Gestores de Contraseñas

Cada vez más, muchos sitios web requieren una contraseña.

Al menos un par de veces al mes, recibo un correo electrónico de alguien que quiere que me una a una red, o que me registre en alguna página de proveedor, socio tecnológico, fórum, blog, banco, etc. Este paso normalmente requiere un nombre de usuario y una contraseña. Podría utilizar las mismas para todos, pero esto no deja de ser un riesgo.

La clave (nunca mejor dicho) para sobrevivir a la tarea de administración de contraseñas es utilizar un gestor de usuarios y contraseñas. Con una pequeña inversión (menos de 20€ en la mayoría de los casos) puedes adquirir una aplicación pequeña para que gestione esa necesidad tediosa y cada vez más imprescindible.

Sea en la nube, en tu PC, dispositivo tablet, tu iPhone, Blackberry o Android, la ventaja trascendental de tener un gestor claves es muy simple: Sólo tendrías que recordarte de Una contraseña para tener acceso a todas las demás.

Lo que debe buscar en las Apps:

  • Que contenga una herramienta que genere contraseñas seguras que no pueden ser hackeadas fácilmente.
  • Si es en la ‘nube’, que funcione a través de múltiples navegadores y que pueda sincronizarse entre varios ordenadores.
  • Los ‘Smartphone’, que tengan la posibilidad de sincronizarse con el PC.
  • Por último, que contenga al menos un nivel de encriptación.

La mayor vulnerabilidad de seguridad está en el propio PC del usuario ya que con un malware que puede registrar las pulsaciones del teclado o capturar pantallas, está uno vendido. Es por eso, tener un buen antivirus instalado y actualizado diariamente para prevenir cualquier infección de este tipo es muy recomendable.

Gestores en la ‘Nube’

  • Keepass y LastPass son opciones gratuitas y basadas en código abierto. Ayudan a la gestión de las contraseñas de forma segura y también almacenan las contraseñas en una base de datos que está protegida con una contraseña maestra o un archivo de claves. Por lo que sólo tienes que recordar una única contraseña o seleccionar el archivo llave para abrir la base de datos.
    Las bases de datos son encriptados usando AES y Twofish, unos de los mejores algoritmos de encriptación conocidos hasta el momento.
  • Por menos de 30€, 1Password te permite crear contraseñas seguras directamente en tu navegador web.
  • RoboForm es mi favorito en la nube. Por 17,95€ podrás utilizar este servicio en tantos ordenadores y dispositivos móviles como desea con la misma licencia de uso. Podrás sincronizar tus contraseñas tanto con Windows como con Mac y es muy seguro y fácil de usar.

Gestores Instalables

Hay decenas, pero aquí sólo resaltaré uno de ellos ya que es el que llevamos usando desde hace muchos años y nunca nos ha fallado: eWallet de Ilium Software.

Por sólo 20€, además de cubrir todas las plataformas de sistemas operativos de ordenadores y dispositivos móviles, el eWallet sincroniza fácilmente entre todos ellos, es personalizable, contiene muchas plantillas, además de ser seguro y intuitivo.

11 noviembre 2011 | Comentarios cerrados

Seis evaluaciones de Seguridad IT que nunca has tenido (pero deberías)

Probablemente esté familiarizado con las evaluaciones de seguridad clásicas: las pruebas de penetración interna y externa, las evaluaciones de riesgos, y las evaluaciones PCI.

Puede que no esté familiarizado con, o incluso al tanto de otras evaluaciones que pueden ser tan valiosas para el fortalecimiento de su protocolo de seguridad.

Algunas de estas evaluaciones menos familiares son nuevas que son el resultado de las nuevas tecnologías y los  reglamentos; pero otros han estado alrededor durante varios años y simplemente no han recibido la atención que se merecen.

Considere la posibilidad de realizar estas seis evaluaciones al menos una vez en su empresa para combatir la amenaza de hackers.
1. Evaluación de los Medios Sociales

El uso de sitios de medios sociales es enorme. ¿Quieres saber lo que se dice en ellos sobre su organización? La evaluación de sus bases de datos y las redes sociales (Facebook, Twitter, LinkedIn, blogs, etc.) detecta lo que está difundido en Internet sobre tu empresa – incluyendo toda la información que sus empleados, ex empleados y el público están colocando por ahí.

2. Interrogación de Host

Pregunte a su profesional de seguridad IT qué es una interrogación de Host, y lo más probable es que su respuesta no sea más que su mirada anonadada. La intención de una interrogación de host es de identificar errores de configuración o potenciales fallos de seguridad en los servidores en una DMZ. Proporciona una visión detallada de los servidores de la misma manera que lo hace una revisión de conjunto de reglas de Firewalls.

3. Evaluación de Ingeniería Social

Los hackers aprovechan de la naturaleza de confianza inherente de los seres humanos, creando de la “red humana” una vía fácil para acceder a información sensible o comprometer una organización. Un atacante trabaja para obtener un nivel de confort o crear una relación de confianza, por ejemplo con la persona al el teléfono, y aprovecha esa confianza para iniciar un ataque.

Hay varios componentes de las evaluaciones de ingeniería social, para hacer frente a diferentes formas de preguntar a una persona y que este, involuntariamente, divulga información. Las más típicas son las llamadas telefónicas a individuos dentro de una empresa con el objetivo de convencer al usuario para que revele información sensible. Para ello usan números de teléfonos “falsos” que aparentan estar dentro de su empresa o departamento, para persuadir a la persona para descargar aplicaciones de backdoors para revelar información sensible como nombres de usuario, contraseñas, información de tarjetas de crédito, información de salarios, o otros secretos comerciales.

Otros, como los ataques client-side, utilizan el método de ataque principal de la comunidad de hackers: un atacante obtiene acceso completo a la red de una organización y a los sistemas simplemente consiguiendo que un empleado navegue por un sitio web.

Dado que muchas organizaciones expuestas a Internet están en una zona de alta seguridad con al menos una capa de protección, los hackers han cambiado sus métodos y re-enfocado su atención a los empleados de las organizaciones aprovechando la naturaleza humana y la falta de concienciación en seguridad.

4. Evaluación del trabajo en casa

Aunque el teletrabajo, o el trabajo desde casa, ha sido ofrecida por las organizaciones durante años, a menudo el ambiente desde donde se trabaja nunca se comprueba. Lo que un empleado hace en su ordenador en casa puede generar una serie de cuestiones que su organización no tendría que enfrentar si el empleado estuviera en la oficina todos los días. Es importante comprobar los controles técnicos y de procedimiento para garantizar una protección  adecuada para los usuarios remotos, sea por VPN, SSL, o otros sistemas.

5. Plan de Respuesta a Incidentes

Cuando ocurre un evento que afecta negativamente a la seguridad de sus sistemas y a la del personal de su organización, un Plan de Respuesta a Incidentes o PRI desarrollado concienzudamente es imprescindible para tomar decisiones instantáneas para garantizar la protección de datos en momentos caoticos.

La mayoría de las empresas no tienen un PRI definido; la LOPD hace referencia a esto y es extremadamente importante elaborar un plan.

6. Evaluación de privacidad

Aunque técnicamente no es una evaluación de la seguridad, la Evaluación de privacidad es un componente crítico de la comprensión de los riesgos de una organización en lo relativo a la protección de información personal identificable.

Toda empresa u organización debe contar con un programa de privacidad de funcionamiento.

Una evaluación de protección de datos se compone de un análisis de riesgo para la privacidad, la identificación de los flujos de datos, la evaluación de la información personal identificable y el desarrollo de un plan de actuación en caso de desastre. Stephen Marchewitz es consultor de privacidad.

27 octubre 2011 | Comentarios cerrados

Después de instalar Microsoft Security Essentials, mi equipo va lento.

Security Essentials está diseñado para perjudicar de forma mínima el rendimiento del equipo.

Síntoma

Su equipo funciona más lento de lo habitual cuando se ejecuta Security Essentials.

Causa

El software antivirus y antispyware podría ocasionar que el equipo se ralentizara, incluso aunque el propio software no fuera la causa del problema. (Ya).

Solución

Paso 1: compruebe que el equipo tiene los requisitos del sistema mínimos para Security Essentials

  • Visite el sitio web de Security Essentials y compruebe si su equipo cumple los requisitos mínimos del sistema indicados allí. Considere actualizar el equipo, si no cumple los requisitos, o desinstale Security Essentials.

Paso 2: quite cualquier programa de seguridad existente

  1. Desinstale completamente cualquier programa de seguridad de Internet existente.
  2. Reinicie su equipo.
  3. Instale de nuevo Microsoft Security Essentials. Si así no se resuelve el problema continúe en el siguiente paso.

Paso 3: instale Microsoft Security Essentials de nuevo (o pida a TresW.Net una evaluación de SOPHOS; así evitará este tipo de problemas de lentitud).

Paso 4: reinicie su equipo

  • Cierre los programas abiertos y reinicie el equipo.

http://www.microsoft.com/es-es/security_essentials/Support/504de40d-39b9-49d2-bfd5-8911e7b1df3b.aspx

19 octubre 2011 | Comentarios cerrados

Error 0x8007007b Copia de Seguridad Windows 2008 Server R2 y Windows 7

KB 982502 0x8007007b 0x80070057

KB 982502 0x8007007b 0x80070057

Si recibes la alerta descrita a continuación de error en tu copia de seguridad de Windows Server 2008 R2 o Windows 7, es porque tienes rutas de archivos largos. Muy largos. Estos mensajes se presentan como un evento al dar por finalizada la tarea de copia tanto programada como ejecutada sólo una vez, y son así:

“Error en la copia de seguridad de x:\\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy17 durante la lectura: error [0x8007007b] El nombre de archivo, el nombre de directorio o la sintaxis de la etiqueta del volumen no son correctos.”

“Error en la copia de seguridad x:\\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy17 durante la lectura: error [0x80070057] el parámetro es incorrecto.”

El problema se produce porque el servicio motor de copia de seguridad a nivel de bloques de Windows (Wbengine.exe) que controla las rutas de acceso a líneas de más de 260 lo hace incorrectamente. La solución está en un parche que hay que solicitar a Microsoft previo registro con cuenta de correo.

Al recibir el enlace de descarga del HotFix, también recibirás un mensaje de advertencia de Microsoft que te quitará las ganas de aplicar el parche; aunque si eres valiente por la desesperación, lo aplicarás sin miedo!

INFORMACIÓN IMPORTANTE

ADVERTENCIA: esta revisión no está completamente probada. Por lo tanto, sólo está pensada para sistemas o equipos que experimenten exactamente el mismo problema descrito en uno o más artículos de Microsoft Knowledge Base que aparecen en el campo “Números de artículo de KB” en la tabla que está al final de este mensaje de correo electrónico. Si no está seguro de si existe algún problema de compatibilidad o de instalación asociado con esta revisión, le recomendamos que espere el lanzamiento del próximo Service Pack. El Service Pack incluirá una versión completamente probada de esta corrección. Sabemos que puede ser difícil determinar si existe algún problema de compatibilidad o de instalación asociado a una revisión.

KB 982502 0x8007007b 0x80070057

 

Antes de instalar esta revisión:

Si decide instalar esta revisión, tenga en cuenta los siguientes aspectos:

No implemente una revisión en un entorno de producción sin probarla primero.

Haga una copia de seguridad del sistema o del equipo que recibirá la revisión antes de instalarla.

 

 

17 junio 2011 | Comentarios cerrados

Las 100 peores contraseñas

Desde el momento en que la gente empezó a usar contraseñas, no se tardó mucho en darse cuenta que la mayoría usan las mismas contraseñas una y otra vez.

Incluso, somos tan predecibles que a la hora de escoger contraseñas, que los hackers usan listas confeccionadas basándose en estos.

Para que os hagáis una idea  de lo predecible que somos, la siguiente lista es de las 100 contraseñas más comunes utilizadas en la red. Si ve su contraseña en esta lista, bueno, ya sabrá lo que tiene que hacer.

Quiero resaltar algunas contraseñas ‘interesantes’ de las top 500 que no dejan de ser predecibles, aunque las usamos pensando que somos muy inteligentes.

ncc1701 – El número de la nave estelar Enterprise.
THX1138 - El nombre de la primera película de George Lucas, un remake de 1971 de un proyecto de estudiante.
qazwsx - Sigue un patrón sencillo cuando se escribe en un teclado.
666666 - seis seises.
7777777 - siete sietes.
OU812 – El título de un álbum de 1988 de Van Halen.
8675309 - El número mencionado en la canción de Tommy Tutone de 1982. La canción supuestamente causó una epidemia de personas que marcaba 8675309 y preguntaba por “Jenny”.

Aproximadamente uno de cada nueve personas utiliza al menos una contraseña de esta lista, y uno de cada 50 utiliza una de las 20 peores contraseñas.

100 Most Common Passwords Used

100 Most Common Passwords Used

 

31 mayo 2011 | Comentarios cerrados
« Siguientes entradas  
  Entradas anteriores »