Get best of the week

Analizamos recomendaciones para la protección de datos personales y seguridad de la información: a qué debe prestar atención

El otro día, revisamos una serie de libros sobre riesgos en TI , ingeniería social, virus y la historia de los grupos de hackers . Hoy intentaremos pasar de la teoría a la práctica y ver qué podemos hacer para proteger los datos personales. En Habré y en los medios de comunicación puede encontrar una gran cantidad de consejos básicos: desde el uso de administradores de contraseñas y autenticación de dos factores hasta la actitud atenta a las letras y posibles signos de phishing.

Sin lugar a dudas, estas medidas son importantes como base de la higiene cibernética, pero no debe limitarse solo a ellas . Hablamos de puntos menos obvios con respecto a la seguridad de la información cuando trabajamos con servicios de Internet.


Fotos - Bianca Berg - Unsplash

Frases de contraseña en lugar de contraseñas


Los gerentes para trabajar con contraseñas complejas eliminan la necesidad de recordarlas. Sin embargo, el administrador de contraseñas siempre es un compromiso entre conveniencia y confiabilidad. Los desarrolladores a veces tienen fugas. Por ejemplo, en 2015, los piratas informáticos robaron las direcciones de correo electrónico de LastPass y las preguntas de seguridad del usuario.

Teniendo esto en cuenta, varios expertos en seguridad de la información ( incluidos los representantes de la oficina del FBI en Portland) prefieren una opción alternativa para trabajar con autenticadores: frases de contraseña. Son más fáciles de recordar que las contraseñas alfanuméricas con caracteres especiales .

Al mismo tiempo, se consideran más confiables: en 2015, un experto en el campo de la informática Evgeny Panferov demostró matemáticamente que para fortalecer la protección contra los ataques de fuerza bruta, es necesario extender el identificador y no aumentar su complejidad debido a números, celosías y asteriscos ( p . 2 ). Este concepto también fue ilustrado por el autor del cómic xkcd sobre días de trabajo para desarrolladores.


Foto: Erik Mclean : Unsplash

E-Frontier Engineers (EFF) respalda la idea con frases de contraseña. Incluso sugirieron una forma inusual de generarlos: usar dados. El EFF compiló una lista de 60 mil palabras en inglés , comparando con cada una una secuencia específica de números que aparecen en el cubo.

Simplemente seleccione seis palabras para obtener un identificador aleatorio de 25-30 caracteres. Se recomienda lanzar los dados porque el cerebro humano no puede generar una secuencia aleatoria de números. Subconscientemente nos esforzamos por elegir números que tengan algún significado para nosotros. Por lo tanto, en 1890, el psicólogo inglés Francis Galton escribió que los dados son el "generador aleatorio" más efectivo.

No se necesita rotación de contraseña


Todos enfrentamos los requisitos para cambiar la contraseña de una cuenta una vez al mes o seis meses. Pero el jefe de la compañía de seguridad de Spycloud, Ted Ross , dice que esa rotación no tiene sentido.

Alienta a los usuarios a modificar ligeramente las contraseñas y reutilizar los identificadores anteriores . Todo esto perjudica la seguridad de su cuenta. También considerado en el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST). Están desarrollando un nuevo marco de contraseña. Por cierto, ya se ha implementado en Microsoft: desde el año pasado, Windows ha dejado de exigir a los usuarios que presenten regularmente nuevos datos de autenticación.

Los identificadores deben cambiarse solo si están comprometidos. Existen herramientas especiales para verificar este hecho, por ejemplo, el servicio familiar Many Have I be Pwned . Simplemente ingrese su dirección de correo electrónico y se mostrará si el correo electrónico ha sido "expuesto" en cualquier fuga. También puede configurar notificaciones: en caso de un nuevo "drenaje", se recibirá una notificación.


Foto - Swargiary Nijwam - Unsplash

Reemplazar las contraseñas filtradas en la red debe ser para cuentas que no han estado activas durante mucho tiempo. Pero es mejor eliminar estas cuentas por completo. Si no se atienden, pueden comprometer los datos personales. Incluso una pequeña pieza de información ayudará a los atacantes a recopilar la información que falta sobre la "víctima" en otros servicios.

En algunos recursos, el procedimiento para cerrar cuentas no es tan simple. A veces tiene que comunicarse con el soporte técnico y, a veces, durante mucho tiempo para buscar el botón deseado en la interfaz. Sin embargo, existen herramientas que pueden simplificar esta tarea. Por ejemplo, JustDeleteMe es un directorio de instrucciones breves y enlaces para deshabilitar cuentas. Esta es una extensión para Chrome que agrega un botón especial al omnibar. Al hacer clic en él, se abre una página para deshabilitar la cuenta en el recurso actual (si es posible). Luego queda seguir las instrucciones.

Trabajar con documentos en un sistema operativo especial


Aproximadamente el 38% de los virus se hacen pasar por archivos de acoplamiento. Hoy es uno de los vectores más comunes de ataques de hackers. Puede protegerse del malware distribuido de esta manera si abre documentos sospechosos en editores en la nube. Los expertos de EFF señalan que en este caso, es casi seguro que puede evitar la instalación de malware. Pero este método no es adecuado para documentos confidenciales; existe el riesgo de hacerlos públicos. Por ejemplo, en 2018, los documentos personales de Google de los usuarios cayeron en el dominio público: fueron indexados por un motor de búsqueda.

Los ingenieros de la Electronic Frontier Foundation dicen que instalar un sistema operativo especial puede ser una forma de protegerse de los virus en PDF y DOC.(posible en la nube del proveedor IaaS ) para leer documentos electrónicos, por ejemplo, Qubes . En él, las acciones del sistema operativo y del usuario se realizan en máquinas virtuales separadas. Por lo tanto, si uno de los componentes se ve comprometido, el malware se aislará y no podrá acceder a todo el sistema.

(NO) instalación de actualización automática


Los expertos en seguridad de la información, por ejemplo, ingenieros de Tech Solidarity y FOSS Linux , recomiendan configurar la instalación automática de actualizaciones de seguridad para sistemas operativos y aplicaciones. Sin embargo, esta vista no es compartida por todos.


Foto - Rostyslav Savchyn - Unsplash

Una parte importante de la piratería de sistemas de TI realmente se puede evitar si se actualizan a tiempo. Un ejemplo sorprendente es la filtración de datos personales de 140 millones de residentes estadounidenses de Equifax. Los atacantes utilizaron la vulnerabilidad en el marco de Apache Struts ( CVE-2017-5638 ) relacionada con un error en el manejo de excepciones. Ha aparecido un parche para ella.dos meses antes del ataque a Equifax. Pero la actualización automática puede llevar a las consecuencias no más agradables. Hay situaciones en las que los "parches" nuevos, que resuelven un problema, crean otro, más grave . En 2018, Microsoft tuvo que detener la distribución de una nueva versión del sistema operativo debido a un error al eliminar los archivos personales de los usuarios.

Podemos concluir que las actualizaciones deben instalarse lo antes posible, pero tenga cuidado. Antes de lanzar un parche, debe estudiar su comportamiento, leer reseñas y tomar una decisión en función de la información que haya encontrado.

La próxima vez seguiremos hablando de recomendaciones inusuales que ayudarán a proteger los sistemas de TI de los intrusos. También nos interesa escuchar qué soluciones utiliza para aumentar la seguridad de la información: compártalas en los comentarios.

En 1cloud.ru ofrecemos el servicio Private Cloud . Puede alquilar una infraestructura virtual para sus proyectos. Para nuevos clientes: pruebas gratuitas.
Nosotros utilizamos equipos de clase empresarial de Cisco, Dell, NetApp. La virtualización se basa en el hipervisor VMware vSphere.

More articles:


All Articles