Seguridad Informática en Casa: 5 Recomendaciones básicas

Posted in Informática e Internet on 24 noviembre, 2011 by Jaime IT Pro

 

Por Fausto Cepeda

MI COMENTARIO:

ESPERO LES SEA INTERESANTE MIS QUERIDOS 2 LECTORES ESTE INTERESANTE ARTICULO SOBRE SEGURIDAD .

Ok, tienes una computadora en casa y deseas tenerla segura. ¿Qué recomendaciones deberías de seguir para mantenerte fuera de problemas? Parto del supuesto que estás usando Windows (pero mucho de lo que digo aplica a otros operativos también).

Manos a la obra. Dividí este post en 2 partes. La primera de ellas tiene 5 recomendaciones y considero que son las básicas por si te da flojera llevar a cabo el resto de las sugerencias. Obvio que entre más consejos sigas estarás incrementando tu seguridad. Revisa todas y decide cuáles podrías seguir.

Hacking Mx

¡Ah sí! Menciono varios productos. No a todos les puse ligas. Usa Google y llegarás a ellos.

Básica 1: Actualizar sistema operativo y sus aplicaciones

Cualquier sistema operativo va a requerir actualizarse y tiene mecanismos automáticos para llevar a cabo esta tarea. Asegúrate de activarlos; no cuesta dinero porque esta funcionalidad ya viene integrada (búscala en tu Panel de Control).

Por otro lado, las aplicaciones que instalas también van a requerir su manita de gato y varias de ellas no proveen actualizaciones automáticas. Adobe Reader, Flash Player, Office o Java JRE son algunos ejemplos de lo que tendrías que estar actualizando casi cada mes. El PSI de Secunia te puede ayudar a detectar las aplicaciones que necesitan un update.

Básica 2: Suite de seguridad

Contar con un antivirus, firewall personal y un detector de intrusos es fundamental. Puedes pagar por una suite de seguridad que integre estas herramientas (cuesta alrededor de 700 pesos). O puedes buscar algunas gratuitas. Antivirus como Avast o Microsoft Security Essentials te pueden servir. Comodo tiene su firewall personal gratuito.

Básica 3: Sesión de Usuario

Cerciórate de que estás iniciando sesión como usuario y no como administrador del sistema. Trabaja el día a día en tu compu como usuario y sólo cuando lo requieras sé administrador.

Básica 4: Usa tu criterio e Investiga

¿Eres de los que entra a cuanta página se le antoja porque recibiste el link vía correo/twitter/facebook? ¿Visitas sitios XXX tal vez? ¿Instalas cuanta cosa te late al ir navegando? Bien. ¿Y desde esa misma computadora ingresas a la banca en línea y tecleas los passwords de tus sitios favoritos? Tendremos un problema.

No voy a decirte que no abras adjuntos sospechosos, porque yo soy el primero en criticar estas recomendaciones vagas y absurdas (¿cómo sabría un usuario que algo es sospechoso??).

La sugerencia sería que te mantuvieras atento (por ejemplo leyendo este tipo de blogs o googleando/preguntando algo que no sepas). Usar el sentido común (¿de verdad el hijo del rey de Nigeria te dará dinero si lo ayudas a sacar un dinero de su país?) y sé escéptico (¿en serio tu Banco te dice que si no haces click en esa liga te cancelarán la cuenta? Investiga con tu Banco la veracidad de ese correo).

No hay dinero regalado ni offline ni en Internet. Los atacantes tratarán de que hagas click o visites esa página a como dé lugar.

Y si nuestro sentido común falla (después de todo no somos expertos en seguridad ni debemos de serlo), pues aquí están estas recomendaciones de este post que te podrán ayudar a protegerte (y enfatizo “ayudar”; ningún control tecnológico evitará que pongas por propia voluntad el password de tu Banco en una página maliciosa).

Básica 5: Respalda

El post original contenía sólo las cuatro recomendaciones básicas arriba enlistadas y este de “Respaldo” iba a estar como no-básica. Pero caramba, finalmente los archivos (fotos, música, documentos relevantes) son los que dan vida a un sistema, no crees? Así es que entra como básica: respalda.

Yo sugiero el respaldo tipo 1-2-3. Una copia del respaldo offiste. Usando dos diferentes medios (ej: disco duro y DVD). Tres copias de esos respaldos.

Puedes hacer respaldos mensuales en CD o DVD; tal vez en discos duros externos. Puedes usar la nube ahora que está de moda (Carbonite ofrece respaldos automáticos para varias plataformas y usa nube).

Usa el esquema y servicio que más te agrade PERO respalda. Respalda, respalda, respalda. Y que sea frecuente.

El Resto de las Recomendaciones son:

SandBox: la tendencia es que las aplicaciones incorporen una sandbox por default. Las últimas versiones de Chrome lo hacen; Adobe Reader también. Es mejor preferir este tipo de aplicaciones o ahí están productos como SandBoxIE que hacen el trabajo en la aplicación que desees. Una sandbox dificultará un ataque; cuando te manden un exploit le habrás dado una pastilla azul al malware y no dañará tu sistema principal.

WPA2: pensé en poner esta medida como básica, pero ya eran muchas básicas, no crees? En fin, en casa hay que activar el protocolo WPA o mejor el WPA2. Un amigo me comentó que su vecina estaba ofreciendo acceso a Internet a mitad de precio. ¿De dónde crees que “toma” la señal para venderla? Nota: el protocolo WEP “seguro” no es seguro y pueden entrar en tu red inalámbrica en menos de 5 minutos.

Si no sabes bien cómo habilitar WPA2 en tu ruteador inalámbrico en casa, llama a soporte técnico de tu proveedor para recibir ayuda. Por ejemplo, el Wii, tu iPhone y iPad soportan este protocolo.

Navegación Inteligente: los ataques se centran en Internet Explorer. Luego entonces, usa mejor el Chrome que de hecho tiene una sandbox. O FireFox.

Recomiendo usar el NoScript (o equivalentes). Es un add-on que impide la ejecución de scripts en el navegador; te salvará de más de un problema. Grabémonos esto: los scripts son nuestros enemigos.

Y hablando de add-ons, está el Certificate Patrol que estará al pendiente de tus certificados y alertará de cambios sospechosos. Útil en esta época en que las autoridades certificadoras se tambalean y donde algunas de ellas perdieron nuestra confianza (y precisamente lo que venden es confianza).

Sí, la navegación por Internet se ha vuelto un verdadero paseo por la jungla. Una sugerencia engorrosa pero que te dará un nivel adicional de seguridad es navegar con una máquina virtual. Existen productos gratuitos como VirtualBox, Virtual PC o VMWare Player que te darán la capacidad de montar un sistema operativo “independiente” en tu sistema. Ya que lo instales, puedes arrancar un Linux por ejemplo (Ubuntu, FreeBSD o Linux Mint son buenas opciones). Y ahora sí, desde tu máquina virtual entrar a esa liga que te mandó “el amigo del amigo” o visitar ese tipo de sitios que sabes que te pueden instalar mugre y media sin que te des cuenta. Prueba este esquema de navegación.

También podrías considerar tener un UTM casero (Unified Threat Management) como el que ofrece Astaro (hasta ahora gratuito). O equivalentes. Te dará más protección al navegar, en tu correo y en tu red de casa. Los UTM tratan de darte una seguridad más “integral”.

Por último. ¿Quieres anonimato al navegar? Usa TOR, o como yo le digo: el Ruteador Cebolla. En lo personal ligo mucho esto de la navegación anónima con actividades poco honorables; asegúrate que usas anonimato para algo que valga la pena y no para andar haciendo porquerías. Gracias.

Cifrado de Datos: he escuchado a varias personas decir “pero si en mi compu no tengo nada realmente importante que alguien más quisiera”. Mi respuesta es: “ok, me permites hacer una copia de tu disco duro para llevármela y quedármela?” La respuesta es: “claro que no, tengo fotos personales y ahora que lo recuerdo, a ti qué te importa??”

En fin. Puedes usar TrueCrypt para cifrar tu disco duro entero o parte de él. También lo puedes usar para cifrar tus USB. Hablando de USB, existe un buen software de cifrado llamado Rohos Mini Drive especializado en cifrar dispositivos USB.

Ahora bien, si lo que te interesa es intercambiar correos cifrados, puedes usar opciones gratuitas como OpenPGP o GnuPG. Y una opción más simple y sin costo: HushMail que ofrece proteger tus correos al mismo tiempo que mantiene una interfaz web tipo GMail/HotMail fácil de usar.

Nota: si eres de los que consideran que “no hay nada importante en mi compu” te recuerdo que aun así existe el riesgo de que la conviertan en zombie.

Passwords: hace poco escribí un post de cómo crear contraseñas robustas pero fáciles de recordar. En resumen: personas pueden adivinar tu contraseña. Y si no, ahí están las computadoras para probar N posibles contraseñas hasta que lo logren. Sugerencia: usa contraseñas diferentes para cada sitio/servicio y que sean difíciles de hackear (pero fáciles de recordar).

Puedes usar apps gratuitas para administrar tus passwords. LastPass es una de mis favoritas, úsala y seguro te quedarás con ella.

Hablando de passwords, los servicios online tienen una opción de recuperar tu password en caso de olvido; asegúrate de que las preguntas/respuestas que hiciste sean algo que sólo tu podrías contestar. En medio de una pelea épica, tu compañer@ sentimental podría tratar de hacerse pasar por ti e intentar recuperar tu contraseña; ya le pasó a Palin, por ejemplo (aquí la motivación fue política).

Banca en Línea: prefiere que tu Banco te dé un token para entrar a su sitio (un token es un aparato que te provee de una nueva contraseña –dinámica- cada vez que entras al portal). Existe malware muy especializado cuya finalidad es robar tus credenciales de acceso (username + password estático) y quitarte tu dinero. Ejemplos abundan y constantemente salen nuevas versiones más complejas y difíciles de detectar/erradicar.

El token no es el fin de la historia. Debes fijarte en tener un sistema limpio para poder tranquilamente entrar en tu sesión de banca en línea. Una de las mejores maneras que he encontrado es usar un LiveCD de Linux (por ejemplo Ubuntu) y bootear tu sistema desde ese CD, arrancar FireFox y adelante con tu banca en línea. “Pero qué flojera hacer todo eso para una inche sesión con tu Banco”…ok, no hay problema. Es tu dinero, tú decides. Esta sugerencia te da un sistema limpio cada vez que booteas (sin que instales nada), y si agregas que la gran gran mayoría del malware está enfocado en Windows…ahí lo tienes!

Almacenamiento en la Nube. DropBox y el iCloud son servicios de almacenamiento de documentos en la nube. No son muy seguros pero entiendo que si pones ahí las fotos de tu perro o un trabajo de la escuela pues no tienes de qué preocuparte. Pero si vas a poner ahí la foto del IFE escaneada o documentos corporativos relevantes, es mejor que uses opciones más seguras. Wuala o JungleDisk aplican el PIE (Pre Intnernet Encryption) lo que significa que automáticamente tus datos se cifran en tu sistema y salen así a la nube. Tú mantienes el control, no la nube.

Sistemas Operativos. Sé que dije que me enfocaría en Windows pero me fue irresistible hablar de este punto y además es a manera de conclusión de este largo y aburrido post.

Finalizaré diciendo que todos los sistemas operativos son inseguros instalados como vienen de fábrica (la gran mayoría de los fabricantes quieren que tengas un sistema funcional lleno de maravillosas monerías y no realmente un operativo seguro y restringido).

Sin embargo a todos ellos se les puede endurecer (hardening) para fortalecerlos. Bien configurados, bien administrados y bien usados no hay operativos mejores ni peores. Sin embargo considero que un buen operativo seguro “de fábrica” es FreeBSD. He de confesar que no lo uso del diario…para eso tengo el poderoso y limpio OSX.

Eso es todo. Y claro, te invito a compartir lo que tú haces para mantenerte fuera de problemas.

Fuente: http://hacking.mx/

Anuncios

Ventajas y Desventajas de Utilizar Software Pirata (Infografía de Microsoft)

Posted in Informática e Internet on 18 noviembre, 2011 by Jaime IT Pro

 

Microsoft Publico un Infografía de las ventajas y desventajas de usar software Pirata Vs Software genuino.

Infographic-SoftwarePirata_WEB1

Pasos Para Mantener Una Larga vida a La Batería De Tu Laptop.

Posted in Informática e Internet on 30 septiembre, 2011 by Jaime IT Pro

 

1. Cerrar todos los programas abiertos.

2. Conectar el equipo a la corriente y dejar que cargue por completo.

3. Cuando está completa la carga, desconectar el adaptador de corriente y apagar o reiniciar el dispositivo.

4. Descargar la computadora en su totalidad, dejando que se agote la carga por sí sola. Es importante no usarla durante este proceso. Para que sea más rápido, selecciona el plan de energía de alto rendimiento o alguna opción similar en tu PC.

5. Cuando esté completamente drenada, reconectar el cargador.

6. Cargar la batería, hasta que el indicador de pila marque que se ha terminado el proceso por completo.

No olvides regresar al plan de energía que previamente tenías seleccionado.

Este proceso es fácil de hacer y no te tomará más que un par de horas. Si lo realizas desde la fecha de compra de tu equipo, asegurarás una vida más larga al acumulador y lo mejor es que no tendrás que comprar otro en un buen tiempo. Recuerda que la mayoría de pilas para computadora tienen un costo arriba de los mil pesos.

Espero que esta información sea de utilidad. Si conoces alguna otra forma de dar cuidado a la batería te invito a que la compartas. Recuerda que siempre es bueno proteger una inversión, ¡a cuidar nuestras laptop!

Fuente: Wikipedia

Battery University

Cuidadoso phishing en Skype

Posted in Informática e Internet on 26 septiembre, 2011 by Jaime IT Pro

 

Septiembre 26, 2011 3:12 pm

Comenzamos la semana analizando un interesante caso de phishing, por la calidad de la copia de la página oficial y por afectar a una de las plataformas de comunicación más utilizadas del mundo. Esta vez tenemos para compartir con nuestros lectores una página que simula ser la versión oficial de Skype con el objetivo de robar las credenciales de acceso y la información bancaria de los usuarios. Cuando la víctima ingresa su nombre de usuario y contraseñas respectivos, es direccionada a una página en donde se le solicitará una actualización de su información personal. En primera instancia, se pide al usuario los datos personales y la dirección de facturación y en la siguiente pantalla, toda la información perteneciente a su tarjeta de crédito. A continuación pueden ver que el sitio luce idéntico al oficial:

clip_image002
Este ataque, además, está realizado minuciosamente. El sitio web que simula ser el de Skype contiene todos los enlaces correctamente vinculados a la página web oficial de producto. Por lo tanto, la víctima no puede advertir el ataque buscando enlaces rotos o mal direccionados.

clip_image004
El atacante incluso, al momento de ingresar a la pantalla donde se piden los datos de la tarjeta de crédito, cambia el ícono (como se puede apreciar en la figura anterior) en la barra de direcciones por un logo de Skype con un candado adelante simulando establecer una conexión segura. Al cliquear sobre el mismo podremos notar rápidamente que se trata de un engaño ya que el navegador informa al usuario que el sitio web no posee información de identidad y que la información que será transferida no está cifrada. Adicionalmente, se ofrece más información en donde el usuario puede verificar que se trata realmente de un sitio web sospechoso.

clip_image006
Dado que muchos usuarios realizan pagos por Internet ofrecemos algunas sugerencias que podrían tomar en cuenta al momento de enviar información personal por la web:

  1. Datos tan sensibles como la dirección de facturación y sobre todo los números de tarjeta de crédito no deben ser pedidos al momento de realizar un ingreso sin que el usuario haya solicitado las actualizaciones.
  2. En caso de hacerlo, deben estar estrictamente relacionados con una compra. Por lo tanto, todos los usuarios que nunca compraron crédito en Skype no necesitan ingresar sus datos bancarios.
  3. Chequear siempre que la dirección URL que aparece en la barra de direcciones corresponde con el dominio de skype.com. Por lo general, estas direcciones falsas no contienen palabras relacionadas al producto y, además, no están verificadas por un certificado digital.
  4. Utilizar protocolos cifrados. En la barra de direcciones debe aparecer HTTPS y no HTTP. Es verdad que existen ataques al protocolo HTTPS, por lo que la existencia de una “s” no nos brinda un 100% de seguridad. No obstante, la ausencia de la misma ya es suficiente para pensar dos veces antes de ingresar información sensible en una página no segura.
  5. Este tipo de sitios nunca puede comprobar si los datos del usuario son correctos ya que no se trata de la página oficial del producto. Frente a la duda, recomendamos que el usuario ingrese un nombre de usuario falso con cualquier contraseña y comprobará que la página aceptará los datos, algo que en la página oficial es imposible ya que los datos ingresados no pertenecen a ninguna cuenta.

Siguiendo estas sugerencias los usuarios deberían disminuir el riesgo de ser víctima de este tipo de ataques. Además sugerimos que utilicen siempre una solución de seguridad proactiva para permanecer lo más lejos posible del blanco de estos atacantes.

Raphael Labaca Castro
Especialista en Awareness & Research

Fuente: http://blogs.eset-la.com/laboratorio

[Atención] Microsoft advierte sobre el gusano “Morto” que roba contraseñas

Posted in Informática e Internet on 26 septiembre, 2011 by Jaime IT Pro

 

¿Siguen siendo atractivas las noticias que diariamente salen respecto a nuevos troyanos y otros códigos maliciosos? Para mí, honestamente no. Salen tantos que resulta aburrido seguirles la pista. Confieso que a veces me encuentro en Symantec (o en otros sitios) buenos análisis de un malware y ese sí lo leo porque ya implica conocer el funcionamiento técnico de uno de estos bichos.

Sin embargo hace unas semanas uno de estos especímenes me llamó la atención ya que se enfocaba en servidores y se transmitía por medio de una funcionalidad muy utilizada en servers que es el escritorio remoto. Alerta amarilla. ¿Entonces no es el típico código que roba contraseñas de banca en línea? Al parecer, no.

Rápidamente empecé a leer el detalle en el sitio de FSecure, donde ya me enteré del nombre del enemigo: Morto. Ok. Lo siguiente más importante es entender cómo se propaga para analizar esos vectores de infección y poder hacer algo preventivo/detectivo (sin olvidar La Pregunta de si tu antivirus ya lo detecta).

Remote Desktop

Seguro se propagaba por una debilidad de software (¿verdad, Blaster y Confiker?). Tal vez por carpetas compartidas o unidades de red. Y cómo olvidar el USB, uno de los medios preferidos por los desarrolladores de malware.

Pues no. Sorpresa. El principal vector de infección de Morto es…el escritorio remoto que usa el protocolo RDP (Remote Desktop Ptotocol). El virus busca equipos que tengan el puerto 3389 abierto y una vez detectado, trata de ingresar al sistema.

Remote Desktop Windows

Pero momento. Si tienes un servidor con el RDP habilitado, pues igual y obtienes un escritorio remoto, PERO si no tienes el username y password simplemente no entras (quitando a debilidades de RDP, claro). ¿Entonces cómo le hacía Morto? Buena pregunta.

Y la respuesta es: adivinando el username y password. Entonces pensaríamos que el código incluía una enorme base de datos con cientos de miles de posibles nombres de usuario y millones de contraseñas, cierto?

Pues no. El nombre de usuario era uno solo: “Administrator” e incluía menos de 30 posibles contraseñas. Y con estas armas logró infectar miles de sistemas.

Lo que más me sorprendió es que entre las contraseñas usadas están:

  • admin
  • password
  • server
  • test
  • user
  • pass
  • letmein
  • 1234qwer
  • 1qaz2wsx
  • abc123
  • admmin123
  • 123456

Si ven, son contraseñas construidas a partir de combinaciones del teclado (123qwe) o las típicas usadas por ¿algunos? administradores de sistemas (admin123).

¿No hemos aprendido nada? ¿Cómo es posible que Morto haya tenido éxito al infectar servidores? Se asume que los servidores, a diferencia (probablemente) de los sistemas de usuarios finales, tienen ciertas protecciones como por ejemplo:

a) exigencia de contraseñas complejas para administradores y usuarios

b) bloqueo del servidor luego de 3 intentos fallidos

c) tal vez y con suerte, se restringe vía red sólo a unas IP que pueden establecer una conexión hacia el servidor por el puerto 3389.

Sin mencionar que un administrador jamás seleccionaría “test” como contraseña, cierto? En fin.

Todo lo anterior me lleva a constatar que varios no hemos superado le época de las contraseñas débiles en las corporaciones. Y aguas, no estamos hablando de passwords débiles usados en servicios en línea (Facebook, Hotmail, Twitter, G+, etc.), sino que estamos hablando de contraseñas usadas en servidores corporativos.

Morto no explota debilidades en software sino la debilidad en administradores que se les hace fácil ponerle la contraseña “test” a ese servidor de pruebas “que ya merito lo vamos a dar de baja” o “123qwE” porque es robusta e irrompible.

El consejo de Microsoft para los usuarios de la empresa no es una sorpresa: “Alentamos a los usuarios empresariales en particular, que insistan en contar con contraseñas robustas y cambios regulares de contraseña a través de las políticas propias”.

Fuente: http://hacking.mx/

Salida Dominguera en Bici.

Posted in Entretenimiento on 19 septiembre, 2011 by Jaime IT Pro

Hola Buenos días, tardes, noches etc., etc..

Les quiero compartir el recorrido que realice ayer Bicicleta de Ruta en solitario, solo recorrí 75 Kms. pero muy sustanciosos.

Aquí la liga del recorrido :

http://maps.google.com/maps/ms?msa=0&msid=205476816869412766739.0004ad39f1509c460efff 

La App utilizada My Tracks y la pueden descargar para Smartphone android en el Android Market.

nos leemos pronto.

Seguridad en Redes Sociales

Posted in Informática e Internet on 19 septiembre, 2011 by Jaime IT Pro

En esta ocasión les dejo este Articulo de la revista OUCH! de Septiembre 2011.. muy interesante.Espero les Guste.

image

EDITOR INVITADO

Lenny Zeltser es el editor invitado para esta edición de

OUCH! Lenny se dedica a salvaguardar las operaciones de

TI de los clientes de Radiant Systems y enseña cómo

combatir al malware en el SANS Institute. Sigue a Lenny en

Twitter como @lennyzeltser y escribe en su blog de

seguridad blog.zeltser.com.

RESUMEN

Este mes revisaremos redes sociales como Facebook,

Twitter, Google+ y LinkedIn. Sitios como estos son

poderosas herramientas que te permiten conocer,

interactuar y compartir con personas alrededor del mundo.

Sin embargo, todas estas capacidades vienen

acompañadas de riesgos considerables, no sólo para ti,

sino también para tu empresa, familiares y amigos. En este

boletín discutiremos cuáles son esos riesgos y cómo utilizar

estos sitios de forma segura.

PRIVACIDAD

Una preocupación frecuente acerca de los sitios de redes

sociales es tu privacidad, ya que existe el riesgo de que tú

mismo u otros compartan demasiada información sobre ti.

Los peligros de compartir demasiado incluyen:

Daño a tu carrera: Publicar información embarazosa

puede dañar tu futuro. Muchas organizaciones, como parte

de la revisión de antecedentes de un nuevo empleado,

consultan en las redes sociales todo lo que haya sido

publicado sobre él. Cualquier publicación embarazosa o

incriminatoria, sin importar lo antigua que sea, podría evitar

que obtengas ese nuevo empleo. Además, muchas

universidades realizan revisiones similares para

estudiantes de nuevo ingreso.

Ataques en tu contra: Delincuentes cibernéticos pueden

recolectar tu información y utilizarla para atacarte. Por

ejemplo, podrían adivinar las respuestas a “preguntas

secretas” que los sitios web utilizan para restablecer tu

contraseña o quizás solicitar una tarjeta de crédito

utilizando estos datos.

Ataques contra tu empresa: Cuando los criminales

buscan información empresarial o preparan un ataque

contra tu empresa, pueden obtenerla a través de lo que

compartes en redes sociales. Por otra parte, tu actividad en

línea puede, involuntariamente, reflejar una mala imagen

de tu empresa. Asegúrate de consultar las políticas sobre

redes sociales de tu empresa para guiarte sobre cómo se

espera que protejas sus datos y reputación.

La forma más efectiva de protegerte de estos peligros es

ser cuidadoso con la información que publicas sobre ti. Ten

en cuenta que los datos que compartes ahora podrían ser

© T h e S A N S I n s t i t u te 2011 http://www.securingthehuman.org

OUCH! | Septiembre 2011

Seguridad en redes sociales

utilizados en tu contra después. También, restringe las

opciones de privacidad de tu perfil de red social para limitar

quién puede ver la información personal que compartes.

Recuerda que tus datos pueden filtrarse inadvertidamente

por el sitio web o por tus amigos, así que lo mejor es

asumir que cualquier información que coloques puede

hacerse del conocimiento público en cualquier momento.

También, sé cuidadoso con lo que otros publican sobre ti.

Si tienes amigos publicando información, fotografías u

otros datos que no deseas que se hagan públicos, pídeles

que los borren.

SEGURIDAD

Además de ser una fuente peligrosa de fugas de

información, los sitios de redes sociales pueden ser usados

como plataforma para atacar tu computadora o realizar

estafas. Aquí, te ofrecemos algunos consejos para

protegerte:

Inicio de sesión: Protege tu cuenta de redes sociales

con una contraseña fuerte (revisa la edición de OUCH! de

mayo 2011). No compartas esta contraseña con nadie ni la

utilices para otros sitios. Adicionalmente, algunas redes

sociales como Facebook o Google+ tienen características

para una autenticación más robusta, por ejemplo los

códigos de un sólo uso cuando se ingresa desde una

computadora pública o al utilizar tu teléfono como parte del

proceso de inicio de sesión. Habilita estas características si

están disponibles.

Cifrado: Muchos sitios como Facebook, Google+ y

Twitter te permiten obligar el uso cifrado (llamado HTTPS)

de todas las comunicaciones con el sitio web. Siempre que

te sea posible, habilita esta opción.

Correo electrónico: Sé precavido cuando des clic sobre

los enlaces en correos electrónicos que afirmen ser de la

© The SANS I n s t i t u te 2011 http://www.securingthehuman.org

red social. En su lugar, accede al sitio usando un marcador

y verifica cada mensaje o notificación directamente.

Enlaces: Sé cuidadoso al dar clic en enlaces publicados

en los muros de personas o páginas públicas. Virus y

gusanos se propagan fácilmente en ellos. Si un enlace te

parece extraño, sospechoso o demasiado bueno para ser

cierto, no des clic…, no importa que el enlace esté en el

muro de tu mejor amigo. La cuenta de tu amigo pudo haber

sido secuestrada o infectada, y estar distribuyendo

software malicioso.

Las redes sociales son

herramientas poderosas y

divertidas, pero ten cuidado

con lo que publicas y en

quién confías.

OUCH! | Septiembre 2011

Seguridad en redes sociales

Estafas: Los criminales se aprovechan de la naturaleza

abierta de las redes sociales para defraudar a las

personas. En ocasiones, las estafas utilizan como anzuelo

una oferta de empleo o dinero, que sea demasiado bueno

para ser verdad. Otra estafa común es usar cuentas

secuestradas para contactar a los amigos de la víctima

pidiéndoles ayuda, diciendo que la persona fue robada en

un país extranjero y necesita dinero. Desconfía si un amigo

o un desconocido te pide dinero o te hace una oferta que

sea sorprendentemente buena en alguna red social.

Aplicaciones: Algunas redes sociales te permiten

agregar o instalar aplicaciones de terceros, como juegos.

Ten en cuenta que estas aplicaciones tienen un bajo o nulo

control de calidad y que pueden tener acceso total a tu

cuenta y a los datos que compartes. Las aplicaciones

maliciosas pueden utilizar este acceso para interactuar con

tus amigos en tu nombre, robar y hacer un mal uso de tu

información personal. Procura sólo instalar aplicaciones de

confianza de sitios reconocidos, y mantenerlas

actualizadas una vez que las instales. Cuando ya no

utilices alguna aplicación, bórrala.

Las redes sociales son herramientas poderosas y

divertidas que permiten comunicarte con todo el mundo. Si

sigues los consejos indicados aquí, podrás disfrutar de una

experiencia mucho más segura en línea.

RECURSOS

Algunos de los enlaces mostrados abajo han sido

reducidos para mejorar la legibilidad a través del servicio

TinyURL. A fin de mitigar problemas de seguridad, OUCH!

siempre utiliza la característica de vista previa de TinyURL

(preview), la cual muestra el enlace destino, solicitando

permiso antes de abrirlo.

OnGuard Online: http://preview.tinyurl.com/6ml3fx

Microsoft: http://preview.tinyurl.com/3sh2xkd

UNAM-CERT: http://preview.tinyurl.com/3r3fpwa

Facebook: http://preview.tinyurl.com/y2htc7b

Twitter: http://preview.tinyurl.com/43n9joy

MÁS INFORMACIÓN

Suscríbete al boletín mensual OUCH!, el boletín de

consejos sobre seguridad. Accede a los archivos de

OUCH! y aprende más acerca de las soluciones

preventivas de seguridad que SANS tiene para ti.

Visítanos en http://www.securingthehuman.org.

VERSIÓN EN ESPAÑOL

UNAM-CERT, equipo de respuesta a incidentes en México

reconocido ante FIRST, es una referencia en seguridad de

la información en este país. Sitio web

http://www.seguridad.unam.mx

síguelo en Twitter @unamcert.

© T h e S A N S I n s t i t u te 2011 http://www.securingthehuman.org