Thursday, October 4, 2012

Ingeniería Social


LA INGENIERÍA SOCIAL

La Ingeniería Social es ampliamente utilizada por creadores de malware y delincuentes informáticos debido al alto nivel de eficacia logrado engañando al usuario.
Es en la preparación de un engaño en particular, donde la Ingeniería Social comienza a ser aplicada por parte los creadores de códigos maliciosos y otro tipo de atacantes.
 
1. Noticias sobre catástrofes

La lluvia de correos sobre las tormentas en Europa del 2007 confirma la efectividad de la Ingeniería Social: la ingenuidad y la morbosidad humana fueron utilizadas como vehículos para la propagación de una de las principales epidemias de los últimos años.

Esas tormentas fueron el inicio de una familia de malware conocida como Nuwar (o Gusano de la Tormenta), que utilizó cientos de asuntos y mensajes distintos durante dos años para formar una gran Botnet con millones de usuarios infectados como por ejemplo con imágenes (catástrofes naturales, atentados terroristas, y guerras).
Muchas personas sienten curiosidad por las imágenes o videos de situaciones como las anteriores.

El arma infalible: la Ingeniería Social es ampliamente utilizada como recurso para engañar a los usuarios y llevarlos a infectarse con distintos tipos de malware.
En cada una de las situaciones antes descriptas, siempre ha habido ejemplos de engaños por correo electrónico u otro medio, en los que se busca lograr que una persona, con interés en donar dinero para ayudar a los afectados, termine depositándolo en la cuenta del inescrupuloso responsable del fraude.

2. Famosos

Los programadores de malware también se valen de personajes famosos y políticos para lograr que sus ceraciones se propaguen engañando a los usuarios desprevenidos o demasiado curiosos.

A lo largo de la historia del malware, existen casos en los que se menciona a cantantes (Michael Jackson, Britney Spears, etc.), actrices y/o actores (Jennifer López o Angelina Jolie, por ejemplo), deportistas (Anna Kournikova) y personalidades mundialmente reconocidas (Bill Gates, Osama Bin Laden, Saddam Hussein, etc.); entre muchos otros.

Muchos de estos códigos maliciosos no hacen más que lograr repercusión en la prensa, como los recordados casos en que se hacía mención a la fallecida Lady Di o a Britney Spears o el aún mencionado Kamasutra (que en realidad es el gusano VB.NEI, Nyxem o Blackmal; según la casa antivirus) cuya mayor propagación fue a través de las noticias, en lugar de utilizar los equipos informáticos de los usuarios.
Actualmente, las redes sociales vienen cobrado relevancia al reproducir este tipo de amenazas con supuestas imágenes o videos de personalidades famosas, que en realidad terminan descargando todo tipo de malware.


3. Marcas y eventos conocidos

El uso de nombres de compañías u organizaciones no sólo se aplica al malware adjunto a mensajes de correo electrónico, sino también en troyanos, phishing y scam.
Una práctica altamente frecuente para la propagación de gusanos y otros códigos maliciosos, tiene como base el envío de mensajes como si proviniesen de una reconocida empresa de software, con información

En muchos de los casos de utilización de marcas, los creadores de códigos maliciosos incluyen una leyenda al pie del correo electrónico informando que el mismo ha sido analizado por algún antivirus reconocido y que está libre de malware con el objetivo de darle una mayor credibilidad al mensaje.

Muchos de estos mensajes, cuando son enviados masivamente a través del correo electrónico, suelen estar armados en formato HTML o texto enriquecido, incluyendo logos y el formato típico de la empresa u entidad organizadora del evento.

En el caso del Scam y el phishing, la metodología es similar, diferenciándose en que no se suelen incluir archivos adjuntos. Además, los mensajes creados para favorecer el phishing suelen utilizar nombres de compañías relacionadas con el ambiente financiero (bancos, tarjetas de crédito, etc.), sitios de Internet reconocidos (como Google, Yahoo!, PayPal, eBay, etc.), compañías de telefonía y muchas otras.

Dado que la mayoría de las empresas y organizaciones tienen políticas de uso en las que explican que no enviarán mensajes de correo electrónico con archivos adjuntos, los usuarios nunca deben hacer caso a este tipo de mensajes.

¿Qué tiene que ver la Ingeniería Social con la seguridad informática?
La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como:

  • ·         Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
  •   La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.
  •   El control del acceso físico a los sistemas.
  • ·         La elección de un hardware y de un software que no de problemas.
  • ·         La correcta formación de los usuarios del sistema.

Técnicas de Ingeniería Social

Dos tipos, según el nivel de interacción del ingeniero social:

Técnicas Pasivas:

Observación

Técnicas no presenciales:
Recuperar la contraseña
Ingeniería Social y Mail
IRC u otros chats
Teléfono
Carta y fax
Ingeniería social - Hack Story
Ingeniería social en aviones y trenes de alta velocidad
Agendas y teléfonos móviles
Desinformación
 
Métodos agresivos

Suplantación de personalidad
Chantaje o extorsión
Despersonalización
Ingeniería social (seguridad informática)
Para ver un término similar en una disciplina diferente vea Ingeniería social (ciencias políticas).

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas.

Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos.

Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

1.    Todos queremos ayudar.
2.    El primer movimiento es siempre de confianza hacia el otro.
3.    No nos gusta decir No.
4.    A todos nos gusta que nos alaben.
 
¿Cómo defenderse contra la Ingeniería Social?

La mejor manera de enfrentar el problema, es concientizar a las personas al respecto. Educarles sobre seguridad y fomentar la adopciónde medidas preventivas. Otros mecanismos sugeridos son:

  • ·         Si se sospecha que alguien intenta realizar un engaño, hay que exigir se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.
  •  ·         Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo.
  • ·         Efectuar controles de seguridad física para reducir el peligro inherente a las personas.
  • ·         Realizar rutinariamente auditorías y pentest usando Ingeniería
  • ·         Social para detectar huecos de seguridad de esta naturaleza.

  • ·         Llevar a cabo programas de concientización sobre la seguridad de la información.

Posted by at 3 comments:
Labels: , ,

Wednesday, October 3, 2012

Compresión de Datos


COMPRESIÓN DE DATOS 

En ciencias de la computación la compresión de datos es la reducción del volumen de datos tratables para representar una determinada información empleando una menor cantidad de espacio. Al acto de compresión de datos se denomina compresión, y al contrario descompresión.

La compresión de datos permite que la información se transmita a una velocidad superior a la velocidad de conexión real. Normalmente, los datos y, en particular, el texto y los gráficos, contienen secuencias repetidas de información idéntica. La compresión de datos funciona al sustituir muchos caracteres de información repetida por unos pocos caracteres y transmitir sólo una copia de las secuencias de datos repetidas.

Los métodos más comunes de compresión de datos son MNP 3, MNP 4, MNP 5 y V.42bis.

La efectividad de la compresión varía en función de los datos. A menudo, el texto y los gráficos se pueden comprimir considerablemente. La compresión de los datos que ya están comprimidos puede ser menos eficiente porque el módem intenta comprimir datos que ya lo están. V.42bis trata los datos comprimidos con mayor eficacia que el resto de los protocolos.

Para conseguir la máxima velocidad en la transferencia de datos, se requiere el control de flujo por hardware y que la velocidad máxima del puerto se establezca como de dos a cuatro veces la velocidad nominal del módem. Normalmente, estos valores se configuran correctamente cuando se instala el módem. Si sabe qué tipo de compresión admite el módem, es posible calcular este valor multiplicando la velocidad del módem por la estimación indicada anteriormente. Por ejemplo, para un módem de 14,4 kilobits por segundo (Kbps) con compresión V.42bis, deberá realizar el siguiente cálculo:

14,4 Kbps x 4 = 57,6 Kbps

Este valor es la velocidad máxima a la que el módem puede transferir los datos. El rendimiento real depende de los datos.

La compresión de datos se basa fundamentalmente en buscar repeticiones en series de datos para después almacenar solo el dato junto al número de veces que se repite. Así, por ejemplo, si en un fichero aparece una secuencia como "AAAAAA", ocupando 6 bytes se podría almacenar simplemente "6A" que ocupa solo 2 bytes, en algoritmo RLE.

Teniendo en cuenta estos tres tipos de información, se establecen tres tipologías de compresión de la información:

1. Sin pérdidas reales: es decir, transmitiendo toda la entropía del mensaje (toda la información básica e irrelevante, pero eliminando la redundante).

2. Subjetivamente sin pérdidas: es decir, además de eliminar la información redundante se elimina también la irrelevante.

3. Subjetivamente con pérdidas: se elimina cierta cantidad de información básica, por lo que el mensaje se reconstruirá con errores perceptibles pero tolerables (por ejemplo: la videoconferencia). 


Compresión de datos de software

El software de comunicaciones, como Conexiones de red, puede admitir compresión de datos. Por ejemplo, con un módem V.90 de 56 Kbps, puede habilitar la compresión por software y conseguir un rendimiento medio de 44 Kbps. Las pruebas muestran que la compresión por software puede dar como resultado una velocidad de transferencia mayor que la compresión por hardware.

Si utiliza compresión por software, puede ser aconsejable comprobar la configuración. Para obtener mejores resultados con la compresión por software, puede comprobar las siguientes propiedades del módem:

· Habilitar la corrección de errores del módem si se configura Protocolo de datos como EC estándar o EC forzado.

· Deshabilitar la compresión por hardware si se configura Compresión como Desactivada.

· Habilitar la compresión por software proporcionada por el software de comunicaciones. 

Diferencias entre compresión con y sin pérdida El objetivo de la compresión es siempre reducir el tamaño de la información, intentando que esta reducción de tamaño no afecte al contenido. No obstante, la reducción de datos puede afectar o no a la calidad de la información: 
Compresión sin pérdida: los datos antes y después de comprimirlos son exactos en la compresión sin pérdida. En el caso de la compresión sin pérdida una mayor compresión solo implica más tiempo de proceso. 

El bit rate siempre es variable en la compresión sin pérdida. Se utiliza principalmente en la compresión de texto. 

Un algoritmo de compresión con pérdida puede eliminar datos para reducir aún más el tamaño, con lo que se suele reducir la calidad. En la compresión con pérdida el bit rate puede ser constante (CBR) o variable (VBR). Hay que tener en cuenta que una vez realizada la compresión, no se puede obtener la señal original, aunque sí una aproximación cuya semejanza con la original dependerá del tipo de compresión. 

Se utiliza principalmente en la compresión de imágenes, videos y sonidos. COMPRESION DE ARCHIVOS 

La compresión de archivos se refiere a la reducción del tamaño de un fichero para evitar que ocupe mucho espacio. Otra función es la de concentrar varios archivos en uno solo para fines comunes, como el envío de carpetas por medio de correo electrónico, publicación en sitios Web, etc.

Su importancia radica en reducir significativamente el espacio que ocupa un archivo dentro de un dispositivo de almacenamiento masivo (memoria USB ,unidad SSD, disquete, etc.), o en su caso concentrar una gran cantidad de ficheros y carpetas en un solo archivo.
MÉTODOS DE COMPESIÓN DE ARCHIVOS 

Hardware: hace tiempo, para la compresión de archivos en los discos duros, era necesario el uso de tarjetas de expansión especiales para ello.

Software: actualmente existe una gran gama de programas especializados en la compresión de archivos, entre ellos 7zip, WinRAR y WinZIP.

Compresión de audio

1.- Se toma el audio de un archivo con música no comprimida (formato CDA "Compact Disc Audio"), el cuál es el formato de cualquier disco musical con 20 ó 21 melodías ó directamente de la onda musical de un disco de vinilo.

2.- El programa elimina los tonos inaudibles al oído del ser humano, almacenando solo la frecuencia que si se puede escuchar.

3.- Posteriormente realiza un proceso de compresión semejante al descrito arriba para un archivo cualquiera.

4.- Este proceso puede reducir drásticamente el tamaño de una melodía, de (58 MB a solo 10 MB) sin perder mucha fidelidad en formato MP3 ("Moving Pictures Expert Group Layer 3"), WMA ("Windows Media Audio") ó AAC ("Advanced Audio Coding").

Compresión de video

1.- Para el caso del video, hace falta tomar el video de un medio sin alta compresión (un videocasete Betamax, un videocasete VHS, un DVD-ROM, un Disco Blu-Ray, etc.).

2.- El programa elimina ciertas características de audio y video, lo cuál le hace perder cierto grado de definición.

3.- Posteriormente realiza un proceso de compresión semejante al descrito arriba para un archivo cualquiera.

4.- Este proceso puede reducir drásticamente el tamaño de una película, de (4.7 GB a solo 700 MB), pero con una cuota de pérdida de fidelidad de audio y definición de imagen (MPEG "Moving Pictures Expert Group", VCD "Video Compact Disc", AVI "Audio Video Interleave", etc.).

Ventajas de la compresión de archivos 

El espacio de almacenamiento - Los archivos más pequeños significa menos espacio para el almacenamiento de archivos y ahora se pueden comprimir hasta 1/100o del original

Electricidad - Cada dólar que usted gaste en el almacenamiento, lo necesario para pasar otro dólar al enfriarse, salvo en el almacenamiento, ahorrar en refrigeración

Videos - Los archivos ya no tendrá que ser descargado en su totalidad antes de ver porque son capaces de abrir mientras se está descargando

Impresión - Los archivos ahora se pueden imprimir 10-100 veces más rápido

El tiempo de transmisión - Carga y descarga ya no será un problema ya que la carga y descarga tarda sólo 1/10th del tiempo que normalmente tomaría
Posted by at 4 comments:
Labels: ,

Encriptación


Que es Encriptación ?
Toda encriptación se encuentra basada en un Algoritmo, la función de este Algoritmo es básicamente codificar la información para que sea indescifrable a simple vista , de manera que una letra "A" pueda equivaler a :"5x5mBwE" o bien a "xQE9fq", el trabajo del algoritmo es precisamente determinar como será transformada la información de su estado original a otro que sea muy difícil de descifrar.

Una vez que la información arrive a su destino final, se aplica el algoritmo al contenido codificado "5x5mBwE" o bien a "xQE9fq" y resulta en la letra "A" o según sea el caso, en otra letra. Hoy en día los algoritmos de encriptación son ampliamente conocidos, es por esto que para prevenir a otro usuario "no autorizado" descifrar información encriptada, el algoritmo utiliza lo que es denominado llave ("key")

Que función tiene la llave ("key") ?
Existen dos tipos de llaves ("key's") , pero la de mayor uso en Internet es denominada "public key" o algoritmo asimétrico. El nombre "public" proviene de su funcionamiento: existe una llave pública que es dada a conocer a cualquier persona que así lo desee (todo Internet), Una firma digital utiliza el mismo funcionamiento del "public key" o algoritmo asimétrico mencionado anteriormente.

Ellos anuncian su "llave publica" para todos los usuarios de Internet, y como solo ellos poseen la "llave secreta" sólo ellos podrán descifrar("decriptar") la información. Pero ahora, surge la siguiente pregunta: Quien le garantiza a los usuarios de Internet que esta "llave publica" REALMENTE proviene de este departamento de compras ?
Para esto existen los certificados digitales que son emitidos por "agencias autorizadas" como Thawte o Verisign las cuales dan el VoBo("Visto Bueno") sobre la "llave publica".

Existen pocas compañías que realizan este servicio,pero debido a la naturaleza de las "llaves publicas" siempre debe de existir una agencia central que sea capaz de decir "Si, esta llave publica proviene del departamento de compras" eso es todo su servicio, esto garantiza a los usuarios finales de "Internet" que la "llave publica" ha sido reconocida por una autoridad confiable Thawte o Verisign.
Métodos de encriptación:
Para poder Encriptar un dato, se pueden utilizar tres procesos matemáticos diferentes:
Los algoritmos HASH, los simétricos y los asimétricos.
·         Algoritmo HASH:
Este algoritmo efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número único llamado MAC. Un mismo documento dará siempre un mismo MAC.
·         Algoritmos Simétricos:
Utilizan una clave con la cual se encripta y desencripta el documento. Todo documento encriptado con una clave, deberá desencriptarse, en el proceso inverso, con la misma clave. Es importante destacar que la clave debería viajar con los datos, lo que hace arriesgada la operación, imposible de utilizar en ambientes donde interactúan varios interlocutores.
·         Algoritmos Asimétricos (RSA):
Requieren dos Claves, una Privada (única y personal, solo conocida por su dueño) y la otra llamada Pública, ambas relacionadas por una fórmula matemática compleja imposible de reproducir. El concepto de criptografía de clave pública fue introducido por Whitfield Diffie y Martin Hellman a fin de solucionar la distribución de claves secretas de los sistemas tradicionales, mediante un canal inseguro.
El usuario, ingresando su PIN genera la clave Publica y Privada necesarias. La clave Publica podrá ser distribuida sin ningún inconveniente entre todos los interlocutores. La Privada deberá ser celosamente guardada.
Cuando se requiera verificar la autenticidad de un documento enviado por una persona seutiliza la Clave Publica porque el utilizó su Clave Privada.

 Firmas Digitales en Internet


En el caso anterior de un Intranet, todas las llaves públicas provienen de una fuente fidedigna, esto es, las llaves "publicas" que posee el departamento de compras son autenticas ya que TODAS pertenecen sólo a empleados dentro de la compañía , la única posibilidad de fraude que existe,es si alguien trata de forjar la"llave secreta" de un empleado para hacerse pasar por otro.

 
Encriptación de 40-bits y 128-bits.
Existen varios niveles de encriptación, pero las combinaciones más comunes son 40-512 bits ("llave secreta--llave pública") y 128-1024 bits ("llave secreta--llave pública"). La versión 128-1024 bits es el tipo de encriptación más fuerte que existe en el mercado.

Es segura la encriptación que existe hoy en día ?
Depende quien la intente observar !, aunque la información sea enviada encripatada, cualquier persona en Internet con entrenamiento mínimo puede interceptar esta información encriptada, sin embargo, para observarla requiere de su "llave privada".

1-Cifrado de discos duros y unidades Flash USB
A la hora de proteger la información almacenada en un disco duro completo o en una memoria Flash USB, hay diversas opciones. Las más radicales y efectivas son las que permiten cifrar el contenido completo de la unidad, haciéndola inaccesible si se conecta en otro equipo o no se introduce una determinada contraseña.

Una de las utilidades más conocidas y sencillas es BitLocker. Una herramienta que encontramos en las versiones Ultimate y Enterprise de Windows Vista/7, potente capaz de cifrar toda la información del disco duro aprovechando para ello el chip TPM que comentamos en Bloquea el acceso físico a tu PC. Para ello, basta hacer clic con el botón derecho del ratón sobre la unidad que deseamos cifrar, y pinchar sobre la opción Activar BitLocker.

Para los que utilicen Windows XP o no dispongan de las versiones antes indicadas, hay algunas utilidades gratuitas que pueden ser interesantes. Una de ellas es TrueCrypt, que permite crear unidad virtual encriptada o cifrar la partición completa de una llave USB o un disco duro. Utiliza AES-256, Serpent y Twofish, y está disponible para Windows, Mac OS y Linux. Otra opción es DiskCryptor, la primera utilidad open source para Windows que permitía encriptar el disco completo. Tiene menos opciones que la anterior, pero resulta igual de segura.

 
2.Protección por contraseña
Una alternativa a los programas de cifrado que hemos visto hasta ahora pasa por proteger los ficheros con contraseña. Así, programas comunes como Word, Excel, PowerPoint o Acrobat permiten fijar contraseñas que impiden la modificación y/o apertura de los ficheros, al tiempo que los codifican.
 
3. Tratamiento independiente de archivos y carpetas
Una opción menos radical, sencilla y accesible es que, en lugar de cifrar toda una unidad de disco, solo protejamos de esta forma archivos o carpetas específicas. Esto tiene algunas ventajas, como el hecho de que nuestro equipo será algo más rápido (no tendrá que encriptar/desencriptar los datos cada vez que accede a disco) y fácil de reparar en caso de cualquier desastre. A cambio, y según la solución elegida, puede que la efectividad sea algo menor.

4-Encripta tu correo electrónico
A la hora de enviar e-mails hay que tener en cuenta que el correo electrónico es de los sistemas menos seguros que podemos encontrarnos. Incluso aquellos servidores que emplean conexiones cifradas SSL para comunicarnos con ellos desde nuestro cliente, luego retransmiten los mensajes a otros servidores utilizando el protocolo SMTP sin cifrar.
 

Posted by at 2 comments:
Labels:

Contraseña Segura



CONTRASEÑAS.
Las contraseñas son claves que usamos para tener acceso a nuestra información privada que se encuentra almacenada en alguna computadora, correo electrónico, cuentas bancarias o cualquier otra fuente de Almacenamiento de información, ya sea privada o confidencial.

El problema principal de la seguridad radica en el empleo de contraseñas débiles para la protección de los Datos, ya que esto permite que los intrusos realicen distintos ataques contra sistemas tratando de comprometer su seguridad.

La mejor solución ante ello es el empleo de contraseñas robustas que otorguen un grado de seguridad más Elevado para la protección de la información. Uno de los inconvenientes principales en el empleo de Contraseñas robustas es que son difíciles de recordar, sin embargo existen técnicas que permiten utilizarlas sin necesidad de anotarlas en algún lugar físicamente o decírselas a alguien más.

¿POR QUÉ DEBEMOS ESTABLECER UNA CONTRASEÑA SEGURA?

En el amplio mundo de Internet existen usuarios maliciosos que utilizan distintas herramientas con el objetivo de descifrar las contraseñas desde un equipo remoto. Este trabajo les resulta más sencillo si el usuario emplea contraseñas débiles. Con contraseñas débiles nos referimos a contraseñas en blanco, que utilizan el nombre o apellido del usuario, alguna palabra que aparezca en un diccionario, el nombre de la mascota o del hijo(a) del usuario, etc.

Para poder conservar la privacidad de nuestros datos debemos establecer una contraseña robusta que nos proteja contra los ataques de estos intrusos.

¿CÓMO CREAR CONTRASEÑAS SEGURAS?

Todas nuestras contraseñas deben de contar con letras mayúsculas y minúsculas, números, signos de puntuación (puntos, comas, paréntesis, etc.), entre otros ya que al ser más diversos los caracteres utilizados, Más difícil será para el usuario malicioso descubrirla.
El punto de partida para crear tu contraseña segura es pensar en una frase que se pueda recordar. Piensa en Una frase que puedas memorizar sin problemas, de esta frase emplearás la primera letra o cualquier letra de la Frase que sea significativa.

¿QUÉ ASPECTOS IMPORTANTES DEBO CONSIDERAR EN LA CREACIÓN Y EMPLEO DE CONTRASEÑAS?

No utilices en tu contraseña información personal o que pueda relacionarse contigo. No utilice fechas de cumpleaños, números de teléfono, direcciones, apodos, nombres de familiares, etc. ya que es Información relativamente fácil de descubrir. No utilices palabras (en cualquier idioma) que puedan encontrarse en un diccionario. 

 Los intrusos utilizan distintas herramientas que prueban todas las palabras posibles en diccionarios de varios idiomas tratando de descifrar la contraseña. 
No hagas pública tu contraseña bajo ningún concepto. Nunca debes apuntar tu contraseña en un papel, ni en un post-it, ni en un archivo ni en algún medio electrónico. 

 No utilices la misma contraseña. Debes tener contraseñas distintas en cada sistema. Si no cumples Esta regla y alguien descubre tu contraseña en alguno de los sistemas que utilizas, podrá utilizarla Múltiples veces en diferentes sistemas. Nunca realices actividades bancarias en computadoras públicas como lo son los cafés Internet.

Una de las actividades comunes de los intrusos al comprometer un equipo de computo es la instalación De programas keylogger que tienen como objetivo registrar todo lo que el usuario escribe desde el Teclado para enviarlo posteriormente al intruso, esto incluye por supuesto, las contraseñas.

No reveles tu contraseña a ninguna persona. Un usuario malicioso puede pretender ser otra persona En el teléfono o vía correo electrónico, y utilizar cualquier pretexto falso por el cual necesita tu Contraseña. Cambia de forma periódica tu contraseña. Como una buena práctica de seguridad es recomendable Cambiar, al menos una vez al mes, la contraseña en cada uno de los servicios que utilizas.


¿CÓMO CREO UNA BUENA CONTRASEÑA?

En principio, huyamos de las palabras con una relación esto puede resultar incomodo, y lo incómodo produce a la la contraseña para recordarla. Está claro que cualquiera larga el efecto "dejadez" con lo que no adelantamos. Hay que lograr un equilibrio razonable entre la seguridad y la mayúsculas y minúsculas es otra de las normas de las nosotros, pero desfigurarnos introduciendo entre ellas números y signos, de manera que matemos dos pájaros de un personal con el usuario, ya se sabe, y se ha dicho mil veces puede recordar una secuencia de letras y signos al azar, pero que no se deben usar fechas significativas, números de teléfono, nombre de los hijos novias etc. tiro, pues la inclusión de signos no alfanuméricos y números, Usaremos recursos que faciliten que nos familiaricemos con Utilicemos palabras con algún.

DIEZ CONSEJOS PARA ESCRIBIR CONTRASEÑAS SEGURAS

Buscar siempre claves que tengan más de ocho dígitos. Cuantos menos caracteres tenga una clave, más fácil es romperla para un pirata informático, puesto que el número de combinaciones posibles son menos. Se consideran "débiles" las combinaciones menores de ocho dígitos, que pueden identificarse con programas generadores de combinaciones aleatorias (llamados robots), lo que se conoce como "la fuerza bruta".

Nunca utilizar solo números. Aunque se pongan claves de ocho o más dígitos, si se usan solo números, es cuestión de tiempo que un robot encuentre la contraseña y entre en las páginas de la persona.

Tampoco usar solo letras ni palabras. Las letras se pueden combinar con robots hasta dar con la clave. Respecto a las palabras, siempre tienen una conexión simbólica con el subconsciente, por lo que alguien que conozca un poco al usuario puede adivinar las claves si piensa en el nombre de su pareja, sus hijos o sus mascotas.

 Optar siempre por combinaciones alfanuméricas. Mezclar letras y números es la solución más segura porque se juntan dos sistemas de clasificación, lo cual amplia mucho las combinaciones. De todos modos, un "hacker" que tenga algunos datos personales sobre el usuario y mucha psicología puede adivinar las claves si no ha habido esmero en confeccionarlas.

Intercalar signos de teclado. Un truco que permitirá usar letras y números relacionados con la vida del usuario sin peligro es intercalar símbolos como "#", "$", "&" o "%" entre los caracteres de la contraseña. La presencia de estos caracteres es mucho más difícil de descubrir para piratas informáticos y robots. Lo mejor son las claves aleatorias. Si se puede usar un programa generador de claves aleatorias, se estará mucho mejor protegido.

No utilizar la misma contraseña para todo. Parece una obviedad, pero es lo que hace la mayoría. Hay que tener una contraseña distinta para cada servicio. También es recomendable cambiarlas cada cierto tiempo.

Guardar las claves en un documento de texto. Como las claves seguras son muy difíciles, por no decir imposibles, de recordar, lo lógico es tenerlas escritas en un documento de texto, que se utilizará para almacenar las contraseñas de todos los servicios personales. Cada vez que se entre a un servicio, se tendrá que recurrir a este documento.

Conservar el documento en un lugar seguro. Hay varias opciones para guardar el documento con las claves del usuario. La primera es usar una memoria USB separada físicamente del ordenador y que solo se enchufa cuando se quiere abrir el documento con la contraseña. Hay que ser consciente de que se puede tener el ordenador monitorizado por algún software malicioso (ocurre con mucha más frecuencia de la que se cree) o que alguien puede acceder a través de la conexión wifi si esta no es lo bastante segura.


Hacer buenas contraseñas, ¿Puedo utilizar una buena contraseña para todo? Huna contraseña para cosa y cada cosa con su contraseña. Esto no es así de rotundo. Cierto que unificar las contraseñas aumenta su vulnerabilidad, pero seamos razonables. Podemos establecer grupos distintos de servicios con diferente nivel de contraseña. Por ejemplo: contraseñas de ocho letras podría llegar a su fin.
Ahora, para poder estar seguros en la red se necesitan 12 caracteres, según un informe publicado esta semana por el Instituto de Tecnología de Georgia.
Los investigadores lograron descifrar contraseñas de ocho caracteres en menos de dos horas utilizando tarjetas gráficas. Pero al intentarlo con claves de 12 caracteres, aplicando el mismo método, concluyeron que tardarían 17,134 años en descubrirlas.
La segunda alternativa es archivar el documento en una copia de seguridad en un servidor de la red, con protocolos de cifrado de 128 bits o más. Se puede guardar en plataformas diseñadas para tales usos, como Clipperz. Bastará con abrir este servicio y acceder al documento.

Cerrar la sesión de los servicios a diario. Cuando se apaga el ordenador por la noche o al salir de casa, la mejor opción es salir de todos los servicios de uso habitual, ya sean el correo electrónico, las distintas redes sociales donde se participa las plataformas donde se guardan documentos para sincronizarlos, etc. Si alguien encendiera el ordenador y el usuario no lo hubiera cerrado, el extraño podría acceder fácilmente a tales servicios, ya que el navegador guarda las contraseñas si no se le apunta lo contrario. Por lo tanto, hay que indicar en el apartado de Seguridad del navegador que no recuerde ninguna contraseña.

La seguridad de un sistema protegido por contraseña depende de varios factores. El sistema debe estar diseñado para sondear la seguridad (Ver seguridad e inseguridad de computadoras).
Posted by at 10 comments:
Labels: ,
Subscribe to: Posts (Atom)