Seguridad en dispositivos móviles

En tiempos cada vez más vertiginosos en cuanto a la tecnología, al alcance de la misma; a lo que utilizamos y desconocemos, a lo que desconocemos y utilizamos, la privacidad es algo que lentamente (rápidamente) perdemos (perdimos).

En esta entrada, intentaremos que las personas comunes puedan proteger un poquito la privacidad de las cuentas, las contraseñas y finalmente de los datos personales, privados o semipúblicos  que guardamos en nuestros dispositivos personales: tabletas, PC, notebooks, netbooks, smartTV, smartLAVARROPAS, smartphone, smartLAMPARITAS, smartswatch, todo smart de buen gusto o mal gusto que podamos utilizar, wifi, wearables, y equipos laborales (prácticamente los mismos dispositivos).

Para ellos, veremos los beneficios y debilidades de algunos programas, aplicaciones y configuraciones necesarias para alejar a los intrusos (delincuentes y ciberdelincuentes) de nuestros dispositivos, apps y cuentas de usuario.

Como veremos en la presentación, las recomendaciones sirven (y son las mismas) para ejercerlas tanto en nuestras actividades diarias particulares y laborales: antivirus, bloqueadores de aplicaciones, candados, VPN, firewall, contraseñas, cifrado, localizadores remotos, borrado de datos, matadores de procesos, etc.

Sobre estas últimas, es inentendibles cómo se toman decisiones políticas, se comentan proyectos o se intercambian mensajes piratas personales  a través del servicio de mensajería WhatsApp.

¿Cómo entidades de gobierno utilizan este canal -inseguro- de comunicación?

Dependiendo a qué se dedique una empresa, ¿cómo utilizan Facebook en el trabajo o como parte de sus “avisos”, tanto internos como externos? Peor aún en sectores públicos.

Por ello, a través de esta presentación, trataremos de guiar a las personas al uso adecuado de la tecnología con algunas medidas mínimas de seguridad a implementar para qué –un ciberdelincuente- tarde un poco más o no le sea tan fácil robarnos nuestra intimidad, nuestra identidad.

Ahora sí, en este enlace la presentación.

Aclaración importante: la presentación la pueden ver o descargar.
En la parte superior de la pantalla encontrarán el ícono de descarga:

También, al cliquear este botón, tendrán la posibilidad de abrirlo en el momento para poder verlo.
Si tienen cuenta de Gmail, pueden loguearse y verlo con la aplicación Google Slides.


Salud!
Damián.

La desesperación de ACEPTAR y luego (con suerte) VERIFICAR.

Diariamente, a cada hora, a veces con intervalos de minutos nos llegan al teléfono celular, a la tableta, a la notebook, al reloj inteligente, ¿al Smart T. V.?, varios mensajes, anuncios, saludos, presentaciones, donaciones, regalos, advertencias, multas, puntos bonus, millas, bonificaciones, actualizaciones y hasta secuestros virtuales.

En el 95 % de los casos (recordemos que el 95nM es el valor en que se suelen suceder los sucesos) por solo 2 segundos nos asombramos y por 1 segundo dudamos si:

       

•        Otra vez hay que actualizar el Facebook.
•           La linterna me dice que necesita mi libreta de contactos para funcionar correctamente.
•           Instagram me alerta sobre el peligro de versión 7.9 y que necesita descargar urgentemente la versión 6.19.
•           Quiero instalar Twitter y el pajarito (Larry) es fucsia –pero lo instalo igual-.
•           Me llega una publicidad de una aplicación que me ¿convierte? el celular en sumergible, pero solo para agua salada -que la instalo-, así entro al mar con el teléfono en la malla.

Obviamente le decimos que Sí a TODO. Aceptamos:

        

•        Entregar nuestro número de teléfono a una calculadora.
•           Nuestros contactos (¿le pedimos permisos a ellos?) a una empresa que sortea 2 meses gratis del servicio de ambulancia.
•           Le habilitamos la cámara de video a una aplicación de loterías.
•           El micrófono a la linterna de largo alcance: hasta 300 m.
•           Los datos (Internet-web) a un proveedor de servicios de humedad ambiente.
•           Los mensajes de texto –si aún existen al leer este artículo- a una aplicación para retocar fotos.
•           La ubicación del GPS o wifi a un juego muy parecido al PAC-MAN.

Cuando ya hemos aceptado alguna aplicación que contiene malware, estafas, robo de información, datos, estadísticas –encubierto obviamente-, ya es tarde.

Por más que le demos con fuerza al botón ‘cancelar’ como si estuviéramos jugando al Hyper Olympic, por más que ‘agitemos’ para todos lados la tableta (tablet) como un abanico, por más que en 7 milisegundos saquemos la tapa y la batería del smartphone, ya es tarde.

A no ser que tengamos un buen antivirus-antimalware-antibotnet-antiadware-antispyware-antiransomware, antiAPT y ¿antidíacero? de protección mínima, nunca sabremos si estamos infectados o no.

Aclaración: por más que contemos con un anti-todo, nunca sabremos si estamos infectados o no.

Moraleja: cada vez que les llegue un aviso de actualización pendiente, cambien de ventana de navegación web o bajen (minimicen) el mensaje, y tómense unos minutos para buscar en la web si realmente ése día se actualiza la aplicación que dice ‘merecer’ ser actualizada (se puede consultar en Wikipedia). Pueden tener una segunda opinión preguntándole a las personas del entorno en que nos encontremos si a ellos también la aplicación “Basevook” –por ejemplo- le envía una alerta de actualización.

Cuando por iniciativa propia quieran instalar un complemento o una aplicación –también-, tómense unos minutos para:

• Buscar en la web las mejores aplicaciones (juegos, calculadora, clima, etc.) para lo que deseamos instalar.
• Leer las críticas de los usuarios, pero estas son poco fiables ya que puedo ser de la empresa contraria y hablar mal o ser enviado por la empresa oficial y hablar muy bien del producto.
• No confiarse del logotipo, isotipo, imagotipo o isologo de la empresa o aplicación que queremos descargar. Como siempre deberíamos buscar en el sitio oficial de la empresa o aplicación.
• Leer atentamente qué permisos nos pide la aplicación sobre el smarpthone, la tablet, la notebook, los contactos, el micrófono, la cámara de video, la batería…
• Si no estamos muy seguros, antes de llegar al último ‘siguiente’ de los anteriores siguiente->siguiente->siguiente->siguiente, generalmente estamos a tiempo de NO instalar la aplicación. Elijamos esa opción. Preguntemos, indaguemos en la web y empecemos de nuevo o desestimemos.
• Y nunca esta demás recordar que hay que componer contraseñas fuertes, para todas las aplicaciones y dispositivos, utilizando –por ejemplo- el método “deThi4-go” http://dethi4-go.blogspot.com.ar/

Salud!

Imagen: taringa.net

Varias identidades – Varias fotos de perfil – Una identidad – Una foto de perfil

¿Qué corresponde tener hoy en día?:

¿Un solo perfil de usuario o varios perfiles de usuario para una misma aplicación?

¿Una sola identidad? que podría ser única y verdadera.

¿Varias identidades? Una verdadera y las demás falsas, de fantasía o de seudónimos.

¿Debería tener una sola foto de perfil?

¿Debería tener la misma foto de perfil para todas las aplicaciones?, ¿para todos los perfiles?, ¿para todos los comentarios?

¿Debería tener varias foto de perfil para cada una de las aplicaciones?, ¿para todos los perfiles?

Hoy en día, una persona, una ciberpersona o un cíborg tiene un promedio de cuenta de E-mail en:

- Gmail, Yahoo!, Outlook, Yandex, (un perfil oficial, un perfil pirata y un perfil para sitios de publicidad, sorteos, concursos, registros, y demás cuentas para cada caso).

- Facebook, Twitter, Instagram, Linkedin, Pinterest, YouTube, Tinder, Second love, Badoo…

- Mercado libre, Mercado Pago, Amazon, e-Bay, AliExpress…

- WhatsApp, Telegram, WeChat, Line, Skype…

- Sitios de banca en línea, obras sociales, seguros, clubes, etc.

- Sitios laborales o de estudio: @empresa, @organismo, @universidad.

(Todas credenciales con contraseñas seguras, ¿no?, todo usan el método de creación de passwords robustas ‘deThi4-go’ ¿no? J

¿Se debe?, ¿se puede tener la misma cara de baby face (real o ‘photoshopeada’), el mismo fondo de paisaje para comentar, decidir, aconsejar y gritar para los diversos temas del día que se suceden en forma de cascada –por ejemplo- en Facebook o en Twitter, o ante una tragedia o mala noticia que circula en grupos de wasap?

Veamos algunos ejemplos de caras (caritas) para una misma respuesta o un mismo anuncio:

@VivaLaViDaaa: mis más sentidas condolencias para las familias de las víctimas del ataque!

Grupo de WhatsApp: Hola chicas!!!, buen díaaa ja ja ja, empezando las vacaciones re feliz!!!!!

Facebook: Basta de impunidad! Cárcel para los que pusieron la bomba.

Foto de perfil en Linkdin: Gerente de Sistemas en Banco Nacional Platense.

Foto de perfil en cuenta de E-mail institucional. Honorable Cámara de Senadores.

Urgente: Perdí a mi gato en la zona del parque San Martín, un gato maine coon de 2 añitos, estoy desesperado, muy triste por favor ayúdenme a encontrarlo!

La conclusión, más que la foto de perfil que elijamos o cuántas cuentas poseamos, los comentarios, el contenido del mensaje debe ser moderado, pensado y ubicado en el espacio y en la situación en que estemos participando.

En cuanto a la cantidad de perfiles a incorporar a nuestra vida digital -en situaciones normales-, deberíamos tener una cuenta laboral, seria; una de fantasía para las publicidades, sorteos, concursos y demás banalidades cotidianas; y una personal para nuestras amistades y círculos sociales.

Creo yo.

Fotos: www.gettyimages.com

95nM o “Número mágico del Administrador de Seguridad”

El 95nM o “Número mágico del Administrador de Seguridad” es el término acuñado para describir al valor -95 en este caso- en que se suelen suceder los sucesos que usualmente son representados por un falso valor 99; 99.9; 99 %; 99.99 %; 99/100 o simplemente 99,999999999.

Su principal utilización se da en el campo de la informática, más aún dentro de la seguridad informática y la seguridad de la información. Su representación formal es 95nM.

A este valor también se lo conoce como:

-          Número mágico del Administrador de Seguridad.

-          95nM.

-          Mn95.

-          95 número mágico.

-          95 %.

Otras definiciones:

-          MnXCV.

-          Mn10111111.

Algunas de las máximas que soportan a esta cifra son:

“El 95 % de los superiores o gerentes no están capacitados para administrar sus respectivos puestos de trabajo y no vamos a tratar de saber cómo llegaron a ocuparlos”.

“El 95 % de los ataques a las Organizaciones son internos”.

“El 95% de las personas trabajadoras de una Organización no quieren capacitarse”.

“Todo gira alrededor del número 95, sino fíjense en Apiano, Americio, Birmania, el Rayo McQueen, Chicago (nombre clave), Mandela y en los anteojos”.²⁰⁰⁷

En realidad, el 95nM se aplica en casi todos los órdenes de la vida, por lo menos en el planeta Tierra.

El 95nM es el número y porcentual realista de los hechos que se suceden en una Organización, a saber:

Cuando estudiamos “seguridad informática”, una típica afirmación de los profesores es que:

“el 75 %” de los ataques a una empresa son hechos por el personal interno”.

Además, suele ser una pregunta de examen o certificación.

Este número es una mentira, ya que en la práctica, sabemos que “el 95 %” de los ataques a una empresa son realizados por el personal interno.

Podría ser el 99 % también, pero sería llevarlo al extremo de los ejemplos, por lo que en el 95 encontramos el número perfecto para graficar éstas y todas las situaciones que le asignen el valor de 99,9 %, como ser las típicas publicidades de: “removedores, insecticidas y limpiadores que matan al ¿99,9 % de los 'insectos' y de las 'bacterias'?”.

Volviendo al caso de los ataques internos –dentro de la seguridad informática/información- dentro de las Organizaciones, lo explicaremos de la siguiente manera:

Una Organización típica tendrá que protegerse de los ataques externos con dispositivos y aplicaciones como: firewalls, antivirus, IPS, IDS, bloqueo de contenido web, análisis de tráfico, anti-SPAM, anti-BOTNET, anti-APT, anti-DDOS, anti-PISHING, anti-RANSOMWARE, etc., etc., y más anti-etcéteras.

A partir del 95nM, podemos decir que “un 5 % de los ataques a las entidades son externos, ya que voy a tener como punto de ingreso externo de dichas agresiones, una o dos bocas ‘legales’ que me comunican con el exterior -en situaciones normales- y que, como Administradores de Seguridad tendremos que cerrar con todos los dispositivos posibles. Es decir, por una misma vía me van a tratar de ingresar virus, troyanos, malware en general, bombas lógicas, ransomware, botnets, APT y la más incontrolable de todas las amenazas, de consecuencias rápidas y peligrosas: la ‘ingeniería social’ practicada por seres humanos…”.

“Se invertiría la tristemente célebre afirmación de que el 95nM de que los ataques a las empresas ‘son’ internos, por un mensaje alentador como: el 95nM de las empresas ‘no’ sufren ataques internos”.

Sobre la capacitación y la concientización de las personas: “Las dos tareas son muy difíciles de llevar a cabo, ya que prácticamente al 95nM de las personas pertenecientes a una Organización no les gusta estudiar ni capacitarse. Menos aún si durante la capacitación no se ofrece café, té rojo, galletitas y no se sortean tabletas, valijas porta notebooks, calentadores para tazas USB, remeras o ‘pads’ de calaveras para el mouse (se conforman con cualquier cosa)”.

Sobre la PUA, los manuales, los procedimientos y las políticas de seguridad: “No importa la cantidad de usuarios de una Institución, podríamos afirmar que en el 95nM de los casos, las normas, procedimientos y circuitos administrativos son los mismos”.

Sobre el uso de las redes sociales: “Está claro que en el 95nM de las Organizaciones -dependiendo del segmento/mercado a que se dedican-, no queda bien visto que un usuario vaya hasta el escritorio de otro usuario a solicitar un informe o dejar un formulario, o a hacer una consulta, y que la otra persona no lo ‘atienda’ hasta que éste no lee, publica o envía lo que está ‘pensando’”.

Sobre las pruebas de Restore-Backup que nunca se realizan: “En una empresa (o en el 95nM de ellas) el pensamiento es el mismo: si todo anda bien -en mayor o menor medida-, pero anda, hay que dejarlo así”.

== Referencias ==

Todas estos párrafos fueron extraídos del “Ensayo: Manual para un Área & Sector de ‘inSeguridad’ de la Información & Informática” y pueden ser consultadas en el blog:

http://manual-area-de-seguridad.blogspot.com.ar/

²⁰⁰⁷: En el citado ensayo, la frase original es: “Todo gira alrededor del número 95, sino fíjense en el Americio, en Birmania y en los anteojos”.

¡Salud!

Seguridad Informática contra Cinturón de Seguridad

Es muy común en el ambiente de la ‘seguridad‘ de la información y de la ‘seguridad‘ informática prohibir –precisamente- la palabra “seguridad”.

Parecería ser una palabra ´tabú’ para quienes la impriman en publicaciones, presentaciones, para quienes la nombren en charlas asociadas a la información y a la informática.

Siempre hay algún ‘interruptor’ que esboce: “la seguridad no existe”, “la seguridad 100 % es una utopía”, “nunca debes poner la palabra seguridad en los escritos”, “nunca nombres la palabra seguridad en una exposición”.

Pero sí vemos, escuchamos y leemos por todas partes:

-          Cinturón de seguridad.

-          Válvula de seguridad.

-          Medidas de seguridad.

-          Agente de seguridad.

-          Zona de seguridad.

-          Seguridad laboral.

-          Seguridad urbana.

-          Seguridad jurídica.

-          Bioseguridad.

-          Seguridad aeroportuaria.

-          Área de Seguridad.

En ésos casos, ¿es válida emplear la palabra ‘seguridad’?

La seguridad 100 % no existe, pero sí existen los removedores, insecticidas y limpiadores que matan al ¿99,9 % de los 'insectos' y de las 'bacterias'?

Existe la palabra ‘certeza’, entonces también podríamos contragolpear con: “la certeza no existe”, “la certeza 100 % es una utopía”, “nunca debes poner la palabra certeza en los escritos”, “nunca nombres la palabra certeza en una exposición”.

El Diccionario de la lengua española (DRAE), en su 22. ª edición y en las enmiendas incorporadas hasta el año 2012, nos desasna sobre esta palabra:

Seguridad.

(Del lat. securĭtas, -ātis).

1. f. Cualidad de seguro.

¿El cinturón de seguridad posee la cualidad de seguro?

Quienes fueron damnificados por qué habiéndose colocado el cinturón de seguridad han sufrido graves heridas en un accidente automovilístico, ¿podrían demandar a las empresas que los fabrican? ¿O los fabricantes de estos cinturones deberían cambiarle el nombre de este arnés por el de “cinturón casi seguro”?

En la en la 23. ª edición del diccionario, la RAE también nos confunde, nos desconcierta con la malograda definición de:

Hacker.

1. Nombre común. Persona con grandes conocimientos de informática que se dedica a acceder ilegalmente a sistemas informáticos ajenos y a manipularlos. "algunos hackers diseñan virus informáticos muy perjudiciales".

Sinónimos: pirata informático.

Si pirata informático es sinónimo de hacker, ¿‘corrupto’ es sinónimo de “político”?

¿Son ‘primavera’, ´veranodel92’ y ‘th1gu1t05’ contraseñas robustas?, ¿inseguras?

En principio debería decir que las tres son contraseñas “seguras”.

La gente común, el usuario trabajador no tiene la culpa de que un “delincuente informático” o un “delincuente estándar” le hurte, le cambie o le robe la contraseña.

Entonces, ¿por qué ‘primavera’ es sindicada como una contraseña débil o insegura, si la misma es privada, no es divulgada y es ofuscada durante su introducción al ingresar a un servicio electrónico que requiera credenciales?

¿Cuánto son más seguras las passwords ‘th1gu1t05’ o ‘verpresos#1982y&’ con respecto a ‘primavera’, si un delincuente informático me instala un keylogger en mi computadora?

Resumiendo: son inseguras las contraseñas denominadas ´débiles’ ante los ojos de la justicia porque ésta no es tal. Porque los delincuentes informáticos y los estándar caminan libres por las calles o las penas sobre ellos no son ´duras’ o justas.

A partir de ahora entonces, utilicemos tranquilamente la palabra SEGURIDAD en toda disertación, presentación o documentación. De lo contrario borremos del diccionario las palabras certeza, justicia, confianza, garantía, inmunidad, protección, inmunidad o solidez entre muchas.

¡Salud!

Damián