Sitio en español con informacion sobre seguridad
y la antesala del sitio dice asi:¿Te sientes observado? ¿Notas unos ojos que siguen todos tus movimientos cuando mueves el ratón?A veces uno se siente así cuando navega por la Red.
Puedes protegerte. Existen técnicas para preservar tu privacidad, para asegurar tus secretos, para que estés a salvo.
Te propongo un viaje por el mundo de la criptografía y la seguridad en Internet.
¿Quieres acompañarme? Sígueme, abre conmigo las páginas del Criptonomicón
http://www.iec.csic.es/criptonomicon/
SEGURIDAD EN EL COMERCIO ELECTRONICO: ¿SSL o SET?
SEGURIDAD EN EL COMERCIO ELECTRONICO: ¿SSL o SET? Cuando se habla de la carrera que existe entre la investigación de nuevas tecnologías, la comercialización de esas tecnologías y la creación de estándares que impongan orden y velen por la interoperabilidad, resulta de referencia obligada la teoría del Apocalipsis de los elefantes de David Clark, del MIT. Podemos imaginar mentalmente una curva que tendría la forma de la serpiente del Principito que se tragó al elefante, sólo que en este caso, en lugar de uno, se tragó dos. El primero de ellos representa la intensa actividad de investigación que sigue a un excitante o prometedor descubrimiento, sentándose las bases para el futuro desarrollo de una nueva tecnología. El segundo elefante representa la actividad comercial de las compañías que recogen el testigo de los investigadores y comienzan a lanzar al mercado productos que incorporan la tecnología. Es un momento de dura competencia, en el que cada compañía intenta hacerse con la mayor cuota de mercado posible, acudiendo a soluciones que funcionen como sea y que rara vez pueden interoperar con productos de la competencia.
Entre ambos elefantes queda un hueco que debe ser aprovechado por los organismos de creación de estándares con el fin de evitar la jungla que se avecina si las empresas privadas trabajan sobre el tema sin coordinación. Si la estandarización llega demasiado pronto, la tecnología puede no ser suficientemente comprendida o resultar inmadura, por lo que los estándares serán malos e inútiles. Si llega demasiado tarde, alguna compañía o varias habrán impuesto sus propias soluciones, que habrán sido adoptadas como estándar de facto del sector emergente. En el mundo de Internet, la seguridad y el comercio electrónico, los elefantes tornaron ser toros de difícil lidia. El espacio entre los dos elefantes en la panza de la serpiente es tan delgado, que ya están saliendo nuevos productos aun antes de que las tecnologías estén maduras. Nadie esperaba que Internet, o más concretamente, la World Wide Web, creciera al ritmo exponencial de los últimos años. Sus posibilidades para el comercio fueron rápidamente vislumbradas por los más despabilados y en un tiempo récord pasó a transformarse en teatro de transacciones comerciales, financieras y de todo tipo. Había que vender, pero vender ya. No podía esperarse a magníficos estándares que velaran por la rigurosa implantación de todos los detalles. ¿Qué método resulta más cómodo e inmediato para pagar? La tarjeta de crédito. ¿Al usuario le preocupa la seguridad? Usemos un canal seguro para transmitir el número de la tarjeta. Fue así como en poco tiempo se impuso como norma tácitamente acordada el emplear SSL para cifrar el envío de datos personales, entre ellos el número de tarjeta.
SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator. Hoy constituye la solución de seguridad implantada en la mayoría de los servidores web que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe rellenar un formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad, titular). Esta arquitectura no exige que el servidor disponga de capacidades especiales para el comercio. Basta con que se utilice como mínimo un canal seguro para transmitir la información de pago y el comerciante ya se ocupará manualmente de gestionar con su banco las compras. El canal seguro lo proporciona SSL. Sin embargo, este enfoque, aunque práctico y fácil de implantar, no ofrece una solución comercialmente integrada ni totalmente segura (al menos en España, debido a que los navegadores utilizan 40 bits de longitud de clave, protección muy fácil de romper). SSL deja de lado demasiados aspectos para considerarse la solución definitiva:
- Sólo protege transacciones entre dos puntos (el servidor web comercial y el navegador del comprador). Sin embargo, una operación de pago con tarjeta de crédito involucra como mínimo tres partes: el consumidor, el comerciante y el emisor de tarjetas.
- No protege al comprador del riesgo de que un comerciante deshonesto utilice ilícitamente su tarjeta.
- Los comerciantes corren el riesgo de que el número de tarjeta de un cliente sea fraudulento o que ésta no haya sido aprobada.
Son demasiados problemas e incertidumbres como para dejar las cosas como están. Se hacía necesaria la existencia de un protocolo específico para el pago, que superase todos los inconvenientes y limitaciones anteriores, motivo por el que se creó SET.
El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de gigantes de la industria del software, como Microsoft, IBM y Netscape. La gran ventaja de este protocolo es que ofrece autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a técnicas criptográficas robustas, que impiden que el comerciante acceda a la información de pago (eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.
Entonces, si todo son alabanzas, ventajas y puntos fuertes, ¿por qué SET no termina de implantarse? ¿Por qué no goza de la popularidad de SSL, si se supone mejor adaptado? En primer lugar, su despliegue está siendo muy lento. Exige software especial, tanto para el comprador (aplicación de monedero electrónico) como para el comerciante (aplicación POST o terminal de punto de venta), que se está desarrollando con lentitud. En segundo lugar, aunque varios productos cumplan con el estándar SET, esto no significa necesariamente que sean compatibles. Este es un problema que exige mayores esfuerzos de coordinación y más pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos fuertes son también su talón de Aquiles: la autenticación de todas las partes exige rígidas jerarquías de certificación, ya que tanto los clientes como comerciantes deben adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que resultan engorrosos, cuando no esotéricos, para la mayoría de los usuarios.
En definitiva, SET es un elefante de gran tamaño y fuerza, pero de movimientos extraordinariamente pesados. SSL es una liebre que le ha tomado la delantera hace años. No es tan perfecto, no ofrece su seguridad ni sus garantías, pero funciona. Y lo que es más: ¡el usuario de a pie no tiene que hacer nada! Entretanto, mientras SET llega a la meta o muere por el camino, eso sí, no olvide pagar todas sus compras usando SSL.
Gonzalo Álvarez Marañón es Ingeniero Superior de Telecomunicación y trabaja desde 1995 en el Consejo Superior de Investigaciones Científicas en temas relacionados con la criptografía y la seguridad en Internet. Es autor de numerosas publicaciones en revistas y mantiene su propia página web, el Criptonomicón.
Hackers ¿Los malos de la Pelicula?
Yaguarete Security en el Universal
Yaguarete Security en el Universal
Yaguarete Security asi como su Chief Technical Officer Enrique Alfonso Sanchez Montellano fueron entrevistados por el periodico "El Universal" para su reportaje: "Hackers: ¿Los malos de la pelicula?".
Hackers, ¿los malos de la película?Son mano de obra ultra especializada que se da a conocer a partir de incursiones por zonas prohibidas para un cibernauta común y corriente. Estos hombres explican algunas de sus motivaciones y tratan de limpiar su nombre
Hugo Sandoval
El Universal
Hace ocho años el sitio web de la Secretaría de Hacienda y Crédito Público (SHCP) fue ilícitamente alterado, aparecía una imagen de Emiliano Zapata y en la parte inferior de la página electrónica podía leerse: "Nuestra afiliación no es ninguna, no pertenecemos al EZLN, pero éste es nuestro derecho de libre expresión como mexicanos".
Las alteraciones informáticas —realizadas por un grupo denominado X-ploit— pronto se extendieron a los sitios web del Instituto Nacional de Estadística, Geografía e Informática (INEGI), la Comisión Nacional del Agua, el Senado de la República y la Secretaría de Salud.
Desde entonces, la palabra hacker empezó a asociarse con comportamientos delictivos, como ingresar sin autorización a un sitio de internet y cambiar su página principal por otra, gracias a algún fallo de seguridad detectado con anterioridad.
El concepto "hacker" surgió en la década de los 70 del siglo pasado, cuando algunos programadores del Massachussets Institute of Technology (MIT) se llamaron a sí mismos hackers, para mostrar que podían realizar programas o acciones que nadie había podido hacer antes.
Un "hacker", en un sentido amplio, puede ser cualquiera apasionado por descubrir o aprender cosas nuevas y entender su funcionamiento, se trate o no de cuestiones informáticas.
DeadSector, miembro del grupo Raza Mexicana (una comunidad hacker en internet: www.raza-mexicana.org), lo explica de la siguiente forma: "ser hacker no tiene nada que ver con computadoras, sistemas operativos o lenguajes de programación. Ser hacker es un modo de vida, una manera de ver las cosas, una manera de enfrentar los problemas o los retos que nos pone la vida".
Desafortunadamente, el uso del término en los medios es ambiguo, pues por lo regular se emplea para referirse a los aficionados a la informática que buscan defectos y puertas traseras en los sistemas operativos; los profesionales dedicados a la seguridad del software, y a los delincuentes informáticos.
En esta última categoría deben ubicarse los crackers (y no los hackers), personajes que utilizan sus conocimientos con fines maliciosos o ilícitos como la intrusión de redes, el acceso ilegal a sistemas, el robo de información, la distribución de material moralmente inaceptable y la fabricación de virus, por mencionar las actividades más comunes que suelen hacer.
Entre sus motivaciones se encuentra no el deseo de reconocimiento o el intercambio de conocimientos, sino la buena paga, pues suelen alquilar sus servicios al mejor postor.
"Me dediqué —y digo dediqué porque mi tiempo cada vez es más reducido—, a lo que fue la intrusión a sistemas informáticos de varias partes del mundo… ahora me dedico sólo a mejorar la seguridad de algunos servidores y a su vez intentar vulnerarlos", comenta el cracker mexicano Status-x.
¿Qué motiva a un hacker?
"Siempre me ha gustado cuestionar la actitud de los demás y las suposiciones que se dan por sentadas… También soy curioso", dice Yield, del grupo Raza Mexicana.
Y agrega que, gracias a la influencia de los medios, los "hackers" son ridiculizados como "escuincles o adultos antisociales encerrados en sus recámaras, que se dedican a robar números de tarjetas de crédito y que pueden desde apagar un foco en la casa del vecino, hasta detonar una bomba atómica, únicamente con sus computadoras y sus sistemas operativos llenos de gráficos".
Otro hacker mexicano, apodado Wireless, asevera que el "hackeo" es una actividad que es cada más difícil de realizar.
"El hacking ha bajado mucho, ya no está en su apogeo porque ahora los sistemas son mucho más seguros que antes. Antes era muy fácil entrar a un servidor y tener el control total sobre él; ahorita, ya la gente está más consciente de la seguridad, de que deben parchar sus computadoras, saben que es un firewall, un antivirus…", explica Wireless.
Pero el mito de los ciberataques continúa vigente, en parte impulsado por intereses mercadotécnicos:
"Las empresas de seguridad, de antivirus y antispyware necesitan vender ‘miedo’, ¿Y a quién no le daría miedo que un ‘hacker’ entre en tu máquina y destruya las fotos de la fiesta del primer cumpleaños de tu hijo o hija, o que ‘robe’ los datos de tus clientes y se los venda a la competencia?", agrega DeadSector.
Hacktivismo en México
Otra categoría, adicional a la de hackers y crackers, es la del hacktivista, es decir, un híbrido no siempre "tecnológicamente correcto" como el hacker, dedicado a cuestiones de protesta social.
Fran Ilich conoce bien el hacktivismo en México. Hace algunos años, junto con un grupo de tijuanenses, realizó el proyecto ‘borderhack’: un campamento de arte mediático y activismo electrónico que ocurría en la frontera Tijuana-San Diego.
"Hackeábamos líneas de teléfono para que los migrantes pudieran comunicarse a casa, poníamos estaciones de radio FM temporal para hacer ‘reportes fronterizos’ alternos, que no hablaran sólo del clima y el tráfico para cruzar la línea internacional legalmente, sino que reflejaran un poco más la realidad local", explica.
Ilich detalla que otro grupo, llamado "Electronic disturbance theatre" convocaba simultáneamente a acciones en internet contra el servidor de la Patrulla Fronteriza, en una especie de manifestación "en línea".
La idea consistía en reunir miles de computadoras en un mismo sitio web, cada una en representación de una persona, al igual que cuando en las calles de una ciudad se manifiesta el descontento.
Su proyecto más reciente es Posible Worlds (possibleworlds.org), un servidor autónomo cooperativo que busca apoyar páginas web de proyectos sociales alternativos.
¿Y la ética?
No todos los hackers gustan del anonimato. Algunos incluso se han convertido en exitosos hombres de negocios, dedicados al tema de la seguridad informática empresarial: se les conoce como hackers éticos.
Enrique A. Sánchez Montellano es uno de ellos.
Su empresa, Yaguarete Security (www.yaguarete-sec.com) presta servicios a empresas interesadas en reforzar sus sistemas ante posibles intrusiones informáticas, con el propósito de indicarles sus fallos de seguridad y recomendar las acciones a seguir.
"El hackeo ético se encarga de detectar vulnerabilidades y contrarrestarlas. Asimismo, capacita a los encargados de TI para que tengan la capacidad de investigar cuando una empresa sufre un ataque o ha sido afectada por un virus, y les enseña cómo detectar el ingreso de un cracker, qué hizo y cómo detenerlo en el futuro", dice.
Sánchez es optimista respecto al futuro del hacking en México. En su opinión, dentro de algunos años el país contará con una masa crítica de jóvenes altamente capacitados en tecnologías de la información, que agregarán sus conocimientos y recursos al nuevo ecosistema tecnológico que está conformándose hoy día.
Algunos serán hackers a la vieja usanza, otros más, con inquietudes empresariales, se unirán al hacking ético, mientras que no faltarán los que se dediquen al hacktivismo o incluso al crakeo de sistemas.
Sin embargo, más allá de esto todos formarán parte de las nuevas subculturas que comienzan a poblar, cada vez con mayor vigor, el ciberespacio mexicano.
--------------------------------------------------------------------------------
Me dediqué —y digo dediqué porque mi tiempo cada vez es más reducido—, a lo que fue la intrusión a sistemas informáticos de varias partes del mundo… ahora me dedico sólo a mejorar la seguridad de algunos servidores y a su vez intentar vulnerarlos"
Status-xCracker mexicano
--------------------------------------------------------------------------------
El hacking ha bajado mucho, ya no está en su apogeo porque ahora los sistemas son mucho más seguros que antes"
Wireless
Hacker mexicano
--------------------------------------------------------------------------------
El hackeo ético es para detectar vulnerabilidades y contrarrestarlas; también, capacita a los encargados de TI para que puedan investigar cuando una empresa sufre un ataque"
Enrique A. Sánchez Montellano
Hacker mexicano
Phishing, nuevas trampas para usuarios confiados
http://www.vsantivirus.com/phishing-yahoo.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Según reporta Websense Security Labs, se ha estado observando un cambio en la técnica utilizada en ataques de phishing, que se concentra en usuarios de Yahoo!.
Este tipo de ataque, procura capturar los datos de los usuarios, tales como nombre (ID) y contraseña, mostrando una página falsa, similar a la verdadera, algo que no es nada nuevo, ya que se ha venido utilizando desde hace bastante tiempo, incluso en los famosos "phishings" relacionados con la banca electrónica.
Pero recientemente, se están utilizando sitios alternativos, como por ejemplo Yahoo! Fotos. Los usuarios reciben un correo electrónico o un mensaje instantáneo, que reclama ser enviado por un amigo que desea mostrarles las fotos de un acontecimiento reciente, tales como vacaciones o una fiesta de cumpleaños.
El mensaje contiene el enlace a un sitio falso, que captura la identificación (usuario y contraseña) del usuario, y luego envía estos al verdadero sitio de Yahoo!, de tal modo que la víctima ignora en todo momento que sus datos han sido robados antes de llegar a las verdaderas páginas del sitio.
Cómo es fácil de comprender, esto no solo se puede aplicar a Yahoo!, y es muy probable que la técnica se esté utilizando también para atrapar los datos de usuarios y contraseñas (entre otros), de cualquier lugar que los requiera.
Lo importante, en todos los casos, es recordar una de las reglas de seguridad básicas en Internet: JAMAS hacer clic sobre enlaces que aparezcan en cualquier mensaje no solicitado, sin importar quien lo envía. Demás está decir, que tampoco debemos abrir los adjuntos que no hayan sido pedidos.
Otro consejo es tener activada (en el caso del Outlook Express), la opción para que todos los mensajes sean leídos como texto sin formato, para evitar enlaces engañosos. Esto se logra desmarcando la casilla "Leer todos los mensajes como texto sin formato" en Herramientas, Opciones, Leer. Esta opción existe desde la versión 6 SP1 del OE. Por supuesto, no es un consejo que nos proteja de toda esta clase de phishing, pero ayuda a no caer en una trampa por exceso de confianza.
Consejos genéricos sobre phishing y otros engaños:
1. NUNCA haga clic en forma directa sobre NINGUN enlace en mensajes no solicitados. Mucho menos ingrese información de ningún tipo en formularios presentados en el mismo mensaje.
Si considera realmente necesario acceder a un sitio aludido en el mensaje, utilice enlaces conocidos (la página principal de dicho sitio, por ejemplo), o en último caso utilice cortar y pegar para "cortar" el enlace del texto y "pegarlo" en la barra de direcciones del navegador.
2. Desconfíe siempre de mensajes no solicitados en los que se le pide alguna clase de información, o se le invita a seguir un enlace. Cerciórese antes en los sitios principales, aún cuando el mensaje parezca "real". Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro.
3. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la "s" al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real.
Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales.
Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección.
4. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido.
5. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica.
De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente, o la descarga de archivos no solicitados.
Más información sobre PHISHING y otros engaños:
http://www.vsantivirus.com/hoaxes.htm
Glosario:
PHISHING - Técnica utilizada para obtener información confidencial mediante engaños (generalmente por medio de un "scam", mensaje electrónico fraudulento, o falsificación de página web).
Realmente existe o existio Echelon ?
�Habra sido solo un mito? �Realmente existio esta red mundial de espionaje?
suena a ficcion pero a veces la realidad supera la ficcion.Si esto no fue solo un mito realmente es algo muy preocupante.
�Como proteger nuestra privacidad?, �como estar a salvo de mentes obscuras que intentan mantenernos sometidos por medio del control de la informacion?
Son quienes intentar ganar a toda costa, quizas son mas inteligentes, pero menos etico., Quizas la informacion les de poder pero al final todos terminamos siendo humanos, ellos, nosotros, quienes estarian detras de todo esto me pregunto como veran a su hijos, a sus familias y les diran bueno es un trabajo sucio pero alguien lo tiene que hacer y asi logran acallar sus conciencias.
Seguridad Virtual la carrera de nunca acabar........ pero no hay de otra
Informática personal segura
Por Bruce Schneier
A menudo me preguntan qué puede hacer el usuario medio de Internet para mejorar su seguridad. Mi primera respuesta suele ser: "Nada, lo tiene muy mal".
Pero eso no es cierto, y la realidad es más compleja. Lo tiene muy mal si no hace nada para protegerse, pero hay muchas cosas que pueden hacerse para mejorar su seguridad en Internet.
Hace dos años, publiqué una lista de consejos de seguridad para el PC. La idea era proporcionar a los usuarios domésticos consejos concretos que pudieran adoptar para estar más seguros. Este artículo es una actualización de aquella lista: una docena de cosas que usted puede hacer para mejorar su seguridad...
General:
Apague su ordenador cuando no lo esté utilizando, sobre todo si dispone de una conexión permanente a Internet.
Seguridad en portátiles:
Mantenga su portátil con usted siempre que lo saque de casa; trátelo como si fuera su cartera o su bolso. Elimine de su portátil con regularidad ficheros de datos innecesarios. Lo mismo es válido para PDAs. La gente tiende a guardar más datos personales -incluyendo PINs y contraseñas- en sus PDAs que en sus portátiles.
Copias de seguridad:
Hágalas con regularidad, ya sea a disco, cinta o CD-ROM. Hay mucho de lo que no puede defenderse; una copia de seguridad reciente al menos le permite recuperarse del ataque. Almacene al menos un juego de copias de seguridad lejos del equipo (una caja de seguridad es un buen sitio) y al menos un juego con el equipo. No olvide destruir las copias antiguas. La mejor forma de destruir CD-Rs es meterlos en un microondas a máxima potencia durante cinco segundos. También puede partirlos a la mitad o cortarlos en pedazos.
Sistemas operativos:
A ser posible, no utilice Microsoft Windows. Compre un Macintosh o utilice Linux. Si tiene que usar Windows, active las actualizaciones automáticas para poder recibir los parches de seguridad de forma automática. Y borre los ficheros "command.com" y "cmd.exe".
Aplicaciones:
Limite el número de aplicaciones en su ordenador. Si no lo necesita, no lo instale. Si no va a necesitarlo más, desinstálelo. Prueba alguna de las suites de oficina gratuitas alternativas a Microsoft Office. Compruebe regularmente la existencia de actualizaciones para las aplicaciones que utilice e instálelas. Mantener sus aplicaciones parcheadas es importante, pero no pierda sueño al respecto.
Navegación:
No utilice Microsoft Internet Explorer. Punto. Limite el uso de cookies y applets a aquellos pocos sitios que le proporcionen servicios que necesita. Configure su navegador para que borre regularmente las cookies. No asuma sin más que un sitio web es quien dice ser, a menos que haya tecleado la dirección usted mismo. Asegúrese de que la barra de direcciones muestra la dirección exacta, no algo más o menos parecido.
Sitio web:
El cifrado SSL no proporciona ninguna certeza de que el comercio sea fiable o de que su base de datos de clientes sea segura.
Piénseselo dos veces antes de hacer gestiones con un sitio web. Limite los datos personales y financieros que proporcione; no dé ninguna información a no ser que vea alguna utilidad en ello. Si no desea dar información personal, mienta. Nunca se apunte para recibir informaciones de marketing. Si el sitio web le permite la opción de no almacenar su información para usos posteriores, márquela. Utiliza una tarjeta de crédito para sus compras on-line, no una tarjeta de débito.
Contraseñas:
No es posible memorizar buenas contraseñas, así que ni se moleste. Para sitios web de alta seguridad, como bancos, cree largas contraseñas aleatorias y apúnteselas. Guárdelas tal y como guardaría su dinero, por ejemplo, métalas en su cartera, etc.
Nunca reutilice una contraseña para algo importante (está bien tener una contraseña sencilla para sitios de baja seguridad, como el acceso a los archivos de un periódico). Asuma que todos los PINs pueden ser rotos con facilidad y planifique en consecuencia.
Nunca teclee una contraseña importante, como la de una cuenta bancaria, en una página web no cifrada con SSL. Si su banco le permite hacer eso, quéjese. Y cuando le digan que no hay ningún problema en ello, no les crea: están equivocados.
Correo electrónico:
Desactive el correo HTML. No asuma automáticamente que cualquier e-mail proviene de lo que pone en su campo para el remitente.
Borre el correo basura sin leerlo. No abra mensajes con ficheros adjuntos, a menos que sepa lo que contienen; bórrelos de inmediato. No abra viñetas, vídeos o ficheros similares del tipo "bueno para echar unas risas" que le envíen amigos bienintencionados; de nuevo, bórrelos de inmediato.
Nunca haga clic en direcciones e-mail a menos que esté seguro; en su lugar, copie y pegue el enlace en su navegador. No utilice Outlook ni Outlook Express. Si tiene que utilizar Microsoft Office active la protección frente a virus de macro; en Office 2000 ponga el nivel de seguridad en "alto" y no confíe en ningún fichero que reciba, a menos que le obliguen. Si utiliza Windows, deshabilite la opción "no mostrar extensiones de ficheros para tipos de archivo conocidos"; permite enmascarar troyanos como otro tipo de ficheros. Desinstale Windows Scripting Host si puede pasar sin él. Si no puede, al menos cambie las asociaciones de ficheros, para que los ficheros de script no sean enviados automáticamente al Scripting Host si se hace doble clic en ellos.
Programas antivirus y antispyware:
Utilícelos, ya sea combinados o como dos programas independientes. Descargue e instale las actualizaciones, al menos una vez por semana y siempre que se entere de nuevos virus por las noticias. Algunos antivirus comprueban automáticamente si hay actualizaciones. Active esa característica y póngala a "diariamente".
Cortafuegos:
Gaste 50 euros en un dispositivo cortafuegos con NAT; es muy probable que funcione suficientemente bien en su configuración por defecto. En su portátil utilice software de cortafuegos personal. Si puede, oculte su dirección IP. No hay razón alguna para permitir conexiones entrantes a nadie.
Cifrado:
Instale un cifrador de correo y ficheros (como PGP). Cifrar todo su correo o todo su disco duro es muy poco realista, pero algunos mensajes son demasiado sensibles como para ser enviados en claro. Del mismo modo, algunos ficheros de su disco duro son demasiado sensibles como para dejarlos sin cifrar.
---
Ninguna de las medidas que he descrito son a prueba de bombas. Si la policía secreta está interesada en sus datos o sus comunicaciones, ninguna medida de esta lista les detendrá. Pero todas estas precauciones son buenas medidas preventivas y harán que su ordenador sea un objetivo más complicado que el ordenador del vecino. E incluso si usted sólo adopta unas cuantas medidas básicas, es muy poco probable que tenga problemas.
No puedo evitar tener que utilizar Microsoft Windows y Office, pero utilizo Opera para navegar por la Web y Eudora para el e-mail. Utilizo Windows Update para obtener los parches automáticamente e instalo otros parches cuando me entero de que existen. Mi antivirus se actualiza con regularidad. Mantengo mi ordenador relativamente limpio y borro las aplicaciones que no necesito. Soy diligente en cuanto a realizar copias de seguridad de mis datos y a poner lejos de mi conexión los ficheros de datos que ya no necesito.
Soy desconfiado hasta rozar la paranoia en cuanto a los adjuntos del correo y a los sitios web. Borro las cookies y el spyware. Me fijo en las URL para asegurarme de que sé dónde estoy y no me fío de correos no solicitados. No me preocupo demasiado de las contraseñas poco seguras, pero trato de tener buenas contraseñas para las cuentas relacionadas con el dinero. No utilizo bancos online todavía. Mi cortafuegos está configurado para no permitir ninguna conexión entrante. Y apago el ordenador cuando no lo utilizo.
Esto es todo, básicamente. En realidad, no es tan difícil. La parte más costosa es la relativa a desarrollar cierta intuición sobre el e-mail y los sitios web. Pero sólo requiere experiencia.
Otros no están de acuerdo con estos consejos:
Get Luky
The Security Mentor
