solo para asegurarme
Overview
En la mayoría de los posts anteriores a éste, por no decir en todos, he expuesto técnicas que pueden comprometer la seguridad de dispositivos o servicios. Siempre con el objetivo de concienciar en la importancia de proporcionarles una seguridad adecuada. Por ello, creo que es de recibo, en esta ocasión, proporcionar algunos tips que nos puedan ayudar, sobre todo en el ámbito personal, a asegurar nuestros sistemas.
En muchas ocasiones se hace referencia al sentido común como una parte fundamental de la seguridad, pero como ya se ha ilustrado en anteriores posts, paradójicamente no es el más común de los sentidos, por lo que no está de más mostrar algunas medidas que nos aporten seguridad por diseño.
No es el objetivo de esta entrada ser una guía para la fortificación de sistemas, ya que éste es un campo muy extenso y difiere según el ámbito de aplicación o tecnología, pero sí apuntar ciertos aspectos y referencias que puedan ser de interés.
Como en muchas otras problemáticas, divide y vencerás. Para la implementación de la seguridad es importante separar las distintas cuestiones que nos permitan aplicar las soluciones adecuadas en cada punto. En el ámbito empresarial la tendencia actual es la de hablar de seguridad en profundidad o por capas, que nos permite afrontar distintas cuestiones de forma independiente.
En este post se ofrecerán distintas recomendaciones y se proporcionarán referencias que nos ayuden tanto para mejorar la seguridad de nuestros dispositivos como para concienciarnos sobre los aspectos básicos de seguridad.
Redes
Las redes se han convertido en uno de los factores más importantes, permiten conectar dispositivos a internet o entre ellos, mediante cable o de forma inalámbrica. Esta gran versatilidad y variedad de tecnologías pueden provocar que el perímetro no siempre está claramente definido. No obstante, es interesante que lo describamos, siempre que nos sea posible, para poder aplicar las medidas correctas en cada situación.
Firewall
El firewall es el elemento que protege la entrada de nuestra red, ya sea corporativa o personal.
Existen distintos tipos de firewall, pero en esta sección nos centraremos en los perimetrales, dejando los firewalls de endpoint para un posterior apartado.
Incluso los routers proporcionados por los operadores de telefonía que nos entregan al dar de alta una conexión de internet dispondrán, seguro, de funciones básicas de firewall. Es recomendable revisarlas y asegurarnos que no estamos exponiendo servicios a internet sin saberlo.
Si no disponemos del conocimiento técnico para realizarlo también podemos buscar nuestra ip pública en servicios como shodan, que nos indicaran qué servicios son visibles desde fuera de nuestro hogar o, al menos, los más comunes.
Wireless
Desde que hemos empezado a usar las tecnologías inalámbricas, en ocasiones puede que las ondas se extiendan fuera de los muros de nuestros hogares u oficinas. No es una mala práctica analizar cuál es el alcance de nuestras redes inalámbricas. Algunos puntos de acceso wifi disponen de la opción de bajar la potencia de la red con el fin de que ésta llegue solo donde sea necesario.
Por otro lado, es importante que nos aseguremos de que, al menos, estemos aplicando una clave WPA2 para el cifrado de nuestra clave WIFI, y que la clave no sea la que venía por defecto cuando lo instaló el operador. No estará de más apuntar que ésta ha de ser también lo suficientemente compleja.
También es importante que cambiemos el nombre de la WIFI, escojamos uno que no dé información personal nuestra.
Si vamos a usar WPS, cosa que desaconsejo, verificad que éste no está usando una versión vulnerable. Este sistema, aunque puede resultar muy práctico para añadir nuevos dispositivos a nuestra red inalámbrica, también ha sido ampliamente explotado para recuperar la clave de los sistemas WIFI. En muchas ocasiones está activo, aunque no se esté usando.
En casos en los que queramos aplicar un punto más de seguridad, podemos realizar un filtrado MAC en nuestro punto de acceso wifi. No es infalible ya que modificar la MAC es algo trivial, pero puede aportar una capa más de seguridad y podemos también configurar la red con el SSID “el nombre” como oculto. Como en el caso de la MAC no es una solución definitiva, pero puede que frustre algunos de los ataques que la red pueda sufrir.
VPN
Con las nuevas tecnologías y las opciones de movilidad actuales, el perímetro se desdibuja. Usamos dispositivos que disponen de su propia red o los usamos desde redes externas sobre las que no tenemos control, redes hostiles. En ambos casos es recomendado el uso de VPN. La VPN crea un túnel seguro para que nuestros datos estén protegidos en ambientes hostiles o desconocidos.
Existen soluciones para que la instalemos en nuestro hogar o comerciales, que nos proporcionaran un servidor seguro al que conectarnos. En el segundo caso será un servicio de pago, pero es importante para no terminar siendo nosotros el producto.
En este punto es importante también mencionar Tor, esta VPN es muy útil para ayudarnos a mantener el anonimato en la red, pero no aporta seguridad. Es muy importante que no la usemos para trasmitir datos personales o credenciales.
Detección de intrusiones
Monitorizar qué dispositivos están conectados a nuestra red puede ser una solución que nos prevenga de intrusiones.
Si disponemos de routers que nos permitan programar eventos, como es el caso de mikrotik, es posible crear un scrip que nos envíe un correo electrónico cuando se conecta un nuevo dispositivo a nuestra red.
También hay opciones comerciales como fing, que mediante un pequeño dispositivo conectado a nuestro router escaneará nuestra red interna indicándonos qué dispositivos están conectados y advirtiéndonos cuando se conecta uno nuevo.
Si tenemos ganas de trabajar un poco más lo podemos montar, por ejemplo, con una raspberry y suricata, un software de detección de intrusiones opensource. En este caso no detectaremos nuevos hosts, pero nos advertirá de ataques conocidos a nuestros dispositivos.
DNS seguros
Un elemento poco conocido son los servidores DNS filtrados, estos pueden ser usados tanto para protección antimalware como para el filtrado de contenidos.
Un ejemplo es quad9 que no resuelve las direcciones que se conoce están siendo usadas por malware.
También Cloudfare dispone de un servicio similar, en este caso con dos opciones, bloqueo de antimalware o bloqueo antimalware y contenido para adultos.
Otro interesante es OpenDNS. En este caso podemos definir los contenidos que queremos que no se resuelvan y nos proporciona, además, un panel de control con estadísticas básicas de nuestra navegación web y de las amenazas bloqueadas.
En todos los casos los servidores que nos proporcionan los servicios anteriormente mencionados se pueden configurar en nuestro router, por lo que aplicaran a toda nuestra red.
Una guía muy interesante, detallada y con un lenguaje apto para todos los públicos es la Guía para configurar tu router publicada por incibe. En ella se describen algunos de los puntos descritos en este post y se explica también como realizar, simplificadamente, algunas de las configuraciones más importantes.
Hosts
Como host entendemos nuestro equipo, nuestro disco de almacenamientos de datos, si este es de tipo NAS, nuestra tableta o teléfono móvil.
Hardering
El hardering se refiere al bastionado de los sistemas para que éstos sean resilientes a posibles ataques, normalmente con la aplicación de configuraciones recomendadas por los propios fabricantes.
A pesar de que es muy técnica y tal vez se desvié de la línea de este post, no puedo dejar de mencionar CIS, center for internet security, una buena referencia para el bastionado de nuestros sistemas o servicios. Allí encontraremos la información necesaria de qué ajustes son importantes para reforzar la seguridad de nuestros sistemas.
Otra referencia que podemos usar es owasp. Se trata de una comunidad online que vela por la seguridad de los sistemas de información. En su página encontraremos guías de buenas prácticas para la protección de nuestros sistemas.
Tampoco podemos descuidar incibe, organismo estatal que procura por la concienciación en ciberseguridad, entre otras cosas. Tal vez, de los que he listado, es el que dispone de más contenido enfocado a todos los públicos.
También es una buena práctica asegurarnos de que solo los servicios necesarios están activados en nuestros dispositivos, a menos servicios menor es la exposición y, por tanto, el riesgo.
Antivirus
El uso de antivirus es fundamental para el buen funcionamiento de nuestros dispositivos. Nos protegerá, como mínimo, de las amenazas ya conocidas.
Muchas de las soluciones de antivirus, al menos las comerciales, nos pueden proporcionar también firewall y otras protecciones endpoint. Siempre es interesante explorar las distintas opciones que nos proporcionan y activar todas las que necesitemos.
Explorador web
El explorador web es la ventana de nuestros sistemas al mundo exterior, internet. Por ello, es interesante aplicar algunas configuraciones que nos ayuden a que éste se ejecute de la forma más segura posible.
Una gran referencia, para reforzar la seguridad de nuestros exploradores web, es privacytools, donde encontraremos recomendaciones para distintos exploradores web, entre otras cosas.
Hay algunos addons, en el caso de Firefox y crome que nos pueden ser de utilidad, citaré solo los que creo imprescindibles:
.uBlock Origin- Esta extensión bloquea el contenido de las páginas web mientras estamos navegando. No únicamente los anuncios, cosa que resulta muy cómoda, sino también contenido de terceros.
.HTTPSEverywhere - Esta extensión cifrará automáticamente el contenido que no sea seguro.
Otro addon, aunque más drástico que los anteriores, es * NoScript* que bloqueará distintos tipos de ejecutable, como flash y javascript que se ejecutan en muchas páginas web, aportándonos una seguridad extra, aunque puede que interfiera en el funcionamiento de algunas páginas.
Datos
Los datos son casi siempre el activo más importante a proteger, aunque algunas veces los regalemos, como hemos visto en posts anteriores, debemos centrar nuestros esfuerzos en su protección.
Cifrado
En el ámbito personal podríamos poner como ejemplo los dispositivos móviles, los portátiles y las memorias usb.
El cifrado, en los casos expuestos a continuación, aportará protección mientras el dispositivo está apagado, antes de que se inicie el sistema.
Esta solución protegerá la información almacenada haciéndola inaccesible, si no se dispone la del sistema que lo descifre en teléfonos móviles, memorias usb, discos externos o equipos portátiles.
En estos pequeños dispositivos, que se pueden perder fácilmente, ya que los solemos llevar con nosotros a todas partes y en los que solemos almacenar toda nuestra vida, es recomendable aplicar este tipo de cifrados.
Cada dispositivo, según el fabricante o sistema operativo, dispondrá de un mecanismo de cifrado distinto. En windows , por ejemplo, se puede usar bitlocker, tanto para los equipos portátiles como para las memorias usb. Tanto los sistemas Linux como Apple disponen de su sistema.
Backup – pérdida de datos
Otra protección a tener en cuenta son las copias de seguridad, nos ahorraran más de un disgusto si éstas están bien aplicadas.
Hoy en día disponemos de distintas modalidades para nuestras copias de seguridad, podemos hacer uso de sistemas cloud o sistemas de almacenamiento local. Dependiendo del dispositivo con el que estemos trabajando aplicaremos una u otra.
Tanto si es por la pérdida de un dispositivo, error catastrófico del sistema o por causa de un ransoware, disponer de una copia de seguridad periódica nos asegurará que no perdamos nuestros datos.
Sistemas antirrobo
Muchos de los fabricantes de dispositivos móviles y también, algunos fabricantes de antivirus nos pueden proporcionar soluciones antirrobo.
Éstas suelen ser cuatro funciones:
Primera. La posibilidad de hacer sonar el dispositivo de forma remota. Mas aplicable cuando éste ha sido olvidado en alguna parte y no lo encontramos.
Segunda. La de poner un mensaje, en el bloqueo de la pantalla, donde se informa de que el dispositivo ha sido extraviado. Se puede hacer constar la manera de contactar con el propietario y lo que, también, puede ayudar es dar una recompensa a quién lo devuelva.
Tercera. Es un sistema de localización del dispositivo. Aunque, tecnológicamente es la más atractiva y la que más seguridad nos pueda proporcionar, puede resultar bastante frustrante seguir este tipo de balizas por la ciudad.
Cuarta: La última, y para mí la más adecuada, es el borrado remoto que, como en el punto anterior, protege la información, aunque no el dispositivo. Con ello eliminaríamos todos los datos del dispositivo y, en ocasiones, incluso es posible bloquearlo para que éste sea difícilmente utilizable.
Gestión de credenciales
El siguiente punto, a tener en cuenta, es la gestión de las credenciales. Muchas veces nos lamentamos de que los usuarios tienen el mal hábito de apuntar las contraseñas en un postit pegado a la pantalla, pero ¿estamos proporcionado alguna opción válida para que puedan almacenarlas? Es importante fomentar el uso de los gestores de contraseñas, tanto en el ámbito profesional como en el personal.
Los gestores de contraseñas, que nos permitan cumplir con dos de las recomendaciones que siempre hacemos los profesionales de la seguridad, esto es, por un lado, disponer de una credencial distinta para cada servicio que demos de alta y, por otro lado, que ésta sea lo suficientemente compleja.
También hay que pensar que, de momento, solo la strong authentication es la que nos puede proporcionar una seguridad aceptable. Ésta se basa en tres puntos, de los cuales se tienen que cumplir dos para que se considere segura. Los puntos a los que nos referimos son:
Algo que sabes- Contraseña o PIN.
Algo que tienes - tarjeta magnética, token.
Algo que eres - datos biométricos (huella dactilar, iris, voz)
Cada uno de los sistemas anteriores tiene sus fortalezas y sus debilidades, es por ello que la combinación de los mismos nos proporcionará una seguridad robusta.
Si no es posible hacer uso de la strong authentication, y sobre todo en plataformas online, que están expuestas 24x7 a todo el mundo, es importante que activemos las opciones de doble factor de autenticación. Con ello conseguiremos que, aunque en algún momento nuestras credenciales sean comprometidas, mantener la seguridad del servicio y en ocasiones ser advertidos.
Dentro de estos sistemas podemos encontrar distintas soluciones, como el uso de mensajes en el dispositivo móvil o con el uso de una clave temporal extra que podemos usar con aplicaciones como Google authenticator.
Concienciación
Los profesionales de la seguridad acostumbran a decir que los usuarios son el eslabón más frágil de la cadena de la seguridad. Una vez ya lo hemos identificado debemos ponerle remedio y, en caso de que no lo hagamos, la culpa puede que sea nuestra.
Aunque hayamos aplicado las medidas anteriormente mencionadas, es importante que tomemos conciencia de qué acciones realizamos con nuestros equipos y donde registramos nuestros datos.
Ya todos sabemos que, aunque las tecnologías nos aportan muchísimas facilidades, éstas pueden ser también el medio por el que se comprometan tanto nuestra intimidad como nuestra cartera. En internet, como en cualquier otra parte, hay gente que pretenda engañarnos para sacar partido.
Por lo expuesto anteriormente, está en nuestras manos aplicar medidas para mitigar los riesgos que comporta el uso de las tecnologías. No aplicarlos es ahora una irresponsabilidad y un riesgo que no es necesario asumir.
Hasta aquí el post de hoy. Espero haya sido de vuestro interés.
No dudéis en contactar mediante el formulario para hacerme llegar vuestros comentarios.