h0. Seguridad informática para usuarios

Este documento tiene el propósito de proveer información básica sobre la seguridad informática para usuarios de computadoras e internet. Ningún sistema es invulnerable pero creemos que siguiendo los consejos y tutoriales que ofrecemos aquí puedes dar un gran paso para proteger la seguridad de tus datos públicos, tus datos privados y tu identidad en internet.

Consejos básicos

Antes de profundizar en temas más específicos revisaremos algunos consejos básicos para evitar las vulnerabilidades mas comunes a nivel usuario.

Hacer respaldos de tus datos

El consejo más importante que podemos ofrecer a cualquier organización, colectivo o individuo es que siempre mantengan respaldos de su información digital más importante. De nada te servirán técnicas más avanzadas de seguridad si pierdes tu información por una falla mecánica o eléctrica.

Todo tipo de almacenamiento digital es propenso a fallas. Los discos duros, cd’s, dvd’s, y memorias de usb pueden fallar en cualquier momento. Es difícil predecir las condiciones bajo las cuales eso puede pasar. La única solución viable para prevenir la perdida de datos es mantener múltiples respaldos de tu información.

Utilizar una combinación de los medios mencionados puede ser ideal. Sin importar el método que escoges es altamente recomendable hacer un plan de respaldos de tu información y hacerlo de forma periódica y sistemática.

Documentación privada: archivos, carpetas y discos cifrados

Las computadoras y los discos pueden ser robados, extraviados o caer en las manos equivocados. Si tienes datos sensibles que no deben ser revisados por otras personas debes tomar precauciones para protegerlos. Si utilizas un sistema operativo de software libre como GNU Linux existen varios opciones para cifrar sus datos de manera que solo pueden ser revisados con una clave o contraseña que mantienes secreto.

*Alternativas para Mac y Windows:
-BoxCryptor Windows culturillainformatica.blogspot.mx/2012/...
-KeyChan Acces para Mac http://www.maketecheasier.com/intall-encfs-mac/

Borrado seguro

Cuando borras un archivo de tu computadora normalmente lo que hace tu sistema operativo es eliminar la referencia visible a este archivo y tomar en cuenta que esta espacio en el disco ya puede ser utilizado para nuevos archivos. Pero la huella de los datos del archivo borrado aun permanecen en su lugar hasta que el mismo espacio en el disco duro sea sobreescrito. Si el archivo en cuestión contenía información sensible no debes dejar el disco a disposición de desconocidos. Programas como testdisk y photorec pueden ser utilizados para recuperar un archivo borrado de manera común. Para mayor seguridad utiliza programas de linux como shred y scrub para no nolo borrar la referencia a un archivo sino sobreescribir el espacio que ocupaba en el disco duro con datos aleatorios.

Utiliza software libre

El uso de software libre por sí solo no garantiza tu seguridad informática pero lo recomendamos altamente por ser abierto y configurable, así que los tutoriales que te ofrecemos aquí están basados en software libre (SL).

Falta de seguridad en sistemas operativos Windows

GNU/Linux como alternativa más segura

  1. Mejores herramientas de gestión: las actualizaciones de Linux afectan a todos los componentes, mientras que en Windows cada aplicación debe ser actualizada y parcheada por separado.
  2. Mejor configuraciones de serie: Linux fue diseñado como un sistema operativo multiusuario, y como tal los ficheros ‘importantes’ están protegidos aun cuando la identidad de un usuario se vea comprometida.
  3. Diseño modular: Si un componente del sistema está fallando o es vulnerable, es más fácil desactivarlo para que no dé problemas.
  4. Mejores herramientas para la protección contra ataques Zero-Day: los ataques basados en vulnerabilidades que no han sido corregidas por los fabricantes y desarrolladores a tiempo y que los exploits aprovechan son menos peligrosos en Linux. Herramientas como SELinux o AppArmor proporcionan un control de seguridad con una granularidad muy alta.
  5. Arquitectura Open Source: todos ven el código, de modo que cualquiera puede colaborar para corregir fallos.
  6. Entorno muy diverso: mientras que en Windows el entorno es único y los exploits se extienden fácilmente gracias a que funcionan por ser muy genéricos, las distintas versiones de Linux y de sus aplicaciones hacen más complicado el desarrollo de exploits que tengan un gran potencial.
    es.wikipedia.org/wiki/Categor%C3%ADa:Di...

Recomendación de distribuciones de GNU linux

Con la configuración correcta cualquier sistema basado en GNU linux puede ser más seguro. Algunas distribuciones son hechos por grupos activistas con seguridad en mente. Si te identificas con los valores de estos proyectos quizás te gustaría probar las siguientes distros.

A la vez, puede ser más seguro utilizar una distribución de GNU linux respaldado por una comunidad grande que mantiene actualizaciones de seguridad más constantes.

Los siguientes son ejemplos:

Toma en cuenta que existen distribuciones basados en estos 3 que también reciben las actualizaciones de seguridad de los proyectos principales. Puedes investigar sobre los cientos de otros distribuciones de GNU linux que existen en sitios como DistroWatch

Si deseas usar distribuciones GNU/Linux conformadas 100% con software libre:

Visita la lista actualizada de distros libres en la página oficial del proyecto GNU (en español).

Contraseñas seguras

Hoy en día las contraseñas digitales son las llaves de control sobre nuestras vidas. Son muchas las ocasiones en las que estamos encargados de proteger el acceso y control de un sin fin de información sobre nuestro trabajo, dinero, identidad, vida personal y la de otros con una serie de números y/o letras que no debemos olvidar. Esta situación se complica por el hecho de que tenemos que recordar varias contraseñas a la vez. Si pensabas que memorizar tus tablas de multiplicación en la primaria fue difícil esta nueva situación puede ser una verdadera pesadilla. Las contraseñas pueden ser un punto muy débil en nuestra seguridad si no tomamos las precauciones necesarias.

No utilices contraseñas débiles

(Contraseñas basadas en estos datos son muy fáciles de adivinar.)

¿Qué es un ataque de fuerza bruta?

Artículos sobre las contraseñas más comunes usadas en Hotmail (en inglés)
www.acunetix.com/blog/websecuritynews/s.../
www.wired.com/threatlevel/2009/10/10000...

Utiliza contraseñas fuertes

No olvides tu contraseña

El problema de las contraseñas fuertes es que son difíciles de recordar. En algunas situaciones olvidar tu contraseña puede ser catastrófico y no tiene remedio. Muchas veces existe la posibilidad de que un sistema te ofrezca pistas para recordar tu contraseña o te permita regenerarla pero debemos evitar recurrir a estas opciones ya que nos pueden hacen vulnerables a otros tipos de ataques. Lo mas seguro es no olvidar nuestra contraseña. Para eso podemos emplear alguna técnica que nos permite componer una contraseña fuerte basada en otra información que nos sea mas fácil de recordar.

Una estrategia fácil es tomar una cita de un autor, las letras de una canción, o cualquier frase que te sea fácil recordar y utilizar un método para derivar tu contraseña fuerte de ella.

Ejemplo:

  1. Partimos de una frase inicial:
    un ojo al gato y el otro al garabato
  2. Tomamos la primera letra de cada palabra y tenemos:
    uoagyeoag Así no esta mal pero podemos mejorarlo.
  3. Alterna caracteres entre minúsculas y mayúsculas
    UoAgYeOaG Ahora no tenemos caracteres repetidos.
  4. Sustituimos algunas letras por números o símbolos parecidos
    %UAg&e0a6 Ahora estamos utilizando una combinación de letras, números y símbolos.
  5. Introduzca símbolos adicionales
    %UoAg&e0a6 Bien, una contraseña de 10 caracteres es mas fuerte.

Ahora solo tenemos que recordar la frase inicial un ojo al gato y el otro al garabato y nuestro método para transformarlo para obtener nuestro contraseña fuerte.

Puedes inventar tu propio método para transformar una frase. Lo importante es poder reproducir la misma contraseña fuerte cuando recuerdas tu frase inicial.

Otro forma de generar contraseñas fuertes es utilizar un generador de contraseñas como passwordmaker.org/passwordmaker.html

No repitas contraseñas

Nunca utiliza la misma contraseña para mas que una cuenta. Si la seguridad de tu contraseña es comprometida el atacante tendrá acceso a mas que una cuenta.

No compartas tu contraseña

Aunque haya momentos en los cuales nos puede parecer inocente compartir nuestra contraseña con un conocido esto no es una práctica segura. Evita compartir usuarios de computadora, bandejas de correo u otro servicios. Si necesitas compartir la misma información con otras personas existen herramientas diseñados para hacer esto que permite a cada persona tener acceso a la misma información con su propia contraseña.

Bajo ninguna circunstancia debes compartir tu contraseña con un desconocido. Existen muchas trampas con las cuales una persona puede intentar obtener tu contraseña simplemente comunicándose contigo por correo o por teléfono fingiendo ser alguna autoridad. Esta táctica se llama ingeniería social y consiste en la utilización de técnicas de índole psicológica, para lograr obtener información confidencial. No seas timado. Ningún autoridad o administrador legitimo te pediría tu contraseña.

No escribas tu contraseña

No escribas físicamente tu contraseña en ningún lado donde podría ser descubierto fácilmente por otras personas. Por lo general evita escribir contraseñas al menos que estés 100% seguro de que nadie más tendrá acceso a la copia escrita. Nunca mandes una contraseña a otra persona por correo electrónico al menos que este comunicación sea cifrada.

Acceso físico

Evita compartir tu computadora o con desconocidos

Si alguien mas tiene acceso físico a la computadora donde trabajas o donde estarás trabajando hay muchas formas en los cuales pueden capturar tus contraseñas o copiar, borrar, o modificar los datos que tienes guardado en esta maquina o contagiar la maquina con un virus. Si tienes que compartir una computadora con otros usuarios conocidos asegura que cada persona tiene su propia cuenta en esa maquina y que también se preocupan por proteger su seguridad informática.

Evita utilizar los llamados “Cybercafe” o “Cafe Internet”

Nunca sabemos quienes más han estado trabajando en la maquina de un “Cibercafe” antes de nosotros o que tan confiables sean los operadores del establecimiento. Si es absolutamente necesario que uses una computadora en un “Cafe Internet” procura encontrar un establecimiento donde los operadores te permitan arrancar la computadora con una versión portátil del sistema operativa GNU-linux desde un CD (live cd) o memoria usb.

En un cibercafé puedes estár expuest@ a:

- keyloggers
- sniffers
- escritorio remoto
- backdoors o puertas traseras: back orifice, netcat.

No compartas tus discos duros externos o memorias usb con desconocidos

Si alguien más tiene acceso físico a los medios donde guardas tus archivos pueden copiar, borrar, o modificar los datos que tienes guardados ahí o contagiar tus archivos con un virus. Si no te sientes cómodo negando a otros el uso de un disco o memoria usb entonces procura tener dos discos, uno para prestar que nunca tiene contacto con tu maquina personal y otro donde guardas tus archivos personales protegidos.

Comunicación por Internet

Las redes sociales

Hoy en día servicios comerciales de redes sociales como facebook, Twitter, Myspace, Hi5, Google Buzz, y otros están disfrutando de una enorme popularidad entre los usuarios de internet. Estos servicios están rápidamente desplazando la importancia que tuvieron otros medios de comunicación por internet como el correo electrónico y los mensajes instantáneos. Sin embargo estos servicios representan una amenaza para la seguridad y la libertad de sus usuarios por las siguientes razones:

Alternativa: Redes Sociales Libres

identi.ca powered by status.net
joindiaspora.com
diasp.org ambos corren el software de Diaspora
Otros Pods (servidores) Diaspora* Lista completa de pods Diaspora*
appleseedproject.org
we.riseup.net powered by crabgrass
GNU social
N-1 Redes sociales del pueblo y para el pueblo
Anillosur Redes sociales del pueblo y para el pueblo, basado tambien en Lorea
Friendica

Correo electrónico

Servidores de correo electrónico como Hotmail, Yahoo, Gmail, etc.

La gratuidad, la multiplicidad de servicios agregados a una sola cuenta, contar con cada vez mayores capacidades de almacenamiento, la posibilidad de interactuar y colaborar con otr@s, son explicación de la popularidad de estos servicios, pero ¿cuáles son los costos?, ¿cuáles son sus contras?

Como contras del servicio de correos populares listamos algunos:

La privacidad en el uso del correo electrónico

Normalmente se ha hecho énfasis en las medidas que l@s usuari@s pueden tomar para evitar que su contraseña sea robada (como cerrar la sesión al terminar, cambiar periódicamente la contraseña, elegir una respuesta a la pregunta secreta que no sea evidente, contar con un antivirus poderoso y actualizado que detecte programas maliciosos que registran contraseñas, etc.), todas estas medidas ubican los riesgos a la privacidad en nuestro entorno inmediato; sin embargo, es necesario considerar el riesgo de que nuestras comunicaciones sean filtradas, analizadas y leídas remotamente, más allá de dicho entorno, en el tránsito o almacenamiento de los mensajes entre nuestra máquina y la del (la) destinatari@.

Alternativas para la creación de correo electrónico.

Además de los servicios de correo populares mencionados anteriormente, existen proyectos dedicados a proveer correo electrónico con un grado más alto de privacidad y seguridad por no estar orientados a fines comerciales, no solicitan datos personales de identificación, uso de software libre y/o niveles de cifrado.

mail.riseup.net dedicado para activistas comprometidos con el cambio social.
www.mailoo.org proyecto francés ofrece servicio de correo gratuito y presume de ser simple y fiable.
tormail.org servicio oculto que usa la red tor para enviar y recibir correos electrónicos.
→ i2p (punto en desarrollo)
www.autistici.org/es/services/mail.html provee servicio de e-mail y comunicaciones informáticas muy similar a riseup.

Explicación no técnica del intercambio de correo encriptado o cifrado.

0) la comunicación abierta o “en texto claro”
1) el uso de una “clave y un algoritmo secretos” entre Sutáno y Perengáno.
2) la necesidad de una clave o llave pública y una privada
3) las dificultades de intercambio cifrado:
- la comunicación en grupo.
- si no podemos obtener personalmente la llave pública de Sutáno.

Thunderbird + Enigmail + GnuPG.

Thunderbird, explicación básica del cliente de correos.
Enigmail, explicación básica de este complemento de thunderbird, como gestor de llaves y frontend de GnuPG.
Manual de instalación y uso de Thunderbird + Enigmail + GnuPG:
http://security.ngoinabox.org/es/thunderbird_usarenigmail

Alternativas/Servidores autónomos

(Todavía no sé cómo plantear este tema, se aceptan sugerencias)
Tomás.

we.riseup.net/riseup+colo/becoming-auto...

Mensajería Instantánea

Crear una cuenta jabber en 3 pasos.

Conversación encriptada por mensajero instantáneo: Pidgin + OTR

manual de como utilizar Pidgin + QTRhttp://security.ngoinabox.org/es/pidgin_conversacionsegura

Referencia en páginas de ayuda aquí: we.riseup.net/riseuphelp+en/instant-mes...

Voz sobre IP, llamadas por internet (Skype, Ekiga etc..)

Navegando por Internet

Utilizando Proxies

- TOR
www.torproject.org/index.html.es

- I2P, red anónima

2P es una red anónima, que ofrece a las aplicaciones que requieren de protección de identidad una simple capa para la comunicación segura. Todos los datos son cifrados varias veces y la red misma es tanto distribuida como dinámica – sin parte ninguna en la que haya que confiar.

Hay una gran variedad de aplicaciones que funcionan con I2P, entre ellos dos sistemas de correo electrónico (el clásico, basado en servidores y clientes: SusiMail; y el otro basado en tecnología p2p: I2P-Bote), intercambio de ficheros (sistemas BitTorrent, Kad y Gnutella), mensajería instantánea, creación de sitios web anónimos en I2P, IRC y otros.

BUSCADORES ALTERNATIVOS

“Search engine Ixquick (www.ixquick.com), widely regarded as the world’s most private search engine, has built a strong privacy reputation by storing no search data on its users. The company believes it has been singled out by the data retention proposal, and it has vowed to strongly oppose the measure becoming law”

ixquick.com/eng/press/pr-ixquick-fights...

Complementos para Firefox:

-Firefox nevegador seguro
www.mozilla-europe.org/es/firefox/security/

-Foxyproxy: addons.mozilla.org/es-ES/firefox/addon/...
-No Script: addons.mozilla.org/es-ES/firefox/addon/722
-Firegpg: addons.mozilla.org/es-ES/firefox/addon/...
-TorButton: addons.mozilla.org/es-ES/firefox/addon/...
-GoogleSharing:https://addons.mozilla.org/en-US/firefox/addon/60333/

Repositorios seguros

- New Yorker Strong Box tnysbtbxsf356hiy.onion

Podcasts sobre seguridad digital

- http://www.daboblog.com/2011/05/27/daboblog-podcast-especial-seguridad-con-sergio-hernando/

Fuentes de información útiles

FLD
Article19
cuidatuinfo