You are currently browsing the tag archive for the ‘Seguridad’ tag.


Estamos acostumbrados a que nuestros ordenadores están cada vez mas conectados. Esto facilita el trabajo – también para quienes nos espian. Desgraciadamente no es suficiente añadir medidas tecnicas. También debemos cambiar nuestra actitud.

No será como antes

Como analogía nos pensamos en una pequeña aldea remota, donde los pocos visitantes se tratan con hospitalidad. El gobierno decide construir una carretera entre dos ciudades que pasa por esta aldea. Con esta carretera, la aldea esta ahora conectado al gran mundo. Y con ella vienen los criminales. Tras un par de robos, los aldeaños deciden a establecer contramedidas.

Al principio los aldeaños sólo optan por medidas técnicas y administrativas: se emplea policía, se instalan camaras de supervisión y se controlan los carnés de identidad. Es decir, en juerga informática, se instalan un antivirus y un firewall.

No obstante, los aldeaños se dan cuenta que esto no es suficiente. Mientras antes se daba la bienvenida a todos, ahora reina la desconfianza. Aunque el trabajo de las fuerzas de seguridad está bien, no se puede vigilar todo a todas horas. Los aldeaños deben cambiar su comportamiento: deben cerrar las puertas a llave cuando antes entraban en la casa de cualquier vecino sin problema, deben poner vallas donde antes hubo un paisaje abierto y deben estar atentos a personas sospechosas. Cuando antes los aldeaños eran un poco tímidos, ahora deben tomar iniciativa y preguntar a los visitantes sobre sus intenciones.

Como uno puede imaginar, todos estos cambios no son fáciles para los aldeaños. Antes tenían una vida simple y ahora deben pensar en llaves, seguir las vallas y acercar a otra gente. Seguramente se quejarán mucho de esto, pero es la única manera de protegerse contra los malos de fuera. Cuando antes lo acceptan, antes se ajustan a las nuevas necesidades.

El Internet tampoco es como antes

Algo parecido a los aldeaños ha pasado en Internet. En los años noventa del siglo viente eramos felices, cuando una página web se descargó en un tiempo razonable. Hoy la tenemos en pocos segundos e incluso hay tiempo para bajar JavaScripts adicionales que envían nuestros datos a unos cuantos servidores más. Podemos hacer vídeochats sobre servidores que son lo suficientemente potentes para hacer una copia de nuestro vídeo y pasarla a varios servicios secretos en tiempo real.

Ten en cuenta que el peligro por el robo de datos normalmente ni es espectacular ni obvio ni inmediato: un puesto de trabajo que ya está ocupado, un control policial así de repente, un seguro de salud de que un día te enteras que es mucho más caro que el de tu amigo. No sabes, quién tiene cuántos de tus datos y cómo lo usa. Y, sí, ¡tienes algo que esconder! Pero eso no andas desnudo por la calle, ¿verdad?

Debemos aceptar, que todo lo que enviamos por Internet, está a disposición de todos por todos los tiempos aunque nosotros lo hemos subido como “privado”. Podemos enfadarnos que tantas organizaciones roban nuestros datos, pero ellas no se cambiarán.Será más fácil cambiar nuestra actitud. (Recuerda el tiempo que la gente ya intenta cambiar la iglesia católica.)

Cambio de cultura

Debemos acostumbrarnos, que no todo lo que es posible es recomendable. Debemos aceptar a utilizar una manera más difícil para nosotros si esta pone la vida mucho más difícil a posibles atacantes. Incluso debemos estar dispuestos a no utilizar ciertos servicios si no son seguros. Esto puede llegar a costarnos oportunidades y amistades. Y seguramente nos cuesta potencia neuronal y tiempo.

La nueva cultura en un ejemplo

Quiero dar un ejemplo, qué este cambio de cultura puede significar concretamente.

El coste real: datos o dinero

Queremos mantener una copia de seguridad de nuestros datos. La manera fácil es subir todo a la nube. Ahí hay alguien quien se encarga a proveer los discos necesarios para guardar todo y hacer las copias suficientes para que se pierda ningún dato si uno de estos discos falla. Probablemente este alguien no lo hará realmente gratis. Simplemente no le pagas en dinero sino en datos. Y con estos datos sacarán aún más dinero contigo más tarde.

Ahora lo haces diferente. Te compras un disco duro para tu copia de seguridad y otro disco para tener una segunda copia. El disco pagas tú, pero nadie más tiene el disco que tú. Es decir, un cambio de cultura es estar dispuesto a pagar por lo que usas. Bueno, quizá no es un cambio sino simplemente aplicar la cultura que ya tienes en otros dominios.

No todo por la red

Lo más comfortable es montar tu nuevo disco duro en red. Así está disponible para hacer copias de seguridad en cualquier momento. El disco conectas al mismo router que usas para navegar por Internet. Pues, probablemente tu router no está infiltrado.

Más seguro aún es si no conectas tu disco duro por la red. Lo conectas con tu ordenador cuando hace falta. Si no lo usas, lo desconectas. Así disminuyes el tiempo que un atacante tiene para hacerse con su contenido. Aunque este tenga acceso completo a tu máquina, no tendrá tiempo suficiente para enviarse todos los ficheros. Para ti, conectar y disconectar el disco es un cambio pequeño; para el atacante requiere encontrar el momento en que puede empezar y renanudar su misión.

Más seguro aún es utilizar un ordenador (viejo) sin conexión de red alguna. Aunque tú apagas la antena, un virus bien programado lo puede dejar encendido sin que te des cuenta. Por eso se venden ordenadores que simplemente no tienen antena: los portátiles air gap. No obstante, antes de gastar dinero considera utilizar una máquina vieja.

Utiliza encriptación

Cómo no querrás renunciar a la red por completo, al menos encripta todo lo que puedas. La forma más potente es que tú encriptas tus datos en tu máquina antes de subirlos. Entonces los señores en medio pueden copiar lo que quieran – sólo ven datos encriptados.

No olvides que una conexión https sólo encripta el canal entre tú y la página web que usas. El proveedor de la página puede leer todo. Si no quieres esto, debes encriptar tus datos antes de enviarlos.

En general evita enviar más de lo necesario: aunque la encriptación hace imposible descifrar tus datos ahora, el avance tecnológico puede hacerlo posible cuando te quieres presentar a las elecciones presideciales.

Una lista de consejos

Quiero enumerar algunos cambios de comportamiento simples que deberías considerar aparte de las medidas técnicas. Estas medidas no harán un robo de datos imposible. Pero, sí, suben bastante el coste para robarlos.

  • No generes más datos que necesario. No hagas fotos o bórralas si no quieres guardarlas. No escribas cosas en los foros públicos que no quieras que salgan en un periódico. Borra datos que ya no tienen uso. Si no quieres destruir el disco, bórralos seguro (sobrescribiéndolos varias veces).
  • Evita subir más datos que necesario. No reenvíes todo que te envían, no te registres en todo, evita poner tu nombre en claro si te obligan registrar. Ten en cuenta también los meta-datos: cuado te has conectado a qué y con quién.
  • Separa datos. No pongas toda tu vida en Internet y no todo al mismo sitio. Saber que fuiste 3 veces al doctor no es muy interesante. Saber que compraste un libro sobre testamentos tampoco. Pero saber las dos cosas juntas, ¡sí!. El peligro no viene por un solo dato sino por la conexión entre muchos.
  • Guarda los datos lo más local posible. No subas datos a la nube que no tienen que estar ahí. Para protegerte contra un incendio, guarda copias de seguridad en varios discos distribuidos por la vivienda o en casa de un familiar.
  • Encripta datos. Crea archivos con 7-zip or volúmenes encriptados con VeraCrypt. Encripta también tus copias locales. Si roban tu disco, no podrán leerlo.
  • Acostúmbrate a contraseñas no triviales. Tienes una para entrar en tu sitema, otro para abrir el volumen de ficheros encriptado, otro para entrar en la red y otro más para cualquier sitio de Internet. (En este punto te podría interesar el artículo Cómo memorizar muchas contraseñas diferentes.) Si estás acostumbrado a muchas contraseñas te cuesta dos minutes más a arrancar tu máquina. Al atacante, en cambio, frena mucho más porque tiene muchas puertas cerradas a llave delante.
  • Aprende teclear las contraseñas con un poco de camuflaje – cubriendo con una mano la otra y utilzando diferentes dedos. También es difícil ver lo que tecleas si tecleas rápido con diez dedos sin mover las manos.
  • Verifica checksums y signaturas. Muchos proveedores ofrecen hashs para autentificar su software. Debes aplicar el mismo algoritmo que ellos para obtener el mismo hash – sino hay posibilidad de fraude. Esta verificación es un tema avanzado y no deberías preocuparte si no lo entiendes – y todavía ni sigues los otros consejos.
  • Usa máquinas virtuales para cada tipo de navegación: Una para el banco, otro para tu email, y uno más para navegar por donde sea. Para un virus es mucho más difícil contaminar todas las máquinas virtuales que sólo una real. Si un virus distruye tu máquina virtual, la borras y creas una nueva.
  • Trabaja offline. Una máquina virtual puede ser sin conexión de red. O mantienes un viejo ordenador sin conectarle a la red. Debes copiar ficheros a mano ahí, pero el atacante también. Y este no vive al lado probablemente.
  • Apaga la conexión de red si no la necesitas. En los ordenadores portátiles puedes apagar la conexión de red con una combinación de teclas como Fn + F2. Esto no te protege contra un virus en el firmware, pero acorta el tiempo que tiene un virus de software a enviar los contenidos de tu pantalla como película en tiempo real.
  • Restringe el acceso físico al hardware. Es posible añadir algo más que envía datos sin que te enteras. Esto vale sobre todo para routers en empresas.
  • No te conectes a todo en todos los sitios. No te conectes a una página que requiere contraseña, si sólo hay un Wifi no encriptado. Mejor lee el periódico en papel.
  • Piensa en papel. Es más trabajo interceptar una carta que un email. Papel mantiene la información más tiempo que cualquier memoria electrónica y se puede destruir perfectamente en un fuego.

A pesar de todo cambio de cultura, no olvides que también se requieren medidas técnicas.

Referencias

  • El programa de código abierto 7-zip permite tratar muchos formatos de archivos e crear archivos encriptados. Se puede instalar una extensión al Explorador de ficheros en Microsoft Windows. En Linux se debe instalar el paquete “p7zip-full”. El paquete “p7zip” solo no basta.

    Al contarario del viejo format zip, el formato 7z permite encriptar también los nombres de ficheros que el archivo contiene. No obstante, es mucho mejor un viejo archivo zip encriptado que ninguna encriptación. Si no tienes una caja fuerte como los grandes bancos, entonces es todavía mejor dejar tu dinero tras una puerta de madera cerrada a llave que abierto en la mesa. Pues, encriptación con zip es usar la puerta de madera, el formato 7z es la caja fuerte del banco.

  • VeraCrypt es un succesor digno del difunto TrueCrypt. Sirve para crear contenedores de ficheros encriptados y montarlos como unidades de disco.

Lectura adicional

Muchas veces se habla de una “encriptación de x bits”. Pero esto, ¿qué significa? Sabemos que más bits de encriptación suele ser mejor, pero ¿es una encriptación de 128 bits el doble de seguro que una de 64 bits?

El significado de bits

Toda encriptación usa de alguna manera una contraseña. Una encriptación de x bits dice, que se elige la contraseña entre 2x posibles. Es decir, una contraseña de 128 bits no es el doble seguro que una de 64 bits. Es 264 veces más segura. (264 · 264 = 2128). En otras palabras, duplicamos el espacio de contraseñas por cada bit que añadimos – y con esto el tiempo que un posible atacante tarda en hallarlo. Es decir, un bit más o menos, sí, importa.

El número de bits en una contraseña ideal

Si formaramos nuestra contraseña por dígitos binarios, entonces nuestra constraseña tendría tantos bits como dígitos. Por ejemplo, una contraseña de longitud ocho tendría ocho bits.

No obstante, solemos eligir entre más símbolos. Si usamos cifras decimales, podemos eligir entre diez. Es decir, cada símbolo adicional añade un poco más de 3 bits (23 = 8). Si tenemos un PIN de cuatro dígitos, entonces tenemos 104 posibilidades. Si nuestro PIN tiene seis dígitos, tenemos un millón.

Otra forma de incrementar el número de bits es eligir entre más símbolos. Si usamos letras y cifras tenemos 36 posibilidades por posición, si permitimos, además, mayúsculas tenemos 62 símbolos y con símbolos como !”·$%&/()= llegamos a quizá 75 posibilidades. Usar más símbolos incrementa drásticamente el número de contraseñas posibles como vemos en la tabla abajo.

Nombre de símbolos Cifras Cifras y minúsculas Cifras, minúsculas y mayúsculas Cifras, letras e interpuctuación
Número de posibilidades 10 36 62 aprox. 75
Número de bits por símbolo (log2) 3.3 5.2 5.9 6.2
Número de bits en una contraseña de longitud 8 26 42 47 50
Posibilidades en una contraseña de longitud 8 0.000112 2.8 · 1012 218·1012 100112

El número de bits en una contraseña real

En el apartado anterior hemos hablado de una contraseña ideal ya que hemos tenido en cuenta todas las posibilidades que se pueden formar con un número de símbolos determinado. No obstante, las contraseñas reales no son así.

Solemos preferir contraseñas que podemos memorizar más fácilemente. Y estas son palabras del diccionario. Una lengua natural tiene quizá 30.000 palabras con ocho letras o menos. Esto dista mucho de las 218.340.105.584.896 permutaciones teóricas de ocho mayúsculas, minúsculas y cifras.

Esta límitación que la contraseña debe ser memorizable afecta más que la longitud de la contraseña a la seguridad. Un religioso podría eligir como contraseña o bien la Biblia entera o el Corán entero. Aunque tendría una contraseña muy larga, tendría nada más que un solo bit de seguridad, ya que sólo elige entre 21 = 2 posibilidades.

Esto nos lleva a otra amenaza para la contraseña: en el momento que un atacante sabe que eliges contraseñas según un cierto patrón, se limita drásticamente el número de contraseñas que debe probar a ciego. Sin embargo, nosotros necesitamos algún patrón para poder memorizar constraseñas, sobre todo si son varias. Por eso es tan importante no eligir un patrón obvio. Si el atacante sabe que eres religioso, entonces es más probable que eligas palabras de este dominio que si te interesas por locomotoras antiguas.

Subir el número de permutaciones reales

Pues, ya sabes un truco para aumentar la seguridad: si piensas en contraseñas, piensa en algo con que la gente no te correla. Para ingenieros se ofrecen maquillaje, decoración y aristócratas. Otra ventaja: si realmente sabes muy poco sobre estos dominios, entonces es probable que te salgan palabras que a un experto no ocurrieran. Estas son tan difícilmente a adivinar como las descripciones de problemas informáticos por no técnicos.

Otro truco consiste en no sólo usar palabras. Por ejemplo, puedes combinar abreviaturas que conoces o frases enteras. Como frases son largas, puede ser más práctico sólo usar la primera letra de cada palabra. O cada segunda. O la primera letra de la primera palabra y la segunda de la segunda.

Por ejemplo, eliges la primera letra de la frase “Me gusta trabajar aquí, sólo hace falta decírmelo todos los días.” Con esto obtienes “Mgta,shfdtld”. Esto ya es una contraseña que no puedes pronunciar como palabra. Es difícil a memorizar, si no sabes tu frase y así una contraseña debe ser: fácil a recordar por el propietario, difícil de adivinar por el atacante.

Subir el número de permutaciones aparentes

Aplicar un poco de matemática a tus contraseñas suele hacerlas más crípticas – para seres humanos. Por ejemplo, la frase arriba: en lugar de eligir la primera letra, usas la letra que sigue en el alfabeto. Una A será B, B sustituido por C etc. Con esto la contraseña “Mgta,shfdtld” se convierte en “Nhub,tigeume”. Esto ya no se parece en nada a tu frase inicial. Si un atacante quiere adivinar tu contraseña puede pensar en cualquier cosa menos lo que pensabas tú.

No obstante, aplicar matemática no cambia el número de contraseñas posibles. No son las mismas permutaciones de símbolos, pero el mismo número de permutaciones. Es decir, si un atacante sabe tu regla, le cuesta igual descubrir tu contraseña. Pero si no la sabe, cada regla de creación adicional te hace parecer eligir entra más contraseñas posibles.

Cálculos no lineales ayudan mejor contra el descifrado por ordenador. “No líneal” quiere decir introducir algún “if” en el cálculo. Para un ordenador es más fácil hallar que todas las letras se cambian por el próximo en el alfabeto que sólo unas cuantas. No obstante, ten cuidado que estos “if” no reducen el número de contraseñas posibles. Una regla como “si la letra es A o B, entonces pongo una C” reduce el espacio de contraseñas, ya que ya no se distingue entre A y B.

En fin, la idea es crear contraseñas largas y complejas pero que sean fácil de recordar por algo que sólo sabes tú. Unos trucos pueden ser

  • Formar la contraseña por varias palabras no correladas
  • Formar frases que utilizan varias idomas o lenguajes
  • Entrelazar varias palabras
  • Hacer un cálculo que sabes hacer en la cabeza. El cálculo puede ser perfecto para determinar cifras que incluyes en tu contraseña.
  • Modificar partes de las palabras según alguna regla simple
  • Usar sólo una letra de cada palabra de una frase.

Ahora, ¿qué hago?

Descubrir la mejor forma de contraseña es algo personal. No todos sabemos varios idiomas o calculamos igual de bien. No obstante, es muchas veces cuestión to practicar. Si un día decides probar contraseñas con truco, te habrás acostumbrado a ellas tras un mes. De hecho, esto es el truco: simplemente empezar usar contraseñas más fuertes. Al final te habrás acostumbrado.

Lectura adicional

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 48 seguidores

Archivos

junio 2017
L M X J V S D
« Ene    
 1234
567891011
12131415161718
19202122232425
2627282930