Consejos de Ciberseguridad (y II)

Artículo "Consejos de Ciberseguridad (y II)" de Manuel David Serrat Olmos en la Sección "Futuro y Seguridad" de la Revista Tecnología y Sentido Común #TYSC

En el número del mes pasado de Tecnología y Sentido Común publicamos la primera parte de un artículo sobre consejos de ciberseguridad, con los tres primeros consejos. Para cerrar esta Séptima Temporada de TySC, este mes publicamos la segunda parte del artículo sobre este tema.

Consejo 4: Proteja sus credenciales y los accesos, pero cómodamente [1]

En realidad, este consejo es una agrupación de varios relacionados. Hay que proteger nuestra identidad para que nuestra información se mantenga confidencial. Para ello, los sistemas de información utilizan diferentes métodos de identificación y autenticación. En los terminales móviles, podemos usar un PIN, una contraseña alfanumérica, un patrón o identificación biométrica, por huella dactilar o reconocimiento facial, para autenticarnos. En los PC, podemos usar credenciales con contraseñas complejas. Si no sabe generarlas, o no sabe cuán compleja[2] es su contraseña, hay servicios que permiten realizar ambas tareas. No almacene sus credenciales de acceso a servicios de Internet en los navegadores, ya que éstos son vulnerables y podrían robárselas.

Cambie las credenciales de sus servicios en la nube periódicamente, y active en todos los que pueda los sistemas de autenticación de doble factor. No repita credenciales entre diferentes servicios, para evitar que puedan ser reutilizadas en el caso de que uno de sus servicios sea violentado por ciberdelincuentes. Para evitar tener que recordar todas esas credenciales, use un gestor de contraseñas, a ser posible, multiplataforma, para poder llevar el fichero de contraseñas en diferentes dispositivos. Busque la manera de sincronizar esos ficheros de contraseñas, e intente evitar los gestores de contraseñas en la nube, ya que si fueran violentados o los gestiona una entidad poco fiable, todas sus contraseñas quedarían expuestas.

Consejo 5: Mantenga todo actualizado

Otro consejo clásico, y no por ello menos importante. Hay que mantener actualizados nuestros dispositivos, su sistema operativo y las aplicaciones. Tenga en cuenta que la vía de entrada a nuestros sistemas en muchas ocasiones son las vulnerabilidades que presenta el software. Por ello, expertos en la materia y los fabricantes trabajan en detectar y corregir dichas vulnerabilidades, publicando nuevas versiones de los productos software que las parchean.

Por tanto, es muy aconsejable que actualicemos nuestros dispositivos y aplicaciones tan pronto como haya nuevas versiones del software instalado, y es imperativo que instalemos rápidamente cualquier actualización de seguridad. Hay que tener en cuenta que es el periodo entre que un fabricante publica un parche de seguridad y que todos los dispositivos que tenían esa versión del software ya están actualizados cuando se producen más efectos dañinos de la vulnerabilidad parcheada, ya que es el propio fabricante quien da la información de la misma al publicar la actualización. Por tanto, ese tiempo ha de ser el mínimo posible.

Consejo 6: Utilice el cifrado con sentido común

Si se cifra un documento, un pen drive USB, o una unidad de disco, nadie que no conozca la contraseña de descifrado y el método con el que se cifró podrá acceder a esa información, lo cual nos garantiza un buen grado de confidencialidad. En contraposición, el proceso de cifrar/descifrar la información ralentiza nuestro trabajo, e incluso puede llegar a ser insalvable en el caso de que olvidemos la contraseña de cifrado o si el sistema con el que se cifró deja de estar disponible.

No cometa el error de cifrar los dispositivos en producción y luego mantener las copias de seguridad descifradas. Pero si cifra las copias de seguridad, algo imprescindible si las almacena en la nube, asegúrese de que el método o aplicación de descifrado la va a tener disponible en caso de desastre, y almacene la contraseña de cifrado de forma segura en un dispositivo diferente.

En resumen, cifre, pero con sentido común, y sólo aquella información o dispositivos que realmente lo merezcan.

Consejo 7: Desactive las capacidades de conectividad que no esté usando

¿Para qué lleva el Bluetooth o el NFC de su móvil activado, si no lo está usando? Si ha conectado el portátil por cable a la red, ¿por qué no desactiva el interfaz wifi? Cualquier dispositivo de comunicaciones de nuestro ordenador o smartphone es susceptible de ser utilizado como puerta de entrada al sistema, o para robarnos información personal o bancaria, ya que hoy en día llevamos en nuestros dispositivos hasta los medios de pago. Los que somos algo paranoicos incluso llevamos las tarjetas de crédito que funcionan sin contacto dentro de fundas que impiden que funcionen correctamente hasta que las sacamos de dichas fundas para hacer un pago.

Consejo 8: Ojo con las redes wifi públicas

Las redes inalámbricas públicas de hoteles, restaurantes, aeropuertos, centros comerciales, etc., sobretodo si son gratuitas, pueden suponer una amenaza para nuestra seguridad. En primer lugar, porque es muy fácil crear un punto de acceso inalámbrico falso (conocido como ‘rogue AP’ en el argot), a través del cual hacer cursar el tráfico de las víctimas para analizarlo en busca de información valiosa para el atacante, como credenciales de acceso a servicios, documentos, correos electrónicos, etc. Si va a utilizar alguna de estas redes públicas asegúrese de que los servicios de Internet a los que se va a conectar cifren la comunicación, o mejor aún, use un servicio comercial de VPN (red privada virtual), que se encargará de cifrar su tráfico desde su dispositivo hasta el terminador de túneles de la red, protegiendo así su información privada.

Si se decide por contratar uno de estos servicios de VPN, tenga cuidado en su elección, ya que también los hay fraudulentos. Con el servicio contratado, quizá hasta le interese usarlo cuando está haciendo uso de los servicios de banda ancha móvil de su operador de telefonía, ya que así mantendrá un mayor nivel de privacidad en su conexión.

Y si ya no va a conectarse más a una de esas redes wifi públicas, bórrela de su dispositivo.

Consejo 9: Instale y configure correctamente un antivirus y un cortafuegos en su dispositivo

El uso de antivirus (ahora englobados en el concepto de EDR, End Point Detection and Response) se viene recomendando desde hace mucho tiempo, y raro es el PC que no dispone de uno. Sin embargo, aún hay mucha gente que se resiste a instalarse uno en el smartphone. Hágalo, no lo dude. Igualmente, es recomendable disponer de un servicio de cortafuegos (firewall) personal en nuestros dispositivos, que sea capaz de bloquear tráfico indeseado desde o hacia nuestro terminal. Los hay bastante simples de configurar, por lo que esa dificultad ya no es excusa para no usarlos en nuestros dispositivos móviles. En el PC, la mayoría de EDRs ya incorporan funcionalidades parecidas a las de un firewall, y el propio Windows lleva desde hace tiempo su servicio de cortafuegos, aunque no tanto como Linux.

Espero que sigamos juntos en la 8ª temporada de TYSC. ¡Tengan Uds. un feliz verano ciberseguro!

Referencias

[1] https://www.osi.es/es/actualidad/blog/2021/01/20/protege-tu-movil-ios-y-android-con-5-consejos

[2] https://howsecureismypassword.net/

Doctor en Informática por la Universitat Politècnica de València y Master en Dirección TIC de la UPM-INAP, dispone de varias certificaciones internacionales en Operación, Gestión y Gobierno de TI, tales como ITIL, FITSM, PRINCE2 y COBIT. Escritor técnico, es profesor asociado en la Universitat de València, y actualmente coordina el servicio de TI de una organización pública

Escuela de Gobierno eGob®

Cursos Doble Certificación

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad