Páginas

20 de diciembre de 2013

Vivir sin antivirus ¡Sí, se puede!

...Y sobre la seguridad mal entendida.

Es que debo ser muy sano, oiga, pero llevo más de diez años sin coger un virus (entiéndase: en un ordenador). De hecho, nunca he tenido uno en ninguna de mis máquinas. Ni virus, ni gusanos, ni malware, ni nada de nada.

Lo que hoy quiero plantearos es: ¿es posible llevar una vida "informáticamente normal" en un ordenador sin pasar por la sangría de sufrir ataques de virus y otro tipo de malware; sin tener que estar formateando el ordenador cada 3 o 6 meses y sin sufrir ningún tipo de problema en el intento?

Mi respuesta, ponderada, es clara: YES, WE CAN!.

Vale, tiene un poco de truco y es que prácticamente, en mi casa no se utiliza Windows en absoluto. Ni tan siquiera tenemos un ordenador de Apple. Usamos PCs con Linux (Ubuntu, en los últimos años).

Foto que muestra el tamaño (con permiso de Javipas de Incognitosis)

Aún así, mantengo en mi viejo netbook Medion Akoya Mini una partición en Windows. Antes era XP, ahora lo he pasado a Windows 7. Esta partición se utiliza exclusivamente para las muy pocas cosas que no queda otro remedio que hacer en Windows (instalar firmwares de smartphones de Samsung, alguna página web gubernamental que se resiste...). A veces, pasan meses sin que se arranque esa partición de Windows. Es entonces cuando le toca actualizar (por seguridad) todos los componentes de windows y los programas.

No obstante, he de decir que en Windows no utilizo ya hace tiempo antivirus tampoco. Como mucho, el detector de malware ese que tiene Microsoft. No sé si será muy útil o no. Realmente poco me importa. Voy a lo "bonito" y empiezo a hacer recomendaciones para usuarios de Windows:

Ordenador

Básicamente, tenemos dos opciones:
  • Usar antivirus (si eres vago) y que chequee él automáticamente todo lo que recibes y conectas a tu ordenador (llaves usb...). El ordenador irá más lento. Pero usarme sólo uno ¡por favor! Si no se van a dar de porrazos
  • No usar antivirus, pero usar alguno de los antivirus online para chequear y comprobar cada unidad externa que insertes (aunque sea tuya, si ha pasado por otro ordenador, es obligatorio hacerlo). El ordenador irá más rápido y fluido, pero deberemos ser más responsables
  • Mantener permanentemente actualizado el sistema operativo (mediante Windows Update). Tanto actualizaciones importantes como opcionales. Es un rollo, pero hay que hacerlo

  • Mantener una política de contraseñas coherente y mínimamente seria
  • Por supuesto, no instalar software pirateado y no confiar en los USBs del vecino, el primo o mejor aún: DE NADIE
  • Si usamos Windows XP, utilizar una cuenta que no sea administrador (usar la de administrador exclusivamente para tareas administrativas: instalar software o impresoras...)
  • Al instalar programas, no pinchar en "siguiente, siguiente, siguiente" a lo loco, fijaros bien pues muchos programas te "regalan" con software que ni quieres, ni necesitas y probablemente sea spyware o cualquier otra cosa (barras de herramientas tontas, cambiarte el buscador por defecto...). Revisar las opciones (instalación personalizada) que nos ofrece para evitar problemas a posteriori

Navegación

  • Usar otro navegador que no sea Internet Explorer: Mozilla Firefox, Google Chrome u Opera. Mejor si tiene (o le añades tú el accesorio) un bloqueador de ventanas emergentes y de anuncios
  • Aunque apenas lo usemos, mantener actualizado el Internet Explorer (que ya lo tendréis al actualizar el sistema)
  • Navegar por sitios que te ofrezcan seguridad. La lógica, el sentido común y el actuar con cautela son tus mejores aliados
  • Fijarse en la URL por la que navegas (que no es lo mismo "clientes.banesto.es" que "banesto.clientes.fraud.ru"). Hay muchos sistemas para hacer url falsas:

  • También debemos fijarnos en la URL real (al pasar por encima del enlace el navegador nos la dice en la barra inferior) a la que apunta un enlace, tanto en correos como en páginas web:

  • Usar cosas serias sólo en sitios serios (que el tráfico vaya cifrado en HTTPS -cifrado SSL-). Los navegadores lo suelen mostrar con un candado:
     
  • No fiarse nunca de las "ayudas gratuitas" (la página que te "actualiza" el Java es falsa, al igual que el banner que dice que ha detectado un virus en tu ordenador) de las páginas web (¿qué carallo pueden saber de tus infecciones desde Honolulú?)
  • No buscar programas piratas ni parches para desbloquear programas. Navegar por páginas donde "regalan" cracks, parches o software pirata acostumbra a acarrear que en contrapartida, te acaben "regalando" un precioso software malicioso que bien puede robar tus contraseñas, o convertir tu ordenador en un zombie al servicio de algún ruso de poca confianza
  • Insisto: Nunca creerse ningún tipo de anuncio más o menos disimulado que te diga que tienes virus, gusanos o catarro nasal (y que por supuesto te van a ofrecer que te lo limpian gratuitamente -lo que no tienes- a cambio de autorizarles a acceder a tu disco duro como administrador del equipo). La inocencia no es una excusa cuando están en juego tu seguridad y la de tu familia
Sí, sé que hay que ser aparentemente un poco estricto (tampoco hay por qué llegar a la paranoia) pero pensemos que nuestro ordenador es nuestra casa. En él almacenamos las cosas que nos gustan (fotos, vídeos...), las que no nos gustan (carta imaginaria que le enviarías a tu jefe cuando te toque la lotería), las contraseñas para acceder al banco (ergo, también el acceso a éste), los sitios en donde estamos cómodos (favoritos) e incluso información de otros (nuestros hijos, familiares...). Así que volvamos a planteárnoslo de nuevo. ¿No es nuestra casa acaso? Si cuando dejamos nuestra casa cerramos con pestillo ¿por qué no bloquear el ordenador aunque nos ausentemos un rato? Si ponemos alarmas, cámaras de seguridad, quedemos videoporteros, sensores de presencia... ¿por qué no cuidar igual el sitio donde almacenamos -concentrados- todos nuestros datos?

Hay gente que confía en que si pasa algo en su ordenador, ya se lo arreglará (el típico formateo y reinstalación) el del servicio técnico por un módico precio (más módico aún si se trata de un desconocido que deja su teléfono pegado en una farola anunciando que arregla ordenadores). Pero seamos sinceros: ¿le dejarías las llaves de tu casa una semana a un fontanero desconocido para arreglar una fuga de agua?

Cuando a algún conocido le he expuesto todo esto tal y como lo expongo aquí, normalmente han reaccionada con expresiones entre sorpresa e incredulidad, parece que desconocían todo lo que hacían y tenían en su ordenador. O más bien, que no querían verlo. Y es que todo es una cuestión de actitud.

Así que lo primero para poder estar seguros, es conocer qué es aquello que puede interesar de nosotros a los demás. Sabemos que en casa, serán las joyas, el dinero, la caja fuerte, los aparatos electrónicos... Sólo hay que intentar imaginarse qué te podría interesar a ti del ordenador de tu vecino o de cualquier desconocido.

También hay que plantearse si compensa dejar esos datos tan privados y confidenciales en manos de cualquiera que -probablemente de forma muy honesta, que no todo el campo es orégano- cobra 6 euros la hora por arreglar tu ordenador. Incluso, deberíamos plantearnos si dejárselos en una tienda especializada sin saber que el pobre que nos lo reparará es un becario que cobra 400€ al mes y trabaja de 8 de la mañana a 10 de la noche.

Como dije antes, se trata de una simple cuestión de actitud, y de valorar en cuánto (dinero y tiempo) valoramos nuestra intimidad (qué hacemos, por dónde navegamos, con quién nos escribimos, qué hace nuestra webcam), nuestra seguridad (violación de tu ordenador, robo de dinero, estafas) y nuestros datos (personales, bancarios, contactos, cuándo nos iremos de vacaciones y dejaremos la casa sola).

Os pongo algunos enlaces interesantes que podéis seguir (también por las redes sociales) para estar informados de riesgos nuevos:


Espero que os haya servido de ayuda. Cualquier cosa adicional, os agradeceré vuestros comentarios. Gracias.

17 de diciembre de 2013

Fin de una era

Todo tiene un comienzo... y todo tiene un fin.

Abandono este blog, pero empiezo uno nuevo. Cambio de temática, de tema y de enfoque. Menos ideas sueltas y tutoriales específicos y más trabajo de tipo "editorial", más meditado y elaborado. Espero que lo disfrutéis igualmente.

Podéis encontrarme en:


Siempre a vuestro servicio.

1 de diciembre de 2013

Cómo hacer contraseñas seguras

Sí hoy va contraseñas, ese muro con el que se topan muchos usuarios de a pie (y muchos que se denominan "técnicos" también). Espero daros SEIS simples trucos para hacer vuestras contraseñas fáciles de recordar y a la vez muy difíciles de "adivinar" por algún enemigo.

Cuando cualquiera en un departamento de I.T. abandona la empresa o cambia de servicio, suele suponer un enorme trauma pues obliga a cambiar las contraseñas de todos los dispositivos (switches, servidores, firewalls, proxies, servicios, cuentas...) implicados en el departamento que son muchos y unas veces por motivos de seguridad, otras por incompatibilidad (distinto usuario, límite en el número de caracteres) no corresponde que todos tengan la misma pareja de usuario y contraseña.

Un auténtico desaguisado pues a todos nos toca volver a lidiar con una contraseña que debes poder usar de un modo relativamente rápido y procurando no confundirte, pues bloquear un usuario administrador puede no suponer nada o la parada total del servicio.


Los administradores de redes y sistemas solemos tener una buena memoria pero, desde luego, olvidaros de supermemorias o gente como esa que recuerda miles de decimales del número pi. Una cosa está clara, y de esto partimos: la memoria es un músculo y cuanto más la uses, más "potencia" dará, con lo que la práctica ayuda muchísimo a mejorarla. Pero salvo milagros (que no existen) y/o auténticos profesionales, todos andamos por un nivel bastante aceptable.

Es más, los que por motivos profesionales o personales tenemos que recordar muchas contraseñas (o números de teléfono, o nombres...) tenemos que acabar poniendo en práctica técnicas para seguir la ley del mínimo esfuerzo, reduciendo el impacto en la memoria de recordar simplemente "tiras" de números o palabras. Para ello os voy a intentar explicar mis métodos, aunque seguro que habrá más que funcionen.

Pero primero, debemos establecer qué es una contraseña segura.

Premisas para una contraseña segura:

  • Al menos 8 caracteres de longitud
  • Debe tener letras y números
  • Debe tener algún símbolo de puntuación (.,;@#:-_^*=&...)
  • Si puede tener letras (caracteres) mejor que al menos una sea mayúscula
  • Si puede tener letras mayúsculas, mejor si no son todas y son al menos dos y no son inicio de palabra
  • Mejor que no sean nombres familiares ni nada que un amigo, conocido o asesor pudiera conocer de uno mismo
  • No usar jamás una contraseña en diferentes servicios (correo, redes sociales, cuentas de webs...)

Ahora pasaremos a mis truquitos. Lo que suelo hacer es juntar al menos dos de ellos para que sea más complicado.

Transliteración de letras en números

Es muy sencillo, se trata de sustituir letras que tienen un número que gráficamente se le asemeja. Por ejemplo la E parece un 3 del revés (al menos, en las viejas calculadoras Casio). Para algunas, reconozco que le echo mucha imaginación. Y así:
0 - O(o)
1 - I (i)
3 - E(e)
4 - A(a)
5 - S(s)
6 - Q(q)
8 - B(b)
Y de esta forma, la palabra "abdiquemos" quedaría "48d16u3m05". Como veis es muy sencillo, una vez nos hacemos la "forma" de las letras (convertidas en números) en la cabeza, realizar combinaciones realmente complicadas de adivinar para el "malo" que quiera entrar en nuestra cuenta.

Escritura tipo "sms"

Es sumamente sencillo para los que hayáis copiado el sistema de los jóvenes para escribir ahorrando letras de los mensajes. Yo no soy en absoluto partidario del uso de este tipo de escritura de SMS. Hay que cuidar el lenguaje. Pero reconozco que a veces me valgo del sistema cuando la prisa es mucha, y me resulta útil para realizar contraseñas todavía más crípticas.
Siguiendo con el ejemplo anterior, partiendo de "abdiquemos" quedaría "abdikemos", y si unimos el método de transliteración de letras en números y el de sms, quedaría "48d1k3m0s".
Se va complicando la cosa ¿verdad?

Unión de palabras

Dos son más que una, y recordar una frase, aunque parezca mentira, es más sencillo que recordar una única palabra. Nuestro cerebro está más preparado para ello. Pero claro, la frase tiene que tener algún sentido para nosotros. Aquí recomiendo seguir el contrario de lo que nos apetezca poner. Por ejemplo, si somos republicanos, nunca recomendaría usar algo como "abdiquemos Juan Carlos". Más bien al contrario, esta frase sería la recomendada para un monárquico. Al republicano algo como "dictadura solución" sería un buen comienzo para empezar a generar su contraseña. Recordemos que los "malos" utilizan nuestros gustos precisamente para adivinar lo que podemos estar usando.

Si seguimos con el ejemplo anterior, como también es bueno reducir palabras, seguiríamos con algo como "abdiquemos Juanca". Ahora nos toca eliminar espacios (que no son válidos en general para las contraseñas) y podemos aprovechar para poner algún símbolo que es más que recomendable: "abdiquemos€Juanca". Como también es recomendable que la mayúscula no aparezca a principio de palabra: "abdiquemos€juanCa", y ya aplicamos las técnicas del SMS y la transliteración, quedándonos algo como "4bd1k3m0s€juanK" ¿a que queda chulo?

Transcripción fonética

Esta me la invento totalmente, y la uso a veces, sobre todo para palabras en inglés. Si no la tengo en la contraseña, la "meto" (a veces con calzador, eso sí) como pueda. Así, siguiendo el ejemplo con el que estamos, metería "abdiquemos Juan Carlos, por favor", traduciendo una palabra, quedaría "abdiquemos Juan Carlos, please". A la palabra inglesa, le hago una transcripción fonética a mi manera (es decir, escribirla tal y como suena en español, a lo "gomaespuminglis"), quedando en "plis" Y siguiendo todas las normas anteriores, nos queda una contraseña ya difícil difícil: "4bd1k3m0s€juanK,pl15". ¿A que esto ya no se lo salta un torero?
Fijaros que he mantenido la coma, para aumentar la dificultad de la contraseña que, por cierto, ya tiene 20 caracteres de longitud casi sin darnos cuenta.

Una para todos

Sí, ya sé que una de las premisas (y si cabe, la más importante de todas) es que no usemos la misma contraseña para varios servicios y, creedme, yo sigo esta teoría al pie de la letra. No es muy normal, pero a veces ocurre, que entran en un foro o cualquier otro tipo de web y roban todas las contraseñas de los usuarios junto con sus datos (correo, nombre, fecha de nacimiento...). Lo primero que van a hacer es intentar entrar con vuestra dirección de correo y contraseña en todos los servicios posibles (hay software "robot" para ello y cientos de miles de ordenadores "zombies" en alquiler que harán el trabajo por el malo sin moverse de casa (si, el tuyo puede ser uno de ellos y tú sin darte cuenta, pero eso es un asunto para otro post). Pero para esto también hay trucos, y se trata de usar una contraseña de "raíz" para las demás.

Podéis usar lo que queráis como el nombre del servicio: gmay para gmail, feisbu para facebook, o josmay para hotmail. Aquí la imaginación es nuestra gran ayuda. Pero ante todo, una recomendación: usar siempre el primer "invento" que se os venga a la cabeza, pues será también el primero que os venga cuando queráis recordar qué contraseña pusisteis en qué servicio.

Podéis usar este nombre de servicio al principio o al final, con o sin carácter de separación (es muy socorrido usar la arroba (@) para hacerlo pues significa "en", y debemos, como siempre, aplicarles nuestras reglas de oro de construcción de contraseñas: j05may, gm41l, f315bu...

Seguimos con nuestra contraseña de marras, que quedaría ahora: "gm41l@4bd1k3m0s€juanK,pl15".

Este método lo uso sobre todo en los sitios más delicados (correo, redes sociales, lugares de compras o manejo de dinero como Paypal o eBay...). Para las webs normales no siempre lo uso, y dejo la contraseña "raíz" solamente, pues estas webs es donde normalmente no se permiten contraseñas muy largas. Pero mi "truco" es que para las webs en las que no hay servicio de venta o compra, utilizo mi segunda contraseña raíz. Así, yo sólo tengo que recordar dos contraseñas o, hablando más apropiadamente, dos "frases".

Reducciones

Claro está que nuestra contraseña ahora es extremadamente difícil para los demás, aunque sigue siendo perfectamente recordable para nosotros e incluso nos damos el lujo de tener una contraseña para cada servicio pero, claro está, ahora es muuuy larga (26 caracteres) y puede que algún servicio nos diga que nos hemos pasado. Para eso, nos sacamos de la manga reducir la contraseña. Imaginemos ahora que la página web de, pongamos, Vodafone, nos obliga a limitar nuestra contraseña a 10 caracteres. Si usamos "Voda" como base (particularmente, la convertiría en "Yoda" por el personaje de StarWars para recordarlo más fácil), siguiendo todas las instrucciones anteriores llegaríamos a "Y0d4@4bd1k3m0s€juanK,pl15" pero claro, esto casi multiplica por tres la longitud máxima que nos permite el servicio. Tenemos que reducirlo. Pues aquí cada cual se saca de la manga un método de reducción que debe usar SIEMPRE. Es muy importante que usemos siempre el mismo método personal, para no confundirnos.

Por ejemplo, podríamos reducirlo a "Y0d4@juanK", que nos cabría perfectamente y siempre tiene total relación con nuestra contraseña, llamemos, "primaria".

Y hasta aquí este post. Hay otros trucos, pero o no los uso tanto o no he sido capaz de usarlos pasado el tiempo. Espero realmente que os sean de utilidad y que le saquéis el mayor provecho posible.