Story Transcript
2012
Buenas prácticas de seguridad
Buenas prácticas de seguridad [Escribir el nombre de la compañía] 01/01/2012
B u e n a s
B
p r á c t i c a s
d e
s e g u r i d a d
UENAS PRÁCTICAS DE SEGURIDAD.
La seguridad en tú equipo de cómputo puede ser mejorada siguiendo algunos consejos básicos que te ayudarán a prevenir problemas que pongan en riesgo tu información importante. En la actualidad no es suficiente que tengas instalado en tú equipo software de seguridad (como por ejemplo software antivirus, firewall personal, etc.), sino también, se deben seguir una serie de lineamientos que ayudarán a disminuir la probabilidad de que tú computadora sufra daños por parte de algún tipo de código malicioso o intruso.
Contenido No abras archivos de extraña procedencia ......................................................................................... 3 Revisa cualquier archivo en busca de virus ......................................................................................... 4 Establece una contraseña compleja en tu equipo .............................................................................. 4 No reveles tu contraseña a ninguna persona extraña ........................................................................ 7 Sé cuidadoso de los correos tipo Hoax ............................................................................................... 8 Utiliza una cuenta limitada en el sistema ........................................................................................... 9
2
B u e n a s
p r á c t i c a s
d e
s e g u r i d a d
1. No abras archivos de extraña procedencia Una gran diversidad de virus en el Internet se propaga a través del correo electrónico, adjuntando a estos un archivo infectado con lo cual se puedan seguir propagando. La mayoría de los virus se propagan mediante archivos con doble extensión, es decir, archivo.doc.exe o con extensiones que pueden ejecutar código que pueda poner en riesgo la seguridad del equipo. Es recomendable no abrir los archivos que presenten una o más de las siguientes características: Archivos con doble extensión, por ejemplo, archivo.doc.src Archivos con extensiones .exe, .src, .vbs, .pif, por mencionar algunos. Archivos no solicitados, por ejemplo, el recibir un archivo de alguien desconocido e invita a abrir el archivo por que es información solicitada, o es el último video de moda, o es una foto de un artista famoso, entre otras. No abrir archivos comprimidos y con contraseña, las cuales vienen en el texto del mensaje. Se esta volviendo cotidiana esta técnica con la cual las firmas antivirus son evadidas. Archivos de correo electrónicos extraños. Es común que los virus después de contaminar usen las libretas de direcciones del equipo infectado para seguir propagándose. Al recibir un correo electrónico de un contacto de confianza lo abrimos sin generar ninguna sospecha, por lo tanto, se recomienda verificar si este correo es "normal", es decir, preguntarnos si el usuario que mando el correo nos iba a mandar información, nos escribe continuamente, es de las personas que nos manda correo para divertirnos, etc. Esto puede evitar que nos contaminemos con un virus que es enviado por alguien de confianza cuyo equipo se infectó con un código malicioso. -No se deben abrir correos con ligas a supuestas tarjetas virtuales o videos animados, debido a que esto podría ser una forma de introducir un virus al equipo y comprometer la seguridad de equipo
3
B u e n a s
p r á c t i c a s
d e
s e g u r i d a d
2. Revisa cualquier archivo en busca de virus Los virus se propagan en una gran diversidad de formatos como lo son, documentos de texto (.doc, .exe, .ppt.), imágenes (.gif, .jpg), archivos comprimidos (zip, rar), aplicaciones (.exe, .src, .vbs, .pif ), entre otras. Por lo tanto, es recomendable que antes de abrir un archivo de un correo electrónico, disco flexible, memoria usb, cd-rom, entre otros se analice con un antivirus, el cual debe estar actualizado con las firmas más recientes. Un software antivirus que no cuente con las actualizaciones de firmas antivirus resulta una herramienta de seguridad obsoleta debido a que diariamente surgen nuevos virus o nuevas variantes. Si no se cuenta con antivirus, existen varias versiones de antivurus que realizan un análisis en línea, con los cuales es posible revisar el equipo o determinadas partes del equipo, lo único que se necesita es acceder a su sitio Web.
4
B u e n a s
p r á c t i c a s
d e
s e g u r i d a d
3. Establece una contraseña compleja en tu equipo La mayoría de las veces no basta con tener un firewall, un antivirus y un antispyware, debido a que existen diversas técnicas con las cuales se puede acceder al equipo con solo conocer el nombre de usuario y la contraseña del mismo. Hoy en día es muy común que los equipos tengan contraseñas débiles, lo que representa un riesgo de seguridad alto. Esta mala configuración de contraseñas cumple con las siguientes características: 1. Contraseñas en blanco, es decir, no utilizar una contraseña para entrar al equipo. 2. Usar el nombre o apellido, usar el nombre de alguna persona afectiva, el mismo nombre de usuario, fecha de nacimiento, etc. En pocas palabras utilizar algo que es fácil de identificar y descifrar. 3. Usar una palabra que aparezca en un diccionario, como por ejemplo, puma, gato, casa, mama, papa, entre otras. Es recomendable para aumentar la seguridad de nuestros equipos aplicándoles una contraseña fuerte. Una contraseña fuerte debe cumplir con las siguientes características: 1. 2. 3. 4. 5.
Debe ser igual o mayor a 8 caracteres. Debe contener letras mayúsculas. Debe contener letras minúsculas. Debe contener números. Debe contener símbolos, todos los caracteres no definidos como números o caracteres como lo son:. ! @ # $ % ^ & * ( ) _ + | ~ - = \ ` { } [ ] : " ; ' < > ? , . /.
Pero como realizar una contraseña de este tipo. Comencemos con algo simple, seleccionemos una o dos palabra juntas. Por ejemplo la "soyabogado". Ya cumplimos con la primera característica de que la contraseña debe de ser igual o mayor a 8 caracteres, ahora vamos con la segunda para esto transformamos las primeras letra de las palabras en mayúsculas "SoyAbogado". Claramente notamos que hemos cumplido con la segunda y tercera característica Vamos por la cuarta lo que podemos hacer es cambiar una "ele" por un "1" o un "7", una "o" por un "0" (cero) una "e" por un "3" una "ese" por un "5", sólo necesitamos un poco de imaginación, por lo que nuestra frase quedaría de la siguiente forma "50yAb0gaD0". Ahora por último solo nos faltan los símbolos podemos cambiar una "ese" por "$" una "y" por & ó una "a" por una @ y la frase terminaría de esta manera "$0yAb0g@D0".
5
B u e n a s
p r á c t i c a s
d e
s e g u r i d a d
Con todo esto podemos tener una contraseña fuerte la cual puede aumentar la seguridad de nuestros equipos. Otra técnica que esta ganando muchos adeptos en la actualidad son la "passphrase" las cuales son frases comunes o cosas personales fáciles de recordar. Como por ejemplo: "En la maestría tengo 80% créditos", algo largo pero más fácil de recordar que 32x!Ewzmsc. Posiblemente la desventaja de este tipo de técnicas es el que si se comente un error al teclearla se necesitara volver a teclear, pero bueno esto te facilitara el recordar contraseñas más fácilmente. Otro ejemplo sería "La comida es a las 14 horas". Si a todo esto le combinamos el cambiar letras por números o símbolos como lo habíamos mencionado anteriormente nos quedaría una contraseña más fuerte y difícil de romper, por lo que la contraseña quedaría de la siguiente manera "L@ c0mida 3s a las 14 hor4s". Finalmente se recomienda que las contraseña sean cambiadas después de un determinado tiempo, además, todas las contraseñas que se utilicen deben ser diferentes. Es importante mencionar que una contraseña fuerte deja de ser fuerte cuando alguien más la conoce.
6
B u e n a s
p r á c t i c a s
d e
s e g u r i d a d
4. No reveles tu contraseña a ninguna persona extraña Es muy importante que la contraseña sea confidencial y que no se comparta con ninguna otra persona, no se escriba en un post-it, una libreta, debajo del teclado, entre otros, debido a que con esto hay más probabilidades de que el equipo o la información se vean afectados. Lo anterior se debe a que es muy común que exista gente mal intencionada que al tener una contraseña en su poder puede realizar cosas no éticas en los equipos como borrar, modificar o copiar información, instalar programas que afecten la seguridad de nuestra información o que capturen contraseñas de otras cuentas. En el peor de los casos, un usuario podría utilizar la contraseña para realizar actividades maliciosas contra otros equipos.
7
B u e n a s
p r á c t i c a s
d e
s e g u r i d a d
5. Sé cuidadoso de los correos tipo Hoax El correo tipo Hoax es un correo electrónico con información falsa el cual se distribuye mediante una cadena. Las cadenas son correos reenviados por enésima vez por los usuarios. La característica principal es el anunció en este de información falsa sobre empresas, virus, gente que va a morir, desastres naturales, regalarte algún articulo, convertirte en millonario, supersticiones en las cuales si rompes la cadenas morirás o te pasara algo malo entre otros. Además de que en todos los casos pide que sea reenviado a todos los contactos para que se les informe sobre esto. Por lo tanto es recomendable no reenviar y eliminar este tipo de correo por que generan tráfico en los servidores de correo además de evitar que la gente pierda demasiado tiempo en revisar correos falso.
8
B u e n a s
p r á c t i c a s
d e
s e g u r i d a d
6. Utiliza una cuenta limitada en el sistema Si en tu sesión de trabajo no necesitas instalar programas o modificar seriamente la configuración de tu equipo, puedes crear una cuenta de privilegios limitados, lo cual evitará que programas no deseados como spyware, troyanos o algún otro código malicioso, no tengan permisos para modificar al equipo. Además, con esto asegurarás de no alterar tu configuración de manera accidental. En Windows esto se puede hacer a través de la sección Cuentas de Usuario dentro del Panel de Control. En la opción de Crear una Cuenta Nueva, después de proporcionar el nombre de la cuenta se puede definir el tipo y solicitar la cuenta limitada. No olvides establecer una contraseña robusta y diferente a la de tu cuenta de mayores privilegios (la de administrador).
9