Cómo crear y mantener seguras tus contraseñas

Las contraseñas son elementos fundamentales que nos ayudan a mantener nuestra privacidad e información personal a salvo en Internet. Por esta razón debemos escoger correctamente la contraseña que vamos a utilizar para cada servicio. Además, si no somos capaces de recordarlas todas, debemos buscar un lugar seguro dónde almacenarlas y al que podamos acceder cada vez que necesitemos usar alguno de los servicios.

¿Cómo crear una contraseña segura?

login-570317_960_720

  • Las contraseñas deben ser robustas, es decir, tienen que estar formadas por al menos 8 caracteres entre los que se deben incluir mayúsculas, minúsculas, números y caracteres especiales.
  • No debes usar datos personales que puedan descubrirse fácilmente como la fecha de nacimiento o nombres propios. Sin embargo, sí que puedes usar alguna información personal como tus gustos o intereses. En este caso escoge varios y combínalos de forma estratégica para conseguir una contraseña robusta y difícil de adivinar o hackear.
  • Modifica tu contraseña aproximadamente cada 3-6 meses para dificultar el acceso a ella por terceras personas.
  • También se puede emplear un generador de contraseñas aleatorio para los servicios online más sensibles como, por ejemplo, para las cuentas bancarias.
  • Un método eficaz para conseguir recordarlas todas es crear tu propia fórmula. Para ello debes escoger un verso de una canción o una frase que te guste, un número, un carácter especial y el servicio para la que la quieres emplear. Una vez escogido todo, combínalo como más te parezca. Para que sea aún más segura no emplees la frase y el nombre del servicio entero, solo usa las vocales, las consonantes, la primera o última letra de cada palabra, etc.

Veamos un ejemplo de una posible contraseña segura. Escogemos como frase el eslogan de nuestra empresa “Déjanos mostrarte lo que podemos hacer por ti”, el número 6810, el símbolo $ y el servicio Facebook. Algunas de las combinaciones posibles para nuestra contraseña serían:

Dmlqphpt$6810Fcbk

FBDmlqphpt6810$

Seoesrri6810$Aeoo

De esta forma un mismo patrón nos sirve para diversos servicios con tan solo cambiar algunos números, letras u orden en que están colocados los elementos que componen la contraseña.

¿Cómo mantener segura tu contraseña?

stature-935643_960_720

  • No debes compartir tus contraseñas con terceras personas, ya que si lo haces dejará de ser secreta y estarías dando acceso a tu privacidad.
  • Usa siempre claves diferentes para cada servicio que las requiera, no repitas contraseñas ya que estarías dando facilidades a los hackers para acceder a toda tu información personal.
  • Si usas el sistema de preguntas de seguridad, cerciórate que solamente tú sepas las respuestas para no poner en riesgo tu privacidad. Muchos servicios proponen preguntas muy simples cuyas respuestas podrían ser conocidas por cualquiera que haga una investigación sencilla de tus redes sociales. La mejor solución, en este caso, es dar una respuesta compleja o falsa que solamente sepas tú.
  • En caso de que no se te dé bien memorizar las contraseñas o utilices muchos servicios online, tienes la opción de emplear gestores de contraseñas. Estos programas son muy fáciles y útiles, pero tienen el inconveniente de que son dirigidos por terceras personas, por lo que perderías el control total sobre tus contraseñas. Para paliar este inconveniente, puedes crear tu propio gestor de contraseñas empleando otros programas que usen la nube como almacenamiento de datos. La contraseña de acceso a este gestor debe ser robusta y debes recordarla bien, puesto que si se te olvida no podrás acceder al resto de tus contraseñas. Otra recomendación es crear copias de seguridad del fichero de claves para evitar perder las claves almacenadas.
  • No dejes “post-it” con tus contraseñas ni hagas un Word o Excel con ellas, aunque pongas a estos documentos una clave de acceso.

Virtualización como herramienta de ahorro de costes

Cualquier empresa, ya sea grande o pequeña, y mucho más en los tiempos actuales, busca el ahorro de costes pero sin escatimar en medios para desarrollar su actividad.

Sea cual sea el tamaño de su empresa, las herramientas TIC pueden facilitar el trabajo del día a día ahorrando costes, tiempo y una mayor eficiencia energética. Una buena estrategia en este sentido puede determinar el éxito o el fracaso.

Una de las herramientas que nos puede ayudar a la hora de ahorrar costes y conseguir una mayor eficiencia energética es la virtualización.

 monitor-862132_1920

La virtualización ha conseguido un mayor auge gracias a los servicios en la nube, tecnología que está en continuo crecimiento y de la que hablaremos en futuros artículos del blog.

Como principales ventajas de la virtualización tendríamos:

  1. Aprovechamiento del hardware. Una única máquina física que puede albergar varias máquinas virtuales, lo que hace que aprovechemos mejor los recursos físicos de los que disponemos.
  2. Ahorro de energía. Reducción entre el 80% y 90% del consumo actual.
  3. Permite una gestón centralizada, lo cual permite un importante ahorro en costes de mantenimiento así como espacio físico.
  4. Disminuye o elimina los tiempos de parada. Los tiempos de parada del servicio por actualización, cambio de hardware, testear nuevo software, etc., son ahora prácticamente nulos.
  5. Simplificar la Gestión. Los responsables del sistema ven reducido considerablemente el tiempo necesario para la supervisión y mantenimiento del mismo.
  6. Facilidad de escalabilidad. Gracias a la virtualización de los cambios de la infraestructura IT son mucho más sencillos y rápidos.
  7. Continuidad del negocio. La recuperación de todos los servicios ante cualquier desastre es infinitamente más corta.
  8. Diseño de servidores. Permite configurar en un único servidor todos los servicios indispensables para no necesitar varios 24h encencidos.
  9. Mejora del retorno de la inversión.

Como comentamos en el punto dos, uno de los puntos fuertes de la virtualización es la reducción de consumo energético. Existen varios estudios que demuestran la reducción de costes y emisiones CO2, para entenderlo mejor os dejamos un ejemplo práctico de una instalación real publicado por la empresa Powernet:

“Partimos de una situación en la que hay alrededor unos 100 servidores y cinco sistemas de almacenamiento, junto con los correspondientes switches ethernet, fibre channel, más el aire acondicionado necesario para refrigerar todos estos equipos.

La mayor parte de estos servidores son bastante antiguos, con poca memoria y procesadores de hace varias generaciones, por lo que sólo son necesarios cinco servidores con procesador de 8 núcleos y 256 GB de RAM para soportar toda esta infraestructura, junto con un sistema de almacenamiento, sistema de backup, licencias, servicios profesionales, etc.

La siguiente tabla nos muestra la estimación de ahorros que se hizo. Obviamente, se trabaja con valores medios, pero los resultados se aproximan bastante a la realidad.

 Tarifa T-MTB Media tensión
 Horario Coste KW/h
 Periodo punta  0,1007 €
 Periodo valle  0,0361 €
 Periodo nocturno  0,0228 €
 Coste medio por KW  0,0532 €
 Consumo medio por servidor (kilowatios)  0,4
 Consumo: Coste KW/h * Servidores * consumo * 24 * 365  14.913,02 €
Consumo medio por sistema de almacenamiento (Kw)  1,00 €
 Número de Sistemas de almacenamiento  5
 Consumo: Coste KW/h * Almacenamientos * consumo * 24 * 365  2.330,16 €
 Consumo actual (Servidores + Almacenamiento)  17.243,18 €
 Coste Refrigeración: 0,5 veces el consumo  8.621,59 €
 Total Consumo anual  23.534,62 €
 Coste nuevos servidores (incluida refrigeración)  1.279,26 €
 Coste nuevo sistema almacenamiento (Incluida refrigeración)  557,14 €
 Coste nuevo sistema backup (Incluida refrigeración)  645,92 €
 Consumo total nuevos sistemas (Servidores + Almacenamiento)  2.482,32 €
 Ahorro anual  21.052,30 €
 Ahorro en cinco años  105.261,48 €

El presupuesto total de la implantación, incluyendo el hardware necesario, la migración de las máquinas virtuales, formación, y cinco años de soporte para toda la plataforma estaba alrededor de los 250000€. Si tenemos en cuenta los ahorros en costes de mantenimiento y administración, el coste de la implantación se amortiza en poco más de dos años. Si se opta por una modalidad de renting, lo que percibe el cliente es que el coste mensual de su infraestructura informática baja aproximadamente a la mitad. La factura eléctrica baja a poco más de la décima parte.”

laptop-1104066_1920

Esperamos que con este ejemplo práctico puedan darse cuenta de que el ahorro es real, porlo que si está pensando en adquirir o renovar su equipamiento IT, tenga en cuenta que la virtualización es una herramienta que lleva años dando buenos resultados y cada vez más empresas deciden dar el salto a esta tecnología.

Servidores NAS: Tu empresa viaja contigo

movilidad

Dropbox, Google drive, Onedrive, iCloud drive, etc. Existen muchas opciones, gratuitas y de pago, para poder almacenar en la nube tus datos y poder tener acceso a ellos desde cualquier lugar y dispositivo.

Actualmente poder manejar tu información sin importar la ubicación, únicamente teniendo una conexión a Internet, puede marcar la diferencia con tus competidores.

Las grandes multinacionales tecnológicas son conscientes de ello y por eso desde hace un tiempo están reforzando los productos enfocados a movilidad.

Para muchos, Amazon es una tienda online donde se puede comprar casi todo, pero actualmente es puntera en servicios de Cloud tanto para particulares, pequeñas empresas o multinacionales. Empresas como Dropbox o Spotify se encuentran dentro de su cartera de clientes.

Otras empresas como Microsoft, Google u Oracle luchan por llevarse una parte del pastel en un mercado que aún está por explotar.

Estas plataformas permiten, aparte de almacenar información, instalar máquinas virtuales, BBDD, servicios de streaming, etc. Las posibilidades de los servicios Cloud son infinitas.

Aunque la sociedad actual cada vez se muestra más abierta a utilizar este tipo de servicios, todavía hay mucha gente reacia a tener su información en la nube (aunque no sea consciente que seguramente esté utilizando servicios Cloud de forma habitual sin darse cuenta).

Otro posible inconveniente es que, para muchos de esos servicios, se requiere de personal IT para instalar y sobre todo mantener dichas infraestructuras.

Existe un producto que, aun perdiendo grandes beneficios del Cloud Computing como puede ser escalabilidad, tiempos de parada, rendimiento, costes… permite tener nuestra información disponible en cualquier lugar, reducción de costes ante un servidor standard y con mantenimientos mínimos: los llamados servidores NAS.

cloud

Los servidores NAS son sistemas de almacenaje a los que se accede mediante red. Actualmente aparte de utilizarlos para almacenar datos accesibles por todos los equipos de la red local, muchos de ellos vienen con sistemas operativos básicos que permiten instalar aplicaciones, utilizarlos como servidores web, multimedia (DLNA), VPN, virtualización, etc.

Este tipo de equipamiento se instala en tu red local y tiene un tamaño que puede ir desde un disco duro externo al tamaño de un servidor enracable (por ejemplo). Incluso los más básicos pueden disponer de controladoras RAID para una mayor seguridad de los datos.

Su configuración a nivel doméstico es muy sencillo; a nivel profesional es recomendable que para un perfecto funcionamiento lo configure un profesional IT. Una vez instalado, la gran mayoría de marcas disponen de un servicio gratuito implementado en el propio software del servidor que permite el acceso a sus datos desde cualquier dispositivo conectado a Internet, sin necesidad de saber IP Pública, lo que permite una total movilidad de los datos y servicios instalados en el servidor.

Las conexiones se pueden realizar cifradas, SSL, VPN, etc, lo que proporciona una mayor seguridad para la tranquilidad de los usuarios.

Hay un amplio abanico de modelos para todo tipo de necesidades y bolsillos. Este hecho ha facilitado su entrada en muchos hogares, por lo que no es un producto únicamente para uso profesional.

Si quieres llevar tu empresa a donde vayas, aumentar tus servicios con tus clientes y no perder un posible negocio por no tener el documento necesario en el momento exacto, un servidor NAS puede ser una gran solución

Windows XP nos deja

Ayer fue el día!.

Windows XP dejo de recibir soporte técnico desde ayer, y lo ha hecho dejándonos multitud de parodias e imágenes graciosas que circulan por Internet. Os dejamos una recopilación de ellas y los mejores momentos.

Si aún no has migrado a otro sistema operativo, en este post te explicamos las consecuencias que puede tener.

 

Déjanos tu opinión y si conoces otras parodias compártelas!

Creación de un Sistema Gestor de la Seguridad de la Información (SGSI) según las normativas ISO27001 y 27002.

Un SGSI es una poderosa herramienta de estudio de la situación real de una empresa y se define como un conjunto de políticas de administración de la información, con todo lo que eso conlleva. Dicho de otro modo, en un SGSI se define y organiza el diseño, la implantación y el mantenimiento de un conjunto de procesos que ayuden a gestionar eficientemente la accesibilidad de la información, y que aseguren la confidencialidad, integridad y disponibilidad de los activos de información, minimizando a la vez los riesgos de seguridad de éstos.

La normativa ISO27001 deja mucha libertad a la hora de implantar un SGSI, y por tanto surgen múltiples metodologías, tanto nacionales como internacionales, o incluso metodologías desarrolladas por iniciativas privadas. Por tanto, el resultado final dependerá directamente de la metodología escogida y lo fielmente que la realización final se ajuste a ella.

Las ventajas de implantar un SGSI son múltiples: se consigue una mejora de la seguridad de los activos de la empresa, un mejor conocimiento interno de la misma, y se elaboran políticas repetibles que dan continuidad al trabajo y al desempeño de los trabajadores. A mayores de todo esto, se minimizan los riesgos a los que está sometida la empresa, y el impacto de los mismos si es que llegan a materializarse.

Sin embargo, implantar un SGSI no es un proceso sencillo ni barato, tanto en términos monetarios como de tiempo y recursos humanos. Un SGSI es un proceso que debe verificarse por un agente acreditado externo, que suele requerir un periodo aproximado de año y medio para implantarse con éxito, y que además debe mantenerse para que tenga alguna validez. Si un SGSI no se revisa constantemente inevitablemente quedará desfasado, y pasará a dejar de ser válido. Además, el tiempo dedicado a su implantación no se dedica a otras tareas, a menudo más urgentes o inmediatas.

Por todo esto, cabe concluir que la decisión de implantar un SGSI debe ser meditada y consensuada por la directiva y el departamento técnico de una empresa. Cualquier tipo de empresa puede beneficiarse de su implantación; sin embargo, el esfuerzo necesario para llevarlo a cabo no se debe emprender a la ligera. Debe estudiarse con detenimiento para asegurarse de que la ganancia acarreada por su implantación superará a los costes que generen dicha implantación y su posterior mantenimiento.

 

Fdo. Javier González Rodríguez
Dpto. Desarrollo de Leasba Consulting

30 Aniversario de amenazas informáticas para Mac [infografía]

Pensar que los equipos MAC están exentos de vulnerabilidades hace tiempo que es un error. En la siguiente Infografia de ESET España podemos verlo:

 

Hace 30 años que apareció la primera amenaza considerada seria para Mac. Desde entonces, y a medida que la cuota de mercado mundial de Apple ha ido creciendo, los cibercriminales han comenzado a ver un excelente caldo de cultivo en estos usuarios que, además, gozan de una aparente sensación de seguridad.
ESET España, operado por Ontinet.com, conmemora este aniversario en aras de una mayor concienciación y educación para todos los usuarios de Mac, que pueden verse afectados por estas u otras amenazas informáticas que se están distribuyendo o que pueden ser vectores de distribución de amenazas para Windows sin siquiera saberlo.
Y es que la historia de Mac ha estado llena de amenazas informáticas, aunque no todas se han distribuido masivamente. Estos son los códigos maliciosos más importantes de los últimos 30 años:
30 Aniversario de amenazas informáticas para Mac
 
ESET España – NOD32 Antivirus – Historia de amenazas de Mac

A modo de hoja de ruta extendida, esta es la explicación de cada uno de estos códigos maliciosos que se han hecho famosos por una u otra razón:

  • 1982. Elk Cloner. El que es considerado como el primer virus informático que no era una prueba de concepto y que se propagó fuera de un laboratorio, fue diseñado para los ordenadores Apple II. Cuatro años antes de Brain, el primer virus para PC, este virus infectaba los sectores de arranque de los disquetes de 5.25 mostrando un mensaje en la pantalla. Aparte de esto, no hacía nada más dañino, pero abrió el camino para lo que vendría después.
  • 1987 Don’t panic. Otro de los virus que afectó a los sistemas Mac a mediados de los 80 fue nVIR o “Don’t Panic” (por ser uno de los mensajes que se mostraban al usuario). Como Elk Cloner, este virus también se replicaba usando los disquetes como medio de transmisión. No obstante, nVIR sí que tenía malas intenciones y causaba bloqueos en las aplicaciones, errores de impresión, lentitud en el sistema, etc.
  • 1990 MDEF. También conocido como Garfield, apareció en 1990 e infectaba aplicaciones y sistemas de ficheros en los ordenadores Macintosh 128K y 512K, 512KE, Mac Plus, SE, SE/30, II, IIx, IIcx, IIci y IIfx computers. No tuvo una propagación internacional y tampoco era especialmente sofisticado ni pretendía causar graves daños, pero sí provocaba bloqueos en el sistema y dañaba archivos.
  • 1995-98 Concept/Laroux. A mediados de los 90 se popularizaron los virus de macro que se aprovechaban de vulnerabilidades en los procesadores de textos u hojas de cálculo para infectar al sistema. En 1995, WM.Concept se aprovechaba de uno de estos errores en MS Word para Mac para mostrar un mensaje simple con el número “1” en pantalla. No hacía nada más, pero era una prueba de que se podía ejecutar código no autorizado. Un poco más tarde aparecía Laroux, que se aprovechaba de una vulnerabilidad en Excel para mostrar una hoja de macro llamada “laroux”. No hacía nada dañino, pero demostraba, una vez más, que existían agujeros de seguridad que podían ser aprovechados de forma maliciosa.
  • 1998 SevenDust/666, Autostart 9805. A finales de los 90 vimos nuevos virus para sistemas Mac como Sevendust, que apareció unos días antes de celebrarse Halloween en 1998 y que eliminaba todos los ficheros de los discos duros infectados, pero dejaba las aplicaciones y un archivo llamado “666” en la carpeta Extensiones. Por su parte, Autostart fue uno de los primeros gusanos para Mac y se aprovechaba de la funcionalidad de autoarranque que incorporaba QuickTime 2.0 (similar a lo que los sistemas Windows sufrirían durante años con la función Autorun). Este gusano sobreescribía archivos que contuviesen información y se propagaba de forma automática usando disquetes, cds grabables, discos duros e imágenes de disco.
  • 2004-2006 Renepo/Leap-A. En 2004, cuando Mac OS X ya llevaba unos años en el mercado, vimos cómo un nuevo ejemplar de malware aparecía para esta plataforma. Renepo, también conocido como Opener, tenía como objetivo desactivar el cortafuegos y algunas de las características de seguridad que incorporaba el sistema. Asimismo, intentaba localizar contraseñas en el disco duro para después crackearlas. Este malware intentaba copiarse a sí mismo y propagarse a otros discos u ordenadores conectados en red, pero no a través de Internet. Por su parte, Leap-A fue un malware descubierto en 2006 que se propagaba usando la aplicación de mensajería de OS X, iChat. Este código malicioso se camuflaba como una imagen y se propagaba por la lista de contactos del usuario, infectando las aplicaciones Cocoa de cada sistema.
  • 2007 DNS Changer. DNS Changer fue un troyano que, en 2007, utilizó tácticas muy similares a las que se usaban (y se siguen usando) en sistemas Windows. Camuflado como una nueva versión de un códec de vídeo, necesario supuestamente para poder visualizar contenido en sitios pornográficos, instaba al usuario a ejecutarlo y así conseguir infectar el sistema. Una vez infectado, el malware modificaba la configuración de los servidores DNS para redirigir al usuario a sitios webs maliciosos o de phishing mientras navegaba, así como también a otras webs de contenido pornográfico.
  • 2009 Troyano iWork. Otra de las técnicas que los ciberdelincuentes exportaron desde sistemas Windows fue la de infectar software que estaba siendo descargado desde sitios no oficiales. La suite ofimática iWork fue la elegida para actuar como cebo e incluir un troyano cuando era descargado de forma ilícita. Con esto se consiguió llegar a un buen número de usuarios que descargaban software pirata e infectarlos. Debido a que la mayoría de usuarios de Mac no usaban antivirus y el programa funcionaba correctamente, muchos permanecieron infectados durante meses sin saberlo mientras el troyano se comunicaba con un servidor remoto y buscaba datos sensibles, almacenaba el historial de navegación o guardaba las pulsaciones del teclado.
  • 2011 MacDefender. Los falsos antivirus eran ya una plaga con varios años a sus espaldas en entornos Windows cuando a mediados de 2011 MacDefender hizo su aparición. Este tipo de malware asusta a los usuarios mostrando una elevada cantidad de mensajes de alerta e indicando que el sistema se encuentra infectado por varias amenazas inexistentes. Con esta técnica no solo se consigue que el usuario pague por algo completamente inútil, sino que consigue infectar aun más su sistema mientras que proporciona valiosa información de su tarjeta de crédito a los ciberdelincuentes.
  • 2012 Flashback. La que ha supuesto hasta el momento la mayor cantidad de equipos Mac infectados por un malware, con más de 600.000 equipos afectados e incluidos en una botnet aprovechándose de un vector de ataque muy explotado en la actualidad. Las vulnerabilidades sin parchear en software multiplataforma como Java suponen un grave agujero de seguridad y es de este fallo de lo que se aprovecharon los creadores de este malware. Una vez las máquinas infectadas estaban dentro de la botnet, estas se encontraban a merced de lo que quisieran hacer con ellas los ciberdelincuentes. La lentitud con la que reaccionó Apple a esta amenaza tampoco ayudó a los usuarios y hace que, actualmente, Mac OS empiece a sufrir un nivel de amenazas peligrosamente alto.

 

Leasba Consulting es partner de ESET, consulta la gama de productos tanto para MAC como para Windows o Linux.