Artículos de la categoría ‘Seguridad Informática’

Cuenta de administrador vs. cuenta limitada

Normalmente, en los sistemas operativos de equipos informáticos, se puede acceder de dos maneras: como administrador, para configurar el equipo, y como usuario limitado, para el uso cotidiano del mismo.
Hace un tiempo Hispasec, web dedicada a la seguridad informática, publicó en un excelente artículo las principales razones por las que el 92% de las vulnerabilidades críticas en Windows minimizarían su impacto si no se usase la cuenta de administrador.
No se trata de entrar en el tema de qué sistema es más o menos seguro, el hecho es que la mayor parte de los usuarios utilizan sistemas operativos de Windows. Éstos traen una vulnerabilidad llamémosla “de fábrica”: al instalarse se configuraba en primer lugar una cuenta con privilegios de administrador, o sea, con acceso a todo el sistema. Si a ésto se añade que, al entrar en un equipo, un virus actúa con la identidad del usuario al que ha infectado, se facilitaba muchísimo que el propio virus se adueñara del sistema.
Este error no ocurre en los sistemas Unix/Linux, puesto que piden durante la instalación la creación de una cuenta de usuario sin privilegios administrativos. Windows tomó nota de ésto y reaccionó, aunque tarde. Con Windows Vista incluyó el UAC (User Access Control), un medio por el que se restringía el acceso a las funciones más críticas en el sistema operativo, pero no ha sido bien aceptada por parte de los usuarios, quienes hasta entonces estaban acostumbrados a acceder al sistema sin restricciones.
El viernes pasado, el INTECO publicó un informe, titluado cuenta de administrador vs. cuenta limitada, que puede venir bien para aclarar ideas y para concienciar a todos los usuarios, cualquiera que sea su nivel informático, de las principales ventajas del uso de cuentas sin privilegios administrativos, añadiendo ejemplos en los que se puede ver cómo los virus poco podrían hacer en un sistema si acceden a través de una de esas cuentas.
Leerlo no evitará que siga habiendo virus y otros tipos de amenazas a la seguridad informática, pero a buen seguro que contribuirá a que hagamos un uso más eficiente de nuestros equpos informáticos.
Publicado el 8 de Marzo de 2010
Categoría: Seguridad Informática | Sin comentarios »

Un poco sobre privacidad en Internet

Con la masificación del uso de Intenet, y en particular con la de las redes sociales, podemos hacer llegar textos, imágenes, videos, etc. de una forma inmediata y a cualquier lugar del mundo. Éste es el lado bueno de Internet y las redes sociales, sus posibilidades como medio de comunicación.
Pero la rápida proliferación que han tenido las redes sociales nos dejan un riesgo bastante visible con nuestra privacidad: a veces no somos conscientes de que Internet es un medio abierto, accesible para todo el mundo, y que cualquier contenido que se envíe puede ser visto por mucha gente.
Para evitar sorpresas desagradables, existen dos opciones:
  • Primera opción. Asegurarnos de que el contenido que publicamos llega únicamente a quienes realmente queremos que llegue. En caso de que una red social, blog, foro, etc. no proporcione opciones para garantizarnos ésto, deberíamos ir a la segunda opción.
  • Segunda opción. No publicar información confidencial.
En los últimos tiempos se han hecho varias campañas dedicadas a informar, especialmente a los jóvenes, este tipo de riesgos. Un ejemplo puede verse en el video a continuación, de una campaña del Defensor del Menor de la Comunidad de Madrid. Es posible que estas campañas puedan ser vistas como un intento de demonizar sobre Internet, aunque lo que en realidad se proponen (o al menos se deberían proponer), es que los usuarios seamos conscientes de los riesgos que puede traer un uso inadecuado de la red.
 
Publicado el 7 de Marzo de 2010
Categoría: Internet, Seguridad Informática | Sin comentarios »

Troyanos Bancarios

¿Quién no ha recibido ya algún mensaje en el que supuestamente el banco X le pide, en un castellano a veces casi ilegible, que introduzca sus datos de acceso a su cuenta bancaria?

Es lo que se ha venido a llamar Phishing mediante Ingeniería Social, y a estas alturas ya todos estamos más o menos vacunados contra estas cosas, aunque por desgracia todavía queda gente que cae, aunque cada vez menos.

Es por eso por lo que los delincuentes informáticos buscan otras alternativas más sofisticadas y difícilmente detectables para el Phising. Concretamente, cada vez se usa más la técnica del troyano bancario, un tipo de malware (virus, para quien no le gusten los tecnicismos), que lleva a cabo tareas tales como la captura de teclas pulsadas, suplantación o redirección de webs bancarias, grabación en video de las sesiones del equipo informático, etc., y se diferencian de los virus tradicionales en un aspecto que les hace especialmente peligrosos: siempre procuran pasar desapercibidos.

Una información más detallada sobre los troyanos bancarios se puede encontrar en la guía Qué son y cómo funcionan los troyanos bancarios, publicada por el INTECO (Instituto Nacional de Tecnologías de la Comunicación). Una lectura más que recomendable.

Se podrían citar numerosas medidas a tomar para prevenir estos ataques, pero puede bastar con cumplir cuatro normas básicas:

  • Software legal y debidamente autorizado. Instalar un crack para poder usar un software sin pagar la licencia puede ser muy práctico, pero es una vía de entrada de cualquier tipo de virus.
  • Revisiones periódicas del equipo con un antivirus, a ser posible antes de acceder a la página de un banco o efectuar un pago con tarjeta.
  • Cortafuegos bidireccional: los cortafuegos que incluyen los routers domésticos solo filtran el tráfico que entra en nuestras redes. En el caso de los troyanos bancarios, el problema radica en la información que sale de nuestro equipo, y por ello es altamente recomendable disponer de un cortafuegos que lo regule. Existen en el mercado excelentes soluciones de software gratuito (PC Tools Firewall, zoneAlarm, Comodo, etc.).
  • Desconfiar. Internet es un desconocido y, al igual que ocurre, por ejemplo, en las llamadas telefónicas, no debemos dar determinada información a aquellos de quienes no tengamos certeza de su identidad. ¿O alguno lo hace?
Publicado el 1 de Marzo de 2010
Categoría: Seguridad Informática | Sin comentarios »
Blog creado gracias a la tecnología de Wordpress.com