sábado, 9 de agosto de 2014

Seguridad al trabajar con Laptos fuera de la Empresa

Si bien las tabletas son cada vez más populares, las laptops siguen siendo una herramienta vital para empleados de todas las organizaciones. El hecho de que cuenten con teclados, una amplia pantalla y una batería de razonable duración, las hace ideal para trabajar en ellas. Y si un empleado cuenta con uno de estos dispositivos, probablemente significa que la usa fuera de la empresa. Ya sea en las oficinas de un cliente, mientras espera que despegue su vuelo o en el hotel al que se trasladó para realizar un trabajo. 


Es importante mencionar que el hecho de que una computadora salga de una empresa, presenta retos adicionales a la de un equipo de escritorio que permanece dentro de las instalaciones. 

La razón es simple y es el hecho de que la laptop está expuesta a nuevos riesgos cuando está en movimiento. El típico que se me viene a la mente es el extravío de la laptop, por ejemplo al momento de pasar por los filtros de seguridad de un aeropuerto o bien, fue olvidada al lado de la mesa de un restaurante o café. El otro que se me viene a la mente es el robo, ya sea que el equipo sea dejado en una valet parking y después nos encontremos con el típico “aquí no había nada de valor, joven”; o bien, que vayamos por la calle y suframos un asalto. 

Son algunos ejemplos de riesgos que no están presentes en la computadora de escritorio de nuestra oficina. Así es que surge la pregunta de qué hacer ante esta situación, por lo que a continuación presento algunas recomendaciones a seguir para proteger al equipo: 

Mantener el software actualizado: la laptop tiene un sistema operativo (por ejemplo Windows) y aplicaciones (Word o Adobe Reader) que deben de ser actualizadas al menos una vez al mes. 

Respaldar la información: los datos en la laptop pueden perderse si el equipo sufre algún desperfecto físico o si es robado, por lo que es importante respaldar la información en discos duros externos, DVD o servicios seguros en la nube. 

Cifrar la información: dentro de la laptop está toda una gama de archivos, correos y fotos que son parte del trabajo que una persona realiza para una empresa. Existen varias soluciones gratuitas y comerciales para proteger (cifrar) la información que está dentro de la laptop. 

Evitar Wifi: es común encontrarse con redes inalámbricas WiFi, muchas de ellas gratuitas. Estas redes tienen diferentes niveles de seguridad y las hay desde cero seguridad hasta aquellas con una seguridad de “default” que supuestamente es segura, pero que no lo es. Mejor evitarlas y conectarse a Internet por otros medios (a menos que sepamos la diferencia entre conectarse a una red WiFi sin seguridad, una WiFi WEP supuestamente "segura" y una WiFi WPA realmente segura). 

Instalar y actualizar un antivirus:  hoy en día sobra decir respecto a la necesidad de tener un antivirus en un equipo de cómputo y que diariamente se actualice automáticamente. Considerar la instalación de una suite de seguridad que tiene controles adicionales como detección de intrusos o firewall, por ejemplo. 

Atender mensajes de seguridadpor ejemplo, cuando usamos el equipo y navegamos por internet con él, nos llegaremos a topar con mensajes de seguridad que nos advierten respecto a un riesgo. Lejos de darle “aceptar” e ignorar el mensaje, es mejor atenderlo y seguir su recomendación. 
Evitar ser promiscuo: al navegar por internet nos encontraremos con ilimitadas tentaciones de aplicaciones que podemos instalar. Las hay para escuchar música, escribir notas, administrar nuestro correo o entrar a redes sociales. Es mejor seguir las políticas de tecnologías de información de la empresa o bien, preguntar al personal de Sistemas. No queremos instalar virus o aplicaciones fraudulentas, cierto? 

Rechazar a los USB: un medio de infección importante hoy en día es todos aquellos virus que se transmiten vía USB. Y si uno de estos bichos se enfrenta a nuestro antivirus apagado, desactualizado o deshabilitado, tendremos una infección. Es mejor evitarlos y sólo introducir nuestros propios USB y recibir archivos de otras personas por otra vía (por ejemplo, correo). 

Operar como usuario: cuando introducimos nuestro nombre de usuario y contraseña, abrimos una sesión en el equipo y es importante que sea con privilegios de "Usuario" y no de "Administrador". Es fácil saber cuál estamos usando: si podemos instalar cualquier programa en el equipo y hacer todo tipo de acciones sin restricciones, probablemente significa que  estamos como "Administradores". Para los virus y código malicioso es ideal encontrarse con una sesión con privilegios de "Administrador" porque podrá ejecutar todas sus acciones maliciosas sin limitaciones. 

En concusión, los riesgos de seguridad informática que tienen las laptops no son idénticas a las de un equipo de escritorio, por lo que es importante aplicar medidas adicionales de protección. Revise cuáles de las recomendaciones que le he dado son pertinentes para su entorno corporativo y asesórese del personal de TI de su empresa ante cualquier duda. 

miércoles, 18 de junio de 2014

¿Documentas o Haces?

TechTarget me hizo el favor de publicar un artículo. Trata sobre las exageradas tareas de documentación vs el menor tiempo que se le dedica a "hacer" las tareas asignadas. Disfruten.

sábado, 7 de junio de 2014

La Seguridad y Skype

Fui hace un par de semanas de visita a una empresa para tener una junta de trabajo. Todo marchaba bien y llegó el momento de hacer una llamada vía Skype con un proveedor que no está ubicado en México. Ahí empezó el problema porque en esa empresa me dijeron que por motivos de seguridad estaba prohibido usar Skype en las computadoras de los empleados. Un inconveniente, porque Skype es ideal para hacer llamadas telefónicas gratuitas por internet ya que es lo suficientemente popular como para que “todos” lo tengan en sus computadoras o smartphones y baste hacer unos clicks para estar llamando.


Finalmente tuvimos que hacer una llamada de larga distancia a los EUA y nuestra junta transcurrió sin más sobresaltos. Antes de irme y por curiosidad, quise ahondar más en el asunto de la prohibición de Skype. Me explicaron que no lo permitían por “eso del espionaje” de la NSA (Agencia Nacional de Seguridad) de los Estados Unidos. Microsoft compró hace un par de años a Skype y hay noticias referentes a que esa empresa ha colaborado con la NSA (busquen en Google “Microsoft cooperated with NSA giving access to Skype”).

Lo anterior significa que existe la probabilidad de que las llamadas efectuadas por Skype sean de algún modo monitoreadas por la NSA, ya sea en tiempo real o bajo demanda. Claro que si voy a hablar con la abuela de cómo hacer galletas sabor canela, no creo que me deba de preocupar por el espionaje (aunque las galletas de la abuela bien pueden contar como un secreto). Pero otra cosa es hablar de cuestiones laborales de relevancia vía Skype y de ahí nace el temor que se deriva en prohibición.

Pero me puse a pensar en que no nos dejaron usar Skype y a que raíz de eso, hicimos una llamada de larga distancia a los EUA. Y aquí mi segundo pensamiento: sabemos que hay sospecha de espionaje en las redes telefónicas tanto allá (busquen en Google “NSA collection of telephone records”) como acá:

The SOMALGET system is part of a larger telephone-tapping system developed by the NSA dubbed MYSTIC. The newly leaked documents show MYSTIC is active in others countries – including Mexico, Kenya, and the Philippines
Fuente: The Register http://tinyurl.com/SOMALGET

¿Así es que de qué sirve prohibir Skype si de todas maneras hay noticias que nos orientan a pensar que existe espionaje en las llamadas telefónicas? Cuando argumenté lo anterior, me dijeron que había otra razón de peso para bloquear Skype y era su funcionalidad de compartir archivos, ya que éstos pudieran traer virus y contaminar equipos de cómputo. Skype anuncia en su página web:

Envía fotografías, videos y archivos de cualquier tamaño”.

Significa que un usuario podría recibir archivos desde Internet, ejecutarlos y contaminar su computadora con virus. Pero seamos realistas. Un archivo infectado por lo general viajará por correo electrónico o será bajado de alguna página web. Si bien existe la probabilidad de que un archivo infectado sea compartido vía Skype, identifico que por esta vía el riesgo es menor. Además de que seguramente habrá un antivirus en los equipos de cómputo de los usuarios que servirá como uno de los controles corporativos de seguridad para detectar y detener la infección, en todo caso.

Así es que en conclusión, seguí sin poder entender la razón de la prohibición de Skype. Pero supongo que eso hacía felices a los administradores de sistemas de aquella empresa, tengan o no razón.

martes, 13 de mayo de 2014

Verdades y Lecciones de HeartBleed

ComputerWorld México me hizo el favor de publicar mi artículo que trata sobre algunas lecciones aprendidas de Heartbleed y algunas verdades no dichas. 

Espero te agrade: 
http://computerworldmexico.com.mx/verdades-y-lecciones-de-heartbleed/

Fausto Cepeda.

viernes, 11 de abril de 2014

Vulnerabilidad heartbleed

Todo lo que quieres saber de la debilidad heartbleed en mi artículo de Techtarget.


Es importante agregar que heartbleed NO es un virus. Es una vulnerabilidad de una librería llamada OpenSSL. Y al momento (11-abr-2014) no hay un virus que aproveche esta debilidad.

Son cosas muy diferentes hablar de vulnerabilidad y virus. 

Una vulnerabilidad es un error de quien haya desarrollado un software. Un virus es un software intencionalmente programado para hacer alguna acción maliciosa en una computadora. 

A veces los virus se aprovechan de una vulnerabilidad de software para hacer daño; otras veces (la mayoría) no aprovecha ninguna debilidad y simplemente hacen daño al ejecutarse.

Algunos medios confunden a heartbleed con un virus. Es totalmente incorrecto. Dicen que se está esparciendo rápidamente por todo Internet; también incorrecto porque es una vulnerabilidad ya presente en OpenSSL y como tal no se "esparce".

Dicen que hay que cambiar contraseñas de los sitios con una versión OpenSSL vulnerable. Sí, es una buena medida de precaución, pero no hay evidencia al día de hoy (11-abr-2014) de que haya habido extracción masiva de passwords de un sitio en particular.

Dicen que es la peor grieta de seguridad de todos los tiempos de Internet. Calma, no hay que ser alarmistas. Internet sigue ahí operando. Que sepamos, no hay hackers metiéndose  a las cuentas de usuarios de N sitios en Internet. Si bien no sabemos si esto sucedió o está sucediendo, los medios asumen que sí pasó. Y a una escala masiva.

Por último, si bien no sabemos si alguien aprovechó esta debilidad heartbleed desde que existe hace un par de años, hoy lo correcto a hacer para los administradores de sitios web es migrar a una versión segura de OpenSSL. Porque ahora sí ya sabemos que hay un problema y sería negligente no hacer nada al respecto.

jueves, 3 de abril de 2014

Cómo vender seguridad informática a tu organización

La revista .Seguridad (UNAM) me hizo el favor de publicr mi artículo de cómo hacerle para vender seguridad en una organziación.

Espero te guste.

jueves, 20 de marzo de 2014

Yo esperaba un buen reporte de pentest

Les comparto el artículo que TechTarget me hizo el favor de publicar, espero les agrade

http://searchdatacenter.techtarget.com/es/opinion/Yo-esperaba-un-buen-reporte-de-pentest