«Se trata de tres extensas guías en las que se detallan los problemas de seguridad que pueden tener estos dispositivos complejos junto con las salvaguardas que se deben aplicar para poder utilizarlos con garantías. No está de más recordar que muchos atacantes ya buscan estos vectores de entrada, debido al alto uso de los mismos y un cierto desconocimiento general. Existen redes que controlan miles de estos dispositivos infectados. El malware también está especializándose y ya es capaz de capturar códigos para confirmar transacciones online

 

CCN-STIC 453Seguridad en Dispositivos Móviles: Android.
Recomendaciones de seguridad para la configuración de dispositivos móviles basados en el sistema operativo Android versión 2.2, cuyo objetivo es proteger el propio dispositivo móvil, sus comunicaciones y la información y datos que gestiona y almacena.
162 págs., PDF, 7,6 MB.

 

CCN-STIC 454Seguridad en Dispositivos Móviles: iPad.
Recomendaciones de seguridad para la configuración de dispositivos móviles basados en el sistema operativo iOS versión 5.x, y en concreto para dispositivos móviles iPad de Apple, cuyo objetivo es proteger el propio dispositivo móvil, sus comunicaciones y la información y datos que gestiona y almacena.
180 págs., PDF, 9.7 MB.

 

CCN-STIC 455Seguridad en Dispositivos Móviles: iPhone.
Recomendaciones de seguridad para la configuración de dispositivos móviles basados en el sistema operativo iOS versión 5.x, y en concreto para dispositivos móviles iPhone de Apple, cuyo objetivo es proteger el propio dispositivo móvil, sus comunicaciones y la información y datos que gestiona y almacena.
210 págs., PDF, 12.7 MB.

 

¿Utilizas contraseña en tus dispositivos móviles?

Un estudio de Norton by Symantec ha demostrado que una buena parte de los dispositivos móviles en Europa están desprotegidos.

«Pese a que una amplia mayoría de usuarios europeos reconocen que acceden y almacenan información privada en sus dispositivos, más de un tercio de ellos admite que no utiliza una contraseña especial para proteger dichos contenidos.»

«“Lo que muchos usuarios no suelen tener en cuenta es la enorme cantidad de información privada que puede quedar comprometida en caso de sufrir el robo o pérdida de su dispositivo. Teniendo en cuenta el carácter sensible de esta información, los usuarios tienen que poner en práctica una serie de sencillas recomendaciones para evitar ser víctimas del cibercrimen”

No se toman medidas de protección a pesar de que en caso de robo o pérdida se tendría acceso a correos electrónicos, documentos laborales, contraseñas de otras cuentas, imágenes y vídeos, movimientos bancarios, etc.

Protege tu móvil y portátil, OSI.

Recomendaciones para uso seguro de dispositivos móviles, INTECO, 20 págs., PDF, 1,5 MB.

Guía de buenas prácticas en el uso de dispositivos móviles corporativos, CSIRT-CV, 30 págs., 1,4 MB.

Los europeos no protegen sus dispositivos móviles, Computing.es, 23/4/2013.

 

 

¿Eres consciente de la información que compartes?

En general desconocemos que aparte de la información “visible” de nuestras fotos y documentos, existen otros datos que están incluidos en el fichero y que pueden ser fácilmente visibles por cualquier persona que tenga acceso a ellos. A esta información adicional se le llama metadatos y tiene una gran importancia, ya que permite catalogar, ordenar y clasificar nuestros archivos, pero también puede ser un riesgo para nuestra seguridad informática.

 

 

 

¿Qué información contienen nuestros ficheros?, Blog SI, 29/04/2012.

Para eliminar estos metadatos, os facilitamos una serie de enlaces de programas gratuitos que borran esta información, útil en ocasiones,  pero que puede comprometer nuestra seguridad si cae en manos de terceros.

 

 

 

Consejos a usuarios para proteger la privacidad online

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado el Estudio sobre la percepción de los usuarios acerca de su privacidad en Internet (74 págs, pdf, 601 KB), en el que se analizan cuestiones  como el tratamiento de imágenes e información personal en las redes sociales y buscadores y la estrecha relación entre identidad digital, reputación online y la protección de los datos personales.

El informe ofrece la siguiente batería de consejos:

«1) Lee las políticas de uso y privacidad de los diferentes servicios antes de utilizarlos.

2) Regístrate únicamente en aquellos sitios web en los que tengas confianza. Trata de que cuenten con protocolos seguros de intercambio de datos y asegúrate de que el sitio web dispone de una política de privacidad donde conste la identidad y dirección del responsable y la finalidad con la que se recaban los datos.

3) Reflexiona antes de publicar datos personales en Internet; una vez lo hagas es muy probable que queden fuera de tu control.

4) Configura las opciones de privacidad de tu perfil de manera adecuada. Valora qué información deseas revelar y controla quién puede acceder a ella.

5) Tan importante como proteger tu privacidad es respetar la de los demás. No publiques datos de terceras personas sin su consentimiento.

6) Controla tu lista de contactos y, antes de agregar a alguien, tómate tu tiempo para asegurarte de su confianza. Conoce quiénes son tus amigos en el mundo online.

7) Utiliza contraseñas robustas y seguras para que no te suplanten, que estén compuestas por ocho caracteres o más y contengan tanto letras como números, mayúsculas y minúsculas. Modifíca tu contraseña regularmente y en ningún caso la compartas.

8) Instala una herramientas antivirus y tenla debidamente actualizada, para evitar que puedan sustraerte tus claves y contraseñas mediante un programa malicioso (malware).

9) Comprende el alcance de las aplicaciones y utilidades antes de incorporarlos a tu uso (por ejemplo, el geoetiquetado). Evita publicar tu ubicación física en todo momento.

10) Infórmate sobre el uso de cookies, barras de búsquedas u otros servicios vinculados al perfil de usuario o al historial de navegación. Borra periódicamente los archivos temporales y las cookies de tu ordenador con objeto de evitar que se pueda realizar un rastreo de tu navegación, Recuerda que puedes configurar tu navegador web para evitar la grabación de las cookies en el equipo.

11) Sé consciente de tu reputación online. Valora la relevancia que puede tener ahora y en un futuro la información que publicas, ya que te acompañará toda tu vida.

12) Si crees que un determinado proveedor está ofreciendo indebidamente información sobre ti, ejerce tus derechos de acceso, rectificación, cancelación u oposición (ARCO) al tratamiento y solicita en su caso su retirada previo bloqueo de la misma.

13) Verifica, además, la desaparición de dicha información en los principales buscadores. Asegúrate de que no se encuentra indexada y, en su caso, ejerce tus derechos ARCO ante estos.

14) Es crucial que expliques tus hijos por qué es importante la privacidad, los riesgos relacionados con compartir información y ser responsable de lo que se envía.

15) Ofrece ayuda a tus hijos y genera un clima de confianza sin culpabilización, para que ante situaciones incómodas o molestas en Internet, acuda a su familia o profesores.»

Utiliza Dropbox con seguridad

En esta guía elaborada por CSIRT-CV se analiza:

– la configuración básica recomendada,
– el acceso concurrente desde diferentes dispositivos,
– las precauciones básicas a la hora de publicar información sensible o
– reflexiones sobre la privacidad de la información publicada.

Destacamos esta recomendación: «Para proteger nuestra información frente a ataques o empleados curiosos, debemos ser nosotros quienes cifremos nuestros datos antes de cargarlos en Dropbox. Para ello lo más comodo puede ser utilizar herramientas como TrueCrypt, o ficheros comprimidos con contraseñas robustas, con el inconveniente que cada vez que queramos acceder a un fichero hay que descifrarlo, y si queremos modificarlo, volverlo a cifrar y subirlo de nuevo.»

 

Guía de utilización segura de Dropbox, 11 págs., pdf, 590 KB.

 

‘La nube’, un reto para la seguridad corporativa

«Las empresas están experimentando la mayor transformación vista hasta la fecha. Como los dispositivos móviles y la nube proporcionan a los empleados acceso a la información desde, prácticamente, cualquier lugar, también estamos observando que la información confidencial están traspasando cada vez más los límites de las TI tradicionales. Esto, a su vez, está creando una serie de preocupaciones sobre cómo proteger esta información de la mejor manera».

 

En España, el 19% de la información corporativa se almacena en la nube, Computing.es, 28/11/2012.

«Según el Índice de la Información Digital de Symantec, la mitad de la información empresarial reside fuera del firewall; y la nube y la movilidad están impulsando el incremento descontrolado de la información.»

Todo lo que quiso saber del malware y nunca se atrevió a preguntar

 

¿Es lo mismo virus informático y malware?

Es un error habitual confundir ambos términos. En general, a todo el software malicioso (malware) se le suele denominar erróneamente virus, cuando un virus no deja de ser una de las muchas variantes de malware. Se suele denominar virus a aquel software que por su forma de propagarse se podría buscar similitud con los virus biológicos. Su forma de propagación es infectando programas “sanos”, tomar de alguna forma el control en su ejecución para poder seguir propagándose, infectando otros programas. Malware es la forma de denominar cualquier programa malicioso que pueda afectar de alguna forma a nuestro ordenador o a la seguridad de nuestros datos; una de sus variantes, como hemos dicho, serían los virus informáticos. Por tanto, lo correcto es decir que nuestro ordenador puede tener  malware y no virus informáticos, como es lo habitual.

Malware, Blog SI, 18 y 19/01/2012

 

¿Los sistemas operativos Mac y Linux pueden infectarse con malware?

No es raro escuchar de usuarios e incluso de algún que otro profesional del ramo afirmar que estos dos sistemas operativos no tienen virus, como puede tener Windows y aunque su afirmación no sea falsa, tampoco es totalmente cierto lo que afirman. Absolutamente todos los sistemas operativos actuales (Windows, Mac, Unix, Android, etc) son susceptibles de ser infectados por malware. La diferencia entre ellos es las variantes de ese malware. Si nos atenemos a los virus informáticos, por la arquitectura de los sistemas operativos “no Windows”, éstos protegen muchísimo más sus archivos de sistema, por lo que este tipo de propagación “vírica” es muy difícil. Sin embargo, dentro del malware hay muchas categorías (como pueden ser el phising, troyanos, bombas lógicas, etc.) y pueden infectar absolutamente a todos los sistemas operativos.

Por la cuota de mercado de los sistemas operativos anteriormente mencionados, la inmensa mayoría del malware es para plataformas Windows, ya que es posible con el mismo esfuerzo por parte de “los malos” llegar a un número de equipos muchísimo más grande, pero cada día es más habitual tener noticias sobre malware para el resto de plataformas.

 

¿Es necesario instalarse un antivirus en equipos Mac o Linux?

Esto suele ser una pregunta recurrente en el Servicio de Informática por parte de usuarios de estos sistemas operativos y la respuesta suele ser la misma. El malware que suele infectar estas plataformas suelen ser troyanos en su mayor parte y en estos casos somos los usuarios quienes nos instalamos el malware y proporcionamos el usuario y la contraseña necesaria para que nos infecte. Un antivirus puede paliar en parte la posibilidad de infección pero lo que no falla nunca es la sensatez. Este es el mejor antivirus y más adelante comentaremos como podemos evitar la inmensa mayoría de malware que circula por la red con un poquito de sentido común.

 

¿Qué es un troyano?

Como hemos comentado, se trata de una variedad de malware y que toma su nombre del famoso caballo de Troya de la mitología griega. Se trata de un programa, en principio inofensivo, que es o incorpora malware. Un ejemplo habitual es el famoso email de Correos en los que se nos pide ejecutar un programa para imprimir unas etiquetas para poder recoger un paquete en Correos que no han podido entregarnos. Al pensar que se trata realmente de un programa lícito, lo ejecutamos y le damos todos los permisos aunque realmente estamos instalando este malware en nuestro ordenador.

 

¿Cómo se suele infectar mi ordenador de malware?

La inmensa mayoría de las infecciones actualmente suelen venir por correo electrónico. Lo habitual es recibir un archivo adjunto (generalmente en formato zip al ser el estándar) y con un texto en el que se nos invita a abrirlo y ejecutarlo con los más peregrinos motivos, usando la ingeniería social para convencernos de la necesidad de su ejecución. Luego veremos que para otra variedad de malware, el phising, también se usa ese tipo de práctica, con resultados, desalentadoramente, muy efectivos.

Para saltarse que los antivirus perimetrales puedan eliminar este tipo de malware, algunos de  estos adjuntos vienen protegidos con contraseña, que casualmente viene incorporada en el texto del mensaje.

En otros casos, cada vez más numerosos, viene con programas “gratuitos”, tanto legales como no tan legales. Entre los primeros, generalmente programas gratuitos, hemos detectado que cuando se descargan de lugares como Softonic, incorporan malware denominado adware (o programas de publicidad)  que pueden cambiar nuestro buscador habitual, página de inicio, etc. aparte de llenar nuestros navegadores de barras de herramientas innecesarias que ralentizan en ocasiones la navegación habitual.
Si queremos descargarnos software gratuito legal, es más que recomendable descargarlo de la página web del autor y no de este tipo de “buscadores de software”. También es muy recomendable leer lo que se acepta cuando estamos instalando este tipo de programas.

En cuanto al software gratuito no legal (cracks, keygen, etc.), hay estudios que afirman que el 90% de este tipo de software tiene algún tipo de malware incluido, así que aparte de no ser legal, es muy peligroso para la seguridad de nuestro ordenador.

 

¿Cómo afecta el malware a nuestro ordenador?

Hace unos años los creadores de malware creaban este tipo de software para “hacer daño” o simplemente como broma pesada. De un tiempo a esta parte, las intenciones son más peligrosas ya que en muchos casos hay motivos económicos tras ellos. Desde el troyano que nos pide una cantidad de dinero para desencriptar la información de nuestro ordenador hasta el acceso a datos personales como contraseñas, datos bancarios, etc.

Por este motivo, mientras antes las consecuencias del malware eran fácilmente detectables, ya que se pretendía llamar la atención, ahora suelen ser muchas veces transparentes al usuario, por lo que hay que extremar la precaución.

Dependiendo del tipo de malware, las consecuencias en el rendimiento de nuestro ordenador pueden variar, pasando de un mal funcionamiento general del sistema, acceso a datos personales sin consentimiento, ralentizamiento de nuestros navegadores, etc. Como hemos comentado, lo más peligroso es el acceso a datos personales y en el que mayor empeño tendremos que poner para evitarlo.

 

¿Cómo se utiliza la ingeniería social en la infección por malware?

Se basa en la idea de que el eslabón débil de la seguridad informática es el propio usuario, de ahí su peligrosidad. La misión es engañar al usuario con el fin de conseguir datos personales como cuentas de correo o contraseñas.

Lo habitual en estos casos es suplantar a un organismo en el cual confiemos (la Universidad, un banco, el servicio de Correos, la Agencia Tributaria, las fuerzas del orden público, etc.) para pedirnos la contraseña de acceso con cualquier excusa. Con el fin de darle autenticidad, en algunos casos mimetizan la página o el estilo del organismo al que suplantan, aunque es relativamente sencillo descubrirlas ya que siempre tienen el mismo patrón y por lo tanto, con un poquito de sensatez podemos evitar caer.
Uno de los trucos habituales es suplantar las direcciones web. Un ejemplo de eso podría ser similar a este:

http://www.ejemploclasico.com

Si pinchamos veremos que nos lleva a la página oficial de la Universidad aunque visualmente parezca otra cosa. Así comprobamos que no podemos fiarnos de lo que ven nuestros ojos ya que es muy fácil engañarnos. Si situamos el cursor encima del enlace, podemos ver en la parte inferior que nos aparece una dirección totalmente diferente. En otros casos, intentan hacer un mínimo cambio en la dirección y que parezca real. Por ejemplo, esta dirección parece totalmente válida http://www.renta.es pero realmente nos lleva a una página totalmente distinta a la que inicialmente queremos acceder. Si un hacker comprara este dominio, podría confundir al usuario haciendo una página similar a la de la agencia tributaria http://www.aeat.es y pedirnos datos personales (que casi con toda seguridad daríamos si no detectáramos el engaño).

 

¿Qué datos deben llamarnos la atención en correos electrónicos sospechosos de ingeniería social?

En primer lugar, suelen ser correos destinados a nosotros pero casualmente, nunca utilizan nuestro nombre, apellidos, etc. sino que son textos estándar.

También es muy habitual solicitarnos datos personales para solucionarnos un grave problema. En este sentido, NINGÚN organismo oficial serio pedirá datos personales a través del correo electrónico, por lo que si pide esta serie de datos, casi tenemos la total seguridad de que se trata de un caso de phising.

Ante la menor duda, lo ideal es ponerse en contacto con dicho organismo o en nuestro caso, con el Servicio de Informática para preguntar si ese correo es o no verdadero, pero casi seguro que se trata de un engaño.

Si viene con adjuntos desconfiar siempre, sea como sea el adjunto. Hay formas de simular un archivo como un tipo inofensivo cuando realmente es un ejecutable.

Aunque lo habitual es simular ser el administrador de correo y que hay problemas con su cuenta de correo, pueden simular ser de Correos y que debe de imprimir una etiqueta, que le van a cargar una factura y que debe de ver si el importe es correcto, etc. La intención es engañarnos y que accedamos a ese enlace o ese adjunto que gentilmente nos ofrecen. DESCONFIAD SIEMPRE.

Aunque nos venga con una dirección de correo válida (de un amigo, oficial, etc.) es extremadamente sencillo trucar una dirección y por ello es habitual que recibamos correos electrónicos que en teoría hemos enviado nosotros.

En muchos casos puede alertarnos que el texto tenga una redacción deficiente. Tiene errores gramaticales graves, vocabulario incoherente, etc. Tened en cuenta de que este tipo de correos suele venir de países terceros por lo que “aprovechan” el texto y lo traducen para su utilización a nivel mundial. En cualquier caso, tened en cuenta que también hay personas en España que pueden simular esto, pero el patrón es el mismo.

Hay momentos en que somos más débiles como en épocas navideñas, en el que se envían muchos adjuntos inofensivos y simpáticos, en períodos de devolución de la renta, etc. También la curiosidad se utiliza y es habitual utilizar reclamos del tipo famos@s desnud@s, imagénes morbosas, etc. O cuando sucede alguna desgracia es habitual que alguien se ofrezca a mostrar cosas que no verás nunca en televisión. Y es cierto, nunca lo verás.

Nuevo ataque a correos electrónicos de la UA, Blog SI, 16/03/2012.

No has recibido un paquete postal, Blog SI, 27/09/2011.

La Policía Nacional no te convoca a la Audiencia por correo electrónico, Blog SI,29/06/2011.

 

¿Qué NO hacer ante correos electrónicos sospechosos?

Por supuesto, no se debe ejecutar directamente los adjuntos sin antes chequearlos con nuestro antivirus, siempre actualizado al día. Si nos piden datos personales y ante la menor duda, consultar antes de contestar. No hay que contestar NUNCA a los correos, aunque sea con datos falsos. Si la primera opción de los creadores de este tipo de correos es capturar contraseñas, la segunda es capturar direcciones de correos válidas. Si le contestamos tendrán la seguridad de que esa cuenta es válida y en uso, por lo que podrán utilizarla para hacer spam. Existe un mercado de cuentas de correos válidas y es una forma muy sencilla de capturarlas.
Vuelvo a recordar que nunca se os pedirán por correos contraseñas ni datos sensibles. Si tenéis algún problema con vuestro banco no se pondrá en contacto por correo sino por teléfono y lo mismo pasa con la Policía, la Universidad, etc. En lugar de aceptar los enlaces del correo, poneros en contacto tecleando la dirección en el navegador, vía buscador o si la conocemos, ponerla nosotros.

 

¿Hay algún antivirus 100% seguro?

NO. Hay que tened en cuenta que los antivirus siempre van detrás de los creadores de malware, ya que deben de analizar las trazas del malware para identificar de una manera segura evitando falsos positivos y eso lleva un tiempo, en algunos casos, de días. Durante ese tiempo, nuestro ordenador está totalmente indefenso ante ese malware y la única protección (y la mejor) es nuestro propio sentido común.

 

¿Cómo elimino un virus que ha infectado mi ordenador?

Se puede intentar con herramientas anti-malware gratuitas, antivirus on-line, etc. pero es imposible garantizar resultados. Puede resultar efectivo para el malware menos dañino (adware, spyware, etc.) pero no suele dar resultados óptimos en troyanos, virus, etc.  Si estamos infectados, nuestro antivirus tampoco suele ser de gran ayuda, por lo que recomendamos la limpieza con antivirus live, que son antivirus que se arrancan mediante cd y por lo tanto, accede a nuestro ordenador sin que ejecute este malware. De esta forma es mucho más sencillo su eliminación. En una entrada del blog ya recomendamos una serie de este tipo de antivirus totalmente gratuitos.

Los discos de arranque como antivirus de emergencia, Blog SI, 06/03/2012.

Antivirus online, Blog SI, 26/07/2012.

 

Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.

 

¿Sabes cómo securizar tu wifi?

 

Sophos Iberia ofrece una relación de 9 consejos para evitar problemas con nuestra red wifi doméstica. Conviene prestar atención a estos puntos:

1. Sentido común
2. Aprovecha los recursos
3. Bluetooth
4. Método de cifrado
5. Filtrado MAC
6. Contraseñas seguras
7. SSID
8. Ajustar la potencia del router
9. Wifi 3G compartida con móvil

 9 consejos para securizar tu wifi, 21/11/2012.

Crónica de un riesgo anunciado, conexiones Wifi inseguras, 28/11/2012.

Los riesgos de ‘la nube’: cesión de derechos, disponibilidad y confidencialidad

El diario El Mundo reflexiona, a partir de un artículo de The Verge,  sobre la cesión de derechos que asumimos cuando aceptamos las condiciones de uso de Google Drive y otros servicios de almacenamiento de ficheros en la nube.

Ojo con lo que subes a Google Drive… y en general a la ‘nube’, El Mundo, 25/04/2012.

Además de los riesgos sobre la cesión de derechos también es recomendable valorar la disponibilidad de estos servicios en el futuro y el grado de protección que ofrecen a nuestros datos. Reproducimos una serie de medidas encaminadas a asegurar la disponibilidad y la confidencialidad de los datos:

«- Evitar el envío de datos especialmente sensibles: fotografías estrictamente personales, contraseñas, números de cuenta y de tarjeta de crédito, dirección postal…

– Utilizar diferentes contraseñas en cada servicio. Elegir contraseñas que sea difíciles de averiguar y que, en la medida de lo posible, alternen letras y números. Si el servicio distingue mayúsculas y minúsculas en la contraseña utilizarlas en combinación y/o junto con caracteres especiales (!, #, @, %…)

– Cambiar la contraseña cada cierto tiempo, por ejemplo una vez al mes.

– Cifrar los documentos y la información importante con programas de encriptación. De este modo seguirán estando siempre disponibles, pero en general sólo podrán abrirlos las personas autorizadas.

– No revelar ni dar información sobre el nombre y tipo de servicios que se utilizan si no es necesario hacerlo.

– Renunciar al uso de este tipo de servicios para intercambiar datos esenciales o que no pueden o deben correr el riesgo de quedar expuestos a terceros.

– Quedarse siempre con una copia local. Algunos servicios permiten exportar los datos almacenados en distintos formatos dependiendo del tipo de información de la que se trate.

– Ser lo más escrupuloso posible a la hora de añadir contactos y de considerarlos “amigos”.

– Atenerse a las condiciones de uso de los servicios para evitar la cancelación de la cuenta y la consiguiente pérdida de lo almacenado.

– Optar por servicios reconocidos y establecidos, que gocen de cierta popularidad y confianza.

– Conocer las opciones de privacidad de los sitios dirigidos a compartir información con otros usuarios. Saber qué se comparte y con quien.

– En general, conocer el riesgo al que se está expuesto y tener previsto qué hacer y cómo continuar en caso de que en un momento dado no se pueda acceder a los datos, aunque sea de forma temporal.»

Servicios online en la nube: ventajas y riesgos, rtve.es

 

Condiciones del Servicio de Dropbox.

Contrato de servicios de Microsoft (Skydrive).

Condiciones de servicio de Google (Google Drive).

 

El fenómeno BYOD y la seguridad de las organizaciones

 

«Desde un punto de vista tecnológico, la pregunta más obvia es la de cómo podrán los usuarios acceder a las aplicaciones empresariales y a los datos y ficheros corporativos mediante sus dispositivos personales. Limitarse a instalar las aplicaciones directamente en el dispositivo plantearía graves riesgos de seguridad, privacidad y conformidad, problemas de gestión de licencias y complicaciones de soporte, además de restringir la práctica del programa BYOD a los dispositivos basados en Windows, dejando desatendidos otros dispositivos de consumo.»

Buenas prácticas para hacer que BYOD sea simple y seguro, Citrix (PDF, 10 págs. 314 KB, requiere registrarse previamente).

 

El 20% de las empresas reconoce haber perdido datos por el dispositivo móvil, Computing. es, 30/10/2012.

 

BYOD, cuando se utilizan dispositivos personales para fines laborales, Blog SI, 28/06/2012.

 

Sobre la seguridad en los navegadores

 

Hispasec ha publicado un interesante artículo sobre la seguridad en los navegadores más utilizados.

«Hoy nos encontramos ante lo que, a primera vista, se podría considerar una especie de paradoja en la aproximación a la seguridad en navegadores: el navegador con más fallos de seguridad y el más popular, es el más seguro. Sin embargo, se trata en realidad de una evolución natural que demuestra que lo importante es la protección, y no tanto las vulnerabilidades.»

«En definitiva, tenemos de nuevo que revisar parámetros establecidos. No importa tanto el número de vulnerabilidades y la cuota de uso ya no es excusa. Lo que importa es cómo se gestiona la seguridad a todos los niveles y sobre todo, reconocer que el software tendrá vulnerabilidades y ese factor no va a eliminarse nunca… lo necesario es centrarse principalmente en trabajar para que su impacto sea mínimo y que resulten endemoniadamente complejas de explotar… Ese ha sido el genial movimiento de Chrome.»

La paradoja de la seguridad  en los navegadores, Hispasec, 06/10/2012.

 

Como lectura complementaria recomendamos el  artículo publicado a raíz de que el gobierno alemán volviera a desaconsejar el uso de Internet Explorer:

Abandonar un programa por sus 0-days, Hispasec, 24/09/2012.

«Alemania lo ha vuelto a hacer: su gobierno desaconseja el uso de Internet Explorer después de descubrirse el grave fallo de seguridad que estaba siendo aprovechado por atacantes. No es la primera vez que lo hace y no siempre con este navegador. ¿Tiene fundamento su recomendación?»

 

 

 

¿Qué información contienen nuestros ficheros?

Hoy en día, prácticamente todos los usuarios de Internet a diario subimos o compartimos ficheros con amigos, compañeros de trabajo o incluso con personas totalmente desconocidas, por ejemplo, cuando subimos imágenes a redes sociales o documentos a un blog o página web. Sobre el contenido visible de esta información, se suele tener el control pero no es de esta información sobre la que vamos a tratar sino de esos datos que están incluidos en nuestros archivos pero que desconocemos que están ahí.

En general desconocemos que aparte de la información “visible” de nuestras fotos y documentos, existen otros datos que están incluidos en el fichero y que pueden ser fácilmente visibles por cualquier persona que tenga acceso a ellos. A esta información adicional se le llama metadatos y tiene una gran importancia, ya que permite catalogar, ordenar y clasificar nuestros archivos, pero también puede ser un riesgo para nuestra seguridad informática.

El problema puede surgir cuando esa información “sale” de nuestro control y llega a terceros. Por poner un ejemplo, la foto de nuestra mascota en casa realizada en un dispositivo móvil y subida a una red social, puede ser localizada con el Google Maps gracias a la longitud y latitud que puede venir incluida en dicha foto. Esto, que en la inmensa mayoría de los casos no tendría importancia, en ocasiones puede ser muy delicado. Continue reading “¿Qué información contienen nuestros ficheros?”

Máxima cautela en la custodia de las claves de acceso al correo

 

Algunos miembros de la comunidad universitaria están siendo víctimas de mensajes de correo fraudulentos y están facilitando sus datos de acceso al correo institucional. En pocas horas sus direcciones son utilizadas para el envío masivo de correo basura.

Recordamos que desde la UA nunca se van a solicitar estos datos por correo y que en general debe sospecharse de cualquier mensaje que requiera la comunicación de datos privados.

La captación de una cuenta institucional y su utilización por spammers puede ocasionar graves perjuicios al dominio @ua.es y por tanto afectar a la comunidad universitaria. Para minimizar el riesgo  se contempla la posibilidad de proceder al bloqueo de las cuentas que sean intervenidas por spammers.

Recomendamos la lectura detallada de las “Condiciones de uso del correo electrónico“:

2. «Las claves de acceso son para uso exclusivo del Usuario titular de las mismas y su custodia y correcta utilización son responsabilidad de aquel. Queda prohibido permitir su utilización a personas no autorizadas.»

3.1 (…) «La inobservancia de estas normas dará lugar a la cancelación de la cuenta de correo…»

3.3 «El correo electrónico es una herramienta para el intercambio de información entre personas, no un medio de difusión masiva e indiscriminada de información» (…)

4. Dirección electrónica y contraseña: «El usuario tomará todas las medidas oportunas para mantener su carácter confidencial.»

 

 

Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado el Informe anual 2011 del “Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles”.

Reproducimos los puntos claves del análisis:

«I MEDIDAS DE SEGURIDAD

En esta oleada se vuelve a confirmar el uso generalizado de las soluciones automatizables para mejorar la seguridad. Resultando así el antivirus y los cortafuegos las herramientas más utilizadas con un 91,6% y 76,7% respectivamente.

Se observa también una tendencia a prescindir de los programas anti-espía específicos, que han perdido 11 puntos porcentuales con respecto a 2010, situándose en cifras de uso similares a las del año 2006. Continue reading “Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles”

BYOD, cuando se utilizan dispositivos personales para fines laborales

 

Bring Your Own Device – BYOD

«Fortinet presenta los resultados de un estudio llevado a cabo para tratar a fondo el fenómeno del BYOD y sus implicaciones en la seguridad corporativa. Entre las principales conclusiones destaca el hecho de que los empleados consideran un privilegio poder utilizar sus propios dispositivos para trabajar, y les ayuda a ser más efectivos, pero también se sienten responsables de la seguridad de los mismos.»

«Según los responsables de Fortinet, las conclusiones del estudio ponen de manifiesto que el fenómeno BYOD está aquí para quedarse. En concreto, los datos de la encuesta apuntan que el 74% de los entrevistados utiliza sus dispositivos personales con fines laborales, un porcentaje que asciende al 81% en España.»

BYOD, un fenómeno que conlleva nuevos retos a la seguridad corporativa, CSO-España, 21/6/2012.

 

Fortinet: Censo 2012 de la Seguridad en Internet, Computing.es, 20/6/2012.

«Según el informe global de Fortinet, los trabajadores que forman parte del fenómeno BYOD plantean importantes retos en la seguridad corporativa, como lo demuestra el dato que el 36% de los encuestados ha infringido o infringiría la política de seguridad de su empresa sobre la prohibición del uso de dispositivos personales con fines laborales.»

 

Alfresco lanza servicio de gestión de contenidos en la nube, Diario TI, 02/07/2012.

«Según un estudio realizado por la consultora Forrester, más de un 50% de empleados llevan sus dispositivos personales al trabajo (BYOD). En este contexto, Alfresco ofrece una forma segura de trabajar con compañeros, socios, clientes y posibles clientes con el dispositivo que se elija. La empresa también ofrece 10GB de almacenamiento de manera gratuita en alfresco.com»

 

Especial BYOD. El BYOD (Bring Your Own Device), ¿es una realidad corporativa o una campaña de marketing de los proveedores TIC?, Computing. es, 19/07/2012.

 

El 35% de la fuerza laboral utilizará tecnología móvil en 2013, Computing.es, 23/01/2013.

 

Guías de seguridad para iPod, iPad e iOS

«S2 Grupo ha elaborado una guía de protección básica para iPad y iPhone extrayendo de las directrices de seguridad para iOS los aspectos que considera elementales para poder reforzar la protección de este tipo de dispositivos y minimizar los daños potenciales.»

«…manual sencillo en el que se detallan pormenorizadamente cada uno de los parámetros de su configuración que deben de ser ajustados para conseguir la mayor protección posible y así en caso de un problema de seguridad como puede ser robo, pérdida, hacking o difusión de malware, dificultar al máximo el acceso a la informan por parte de terceros o la infección del equipo.»

Guía de seguridad para el iPhone y el iPad, CSIRT-CV, 04/06/2012.

 

Apple

 

«La reputación de Apple de ser extremadamente reservados en cuanto a seguridad es tanta, que la mayoría de los aditamentos de seguridad que sus dispositivos llevan han sido descubiertos por investigadores por medio de ingeniería inversa.»

«La publicación del mes pasado explica la arquitectura del sistema operativo, el cifrado, la protección de datos, la seguridad en red y las características de acceso a los dispositivos y finalmente confirma que iOS utiliza el espacio de direcciones al azar para frustrar el código  malicioso y exploits.»

Apple publica guía de seguridad de iOS, CSIRT-CV, 06/06/2012.

 

Vídeo formativo sobre gestión de contraseñas

 

La OSI (Oficina de Seguridad del Internauta) ha publicado un interesante vídeo (43 min.) sobre la creación, utilización y gestión de las contraseñas.

 

[kml_flashembed movie="http://www.youtube.com/v/TDeKmByhOYg" width="425" height="350" wmode="transparent" /]

 

¿Cómo eliminar las contraseñas guardadas en el navegador?, BlogSI, 22/11/2011.

Creación y uso de contraseñas seguras, BlogSI, 22/07/2009.

 

Nuevo ataque a correos electrónicos de la UA

 

Reiteramos los consejos habituales:

No contestar nunca a estos mensajes y borrarlos inmediatamente.

No facilitar ningún dato de carácter personal o privado como contestación a correos de cualquier tipo.

– Si ya has contestado a uno de esos mensajes, entonces debes cambiar tu contraseña inmediatamente.

– En caso de duda, contactar con el CAU (965 90 93 93).

 

Recordamos que las consecuencias pueden afectar no sólo al usuario estafado sino al servicio de correo institucional de la UA.

 

Nunca envíes tu contraseña por e-mail.

 

 

Ataque de phising

 

 

 

Ataque de phising

 

 

Los discos de arranque como antivirus de emergencia

 

En muchas ocasiones nuestro ordenador se ha infectado de algún tipo de malware y nuestro antivirus no consigue eliminarlo. ¿Qué hacer? Nuestro primer recurso consiste en llamar al Servicio de Informática y pedir que nos resuelvan el problema pero… ¿y si tuviéramos una herramienta para intentar eliminarlo nosotros mismos y de una manera sencilla? Esta herramienta existe y se trata de los discos de arranque. Si reiniciamos nuestro ordenador con un disco de arranque se ejecutará un antivirus con el que podremos limpiar nuestro equipo. Continue reading “Los discos de arranque como antivirus de emergencia”

Malware (II)

 

Continuamos con la descripción de los distintos tipos de malware que comenzamos en la entrada anterior.

Keyloggers

Como casi todas las palabras informáticas, proviene del inglés: key (tecla) y logger (registrador). La función de un keylogger es capturar todas las pulsaciones del teclado y almacenarlas con el fin de enviarlas a una dirección de correo. En algunos casos y para mayor seguridad, almacena periódicamente volcados de la pantalla con el fin de saltarse la protección de los teclados virtuales.

Su misión principal es la Continue reading “Malware (II)”

Malware (I)

Antes de comenzar a hablar sobre este amplísimo tema, que dividiremos en dos entradas, nos gustaría explicar un poco el motivo que nos ha llevado a tratarlo.

Todo el mundo que use habitualmente un ordenador se puede ver afectado de una u otra forma por alguna de las muchas variedades de malware que existen. Parece ser que es ya algo inherente a la informática y que vista la evolución en estos últimos años, no incita mucho al optimismo que esto vaya a dejar de ser así.

En contra de lo que se ha ido diciendo en multitud de sitios durante muchos años, incluso por profesionales reputados del sector, TODOS los ordenadores, sea cual sea su sistema operativo, están en riesgo de ser infectado por uno de los tipos de malware que vamos a explicar en esta serie de artículos. Ahora bien, los usuarios de los sistemas operativos que afirman que Windows es la plataforma con más virus potenciales y con un nivel de seguridad inferior al resto tienen toda la razón, pero no se pueden confiar porque aunque en menor cantidad y variedad, sus ordenadores también pueden ser infectados. Por esta razón es más que conveniente saber cómo pueden infectarse nuestros equipos y la mejor manera de evitarlo.

Una vez dicho esto, vamos a intentar explicar cada una de las variedades de malware, a qué plataformas les puede afectar y en mayor o menor medida, cómo podemos evitar dicha infección. Continue reading “Malware (I)”

Videoblogueros y seguridad en internet

 

La Oficina de Seguridad del Internauta convoca a cuatro videoblogueros para concienciar sobre los peligros a los que nos enfrentamos en la red:

– «Viajando con Diego explica su experiencia con fraudes bancarios online e intentos de phishing, al ser un viajero frecuente que vigila con atención el uso de las tarjetas de crédito.»

– «B a la moda, como conocida bloguera de moda, expone los riesgos de sufrir una suplantación de identidad y cómo actuar si eso ocurre.»

– «Ginatost, expone su vivencia con la privacidad en redes sociales.»

– «Juan Domingo Farnós, como profesor TIC explica de forma didáctica los peligros de las nuevas tecnologías, y cuenta su experiencia con los virus y cómo prevenirlos.

 

Almacenamiento en la nube y cifrado de datos

 

«Los expertos consideran que los sistemas de protección de los servicios de almacenamiento en nube no son totalmente seguros ni están bien explicados. Por ello, se recomienda a los usuarios y a las empresas utilizar sistemas de encriptación para sus documentos.»
La seguridad del almacenamiento en nube, en entredicho por los expertos, CSIRT-CV, 24/11/2011

 

 

Al hilo de esta noticia queremos recordar a nuestros usuarios las recomendaciones que ya hicimos en mayo y ofrecerles un recurso para aprender a cifrar los archivos:

 

«La solución para asegurar nuestros datos es cifrarlos localmente (en nuestro equipo) a la hora de subirlos por ejemplo a Dropbox, o confiar en servicios alternativos como SpiderOak o Wuala. En cualquier caso, por lo comentado anteriormente, desde el Servicio de Informática no recomendamos el uso de estos programas para datos sensibles o de carácter confidencial, con el fin de no vulnerar la ley de protección de datos. Sí puede ser una herramienta interesante para uso personal.»

Almacenamiento de nuestros ficheros en “la  nube”, Blog SI, 18/05/2011.

 

«¿Sabías que existen herramientas que te permiten cifrar tus documentos, fotos, vídeos… que tienes almacenadas en el ordenador?
Estas herramientas, conocidas como «codificadores», están creadas para que toda la información que tú consideres importante, privada y/o confidencial la puedas cifrar de tal forma, que si alguien intenta acceder a dicha información, no pueda entender su contenido.»

Aprendiendo a cifrar los archivos del ordenador, Oficina de Seguridad del Internauta (OSI), 31/10/2011.

 

Programas recomendados por el Servicio de Informática: Utilidades (Omziff, EncryptOnClick).

 

¿Conoces los microcursos sobre seguridad del CSIRT-CV?

 

«CSIRT-cv ha puesto en marcha a través de SAPS?, la plataforma de formación online de la Generalitat, una serie de microcursos gratuitos relacionados con la Seguridad Informática. Mensualmente se publica un nuevo microcurso enfocado a un tema concreto y destinado a mostrar las diferentes amenazas y peligros presentes en Internet y las medidas que pueden tomar los usuarios para minimizar estos riesgos.

Es posible acceder a nuevas ediciones de microcursos publicados con anterioridad, ya que cada uno de ellos estará disponible durante varios meses.»

Cursos sobre malware, navegación segura, seguridad en el correo, en las compras online, en las redes sociales, en dispositivos portátiles, móviles, smartphones y PDAs, en internet para menores, en redes P2P y delitos tecnológicos.

Aprende a usar tu sentido común en internet

 

La Oficina de Seguridad del Internauta (OSI) lanza dos campañas de sensibilización sobre el uso seguro de internet: «Tu sentido común» y «Pienso, luego clico» (dirigida a usuarios más jóvenes).

«En «Tu sentido común» los internautas podréis encontrar un decálogo sobre seguridad, un test para medir el uso que hacen del sentido común en Internet, cómics sobre seguridad y muchas otras novedades que os harán hacer del sentido común el más común de los sentidos. Twitter y Facebook darán cuenta de la información de esta campaña.»

 

 

Campaña Tu sentido común

 

El decálogo del sentido común en internet no es muy distinto del que aplicarías en tu vida cotidiana :

1. Las apariencias engañan y los disfraces más (cuidado con el fraude on-line).

2. No cuentes a tu portera que odias a tu jefe (¿qué publicas en las redes sociales?).

3. Confiar en que tu perro cierre con llave al salir no es muy aconsejable (¿utilizas herramientas de seguridad?).

4. No todos los maduritos con canas son muy interesantes (¿qué contienen los ficheros que descargas?).

5. No dejes tu diario abierto en una cafetería (¿cómo utilizas tus dispositivos móviles?).

6. Desengáñate, recórcholis no es una palabra de moda (¿actualizas el software de tus equipos?).

7. No digas a tu abuela que vas a pecar cuando vas a pescar (¿compruebas las páginas para hacer compras seguras?).

8. El gorro te queda muy mono… pero en moto, mejor un casco (¿de verdad que haces una navegación segura?).

9. Por muchas pasas que tomes no tendrás memoria de elefante (¿eres meticuloso con las copias de seguridad?).

10. Un chaleco de ganchillo no detiene balas (una contraseña débil no te protege).

 

 

 

 

No has recibido un paquete postal

 

Numerosos usuarios de la UA están recibiendo un mensaje de correo sobre la supuesta recepción de un paquete postal. Jamás debe descargarse y ejecutar el fichero adjunto, ya que se trata de un nuevo ataque para la propagación un virus.

 

Supuesta entrega de un paquete postal

Nuevo ataque de virus por medio del correo, Blog SI, 10/05/2010.

Si desconoces al remitente o no esperabas ese correo… no debes abrir el fichero adjunto, Blog SI, 10/07/2009.


 


Antivirus online

En muchas ocasiones, aun teniendo un antivirus instalado y perfectamente actualizado, puede ser que tengamos serias dudas de si nuestro ordenador pueda estar infectado con algún tipo de malware. Existen virus que “se ocultan” ante el antivirus instalado haciendo creer al usuario que está totalmente limpio de malware su ordenador.

Para resolver esta duda tenemos dos opciones. Continue reading “Antivirus online”

Ataque a correos electrónicos de la UA

Usuarios de correo electrónico de la UA han recibido mensajes con el asunto “Estimado usuario Webmail” o “Verifique su cuenta de correo electrónico UA”.

Es un ataque de phising y se solicita NO CONTESTAR DICHO MENSAJE Y BORRARLO.

Se recomienda hacer lo mismo en todos aquellos casos en los que se soliciten datos de carácter personal o privado.

Servicio de Informática

Aviso importante sobre mensajes de correo fraudulentos, Blog SI, 04/03/2011.

Miembros de la UA facilitan sus contraseñas mediante engaño, Blog SI, 03/03/2011.


 

Verifique su cuenta de correo electrónico UA-Ejemplo de ataque

Estimado usuario Webmail-Ejemplo de ataque

Precaución en el uso de redes wifi de hoteles, aeropuertos, cafeterías…

Interesante artículo publicado por CSIRT-CV.

«Con el inicio de la época estival debemos tener especial cuidado con las redes wifi públicas que utilicemos (en hoteles, aeropuertos, cafeterías, restaurantes e incluso aparcamientos) puesto que pueden utilizarse para sustraer datos personales de navegación. Debemos ser cautos con los puntos de acceso utilizados y acceder a portales que incluyan datos personales mediante acceso seguro o httpS.»

El robo de información mediante Wi-Phishing prolifera durante el verano, CSIRT-CV, 28/06/2011.