Categoría: Ciberseguridad-Privacidad

Configurar una contraseña maestra en Firefox para proteger las contraseñas guardadas

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

El navegador Firefox incluye de serie una interesante herramienta llamada Contraseña Maestra (o Master Password) . Si eres de esos que no quieren memorizar un montón de contraseñas de distintos servicios y las almacena en la memoria del navegador puede resultar muy útil.

Imagina que tienes guardada en la memoria del navegador tus usuarios y contraseñas de Facebook, Twitter, Amazon, Netflix… hasta de la web del banco o de Paypal. Si le dejas a alguien ese ordenador podrá acceder a todas estas cuentas. Para eso sirve esta configuración: proteges con una contraseña única todas esas cuentas, de forma que solo tienes que recordar una.

Para activarlo tienes que pulsar el botón de Menú en Firefox, irte a opciones y ahí, en el menú de la izquierda, ir a Privacidad & Seguridad.

Ahora cargará las configuraciones a la derecha del menú. Ahí buscas la cabecera Usuarios y Contraseñas y marcas Usar una contraseña maestra. Eso abrirá un gestor para añadir tu nueva contraseña.

Tras configurarlo tendrás que cerrar y volver a abrir Firefox para que la configuración haga efecto.

Desde esa misma pantalla podrás también modificar la contraseña cuando lo creas necesario.

Cómo ver que Apps tienen acceso a nuestra cuenta de Facebook

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

Ya hemos hablado de varios temas de privacidad en este blog, como cuando vimos cómo descargar nuestros datos de varias redes sociales o cuando dimos consejos para proteger nuestra privacidad tanto en facebook como en general. Muchas de las brechas de seguridad en Facebook provienen de apps de terceros con demasiados permisos. ¿Cómo podemos verlas?

Desde la web podemos hacer click en el menú desplegable a la derecha de la cabecera, ir a Configuración y allí, en el menú de la izquierda, buscar Apps y Sitios web. Si te pierdes un poco con la explicación basta con que hagas click en este enlace en un navegador donde tengas tu sesión iniciada.

Desde el app para Androidla cosa es más o menos igual: despliegas el menú, vas a Configuración y allía a Apps y Sitios Web. Una vez dentro de esa pantalla tienes que pulsar en Sesión Iniciada con Facebook. Una vez allí ya verás todas las apps conectadas, en una pantalla como la siguiente.

Apps y Sitios Web

Tanto desde el ordenador como desde la app podrás seleccionar qué apps quieres eliminar para revocarles de esta forma el acceso a tus datos. De esta forma mejorarás un poco más tu privacidad.

¿Cómo ver todas tus búsquedas de voz en Google? ¿Cómo gestionar la privacidad de las grabaciones?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

Vamos con un tip rápido sobre privacidad ¿sabes que puedes ver todas las búsquedas por voz que has hecho con tu cuenta de Google?

Ya sea desde un dispositivo Google Home o desde un teléfono Android, la empresa de la gran G graba y conserva todo lo que le preguntamos. Puedes ver ese registro a través de este enlace. Si tu cuenta de Google tiene una sesión abierta ya te llevará directamente a esos datos.

¿Y cómo puedo gestionar esto?

Puedes borrar estos datos y puedes configurar tu cuenta para que no se almacenen a través de este enlace. Desde ahí puedes ver las instrucciones para eliminar todas las grabaciones, para eliminar solo algunas y también puedes activar o desactivar la grabación de tus búsquedas de voz.

¿Qué hacer si alguien distribuye imágenes íntimas nuestras en internet?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

No es una entrada técnica, pero por lo que he visto hoy puede ser muy práctica.

Si algún desaprensivo tiene fotos o vídeos vuestros en una situación sexual y los hace públicos, a través de una red social, un sistema de mensajería, un foro o alguna web de vídeos es importante mantener la calma en el primer momento. Ok, tendrás ganas de matar a alguien y el impulso de insultar o amenazar, pero no es lo más práctico. Distribuir esas imágenes es un delito en España y en la mayoría de países de la Unión Europea.

  • Lo primero es recopilar pruebas: recoger los enlaces, descargar todo lo descargable y hacer capturas de pantalla, aunque teniendo en cuenta que no son una prueba definitiva. Es importante preservar estas pruebas ante notario o en el juzgado. Voy a matizar un par de cosas aquí: lo de descargar lo digo para cuando sean fotos nuestras, si son de terceras personas no lo hagas. Es decir, si te encuentras con que algún criminal ha compartido fotos, por ejemplo, de sexo con menores no se te ocurra descargarlas, aunque lo hagas con intención de denunciarlo, porque no eres un investigador y podrías meterte en un problema. En ese caso simplemente copia el enlace y envíalo a las fuerzas de seguridad pertinentes. Otra cosa, si es un caso de mucha gravedad (por ejemplo que implique a menores, o que derive en acoso) lo mejor es que contactes con el colegio de peritos forenses informáticos de tu comunidad.
  • Lo siguiente es hacer una denuncia ante las fuerzas de seguridad pertinentes o en el juzgado de guardia.
  • Con la denuncia presentada y las pruebas recopiladas y registradas es el momento de contactar con el servicio donde se ha publicado para exigir que corten la difusión del mismo. Si hay una denuncia de por medio seguramente se muestren colaborativos rápidamente, sobre todo si es un servicio que tenga una oficina en España, donde están obligados ante una orden judicial.

¿Por qué en este orden? Porque si en un primer momento amenazas, o insultas, le das la opción al delincuente de borrar su rastro. Es posible que esto detenga la difusión, cierto, pero también entorpece la investigación y puede que se vaya de rositas para volver a repetir su delito.

Entiendo que cuesta mantener la sangre fría en un momento de tal gravedad, pero es importante proceder bien para conseguir que el responsable acabe recibiendo una condena en el juzgado.

Cifrar una máquina virtual de Virtual Box

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redesDeja un comentario

Virtual Box nos permite dar un extra de seguridad a nuestras máquinas virtuales cifrando sus discos duros, recurriendo al algoritmo de cifrado simétrico AES, dándonos a elegir entre claves de 128 bits y de 256 bits.

Para ello seleccionamos en la pantalla principal de Virtual Box la máquina que queremos cifrar y pulsamos el botón de Configuración.

Virtual box

Allí nos vamos a la pestaña Disk Encryption, marcamos el check de Enable Disk Encryption, elegimos en el desplegable el tipo de cifrado y finalmente definimos una contraseña.

Cifrar Unidad

Tras aceptar comenzará el cifrado de los discos de la máquina elegida. Una vez terminado cuando la iniciemos nos pedirá la contraseña para continuar. Si queremos deshacer el cifrado basta con desmarcar el check de Enable Disk Encryption y poner la contraseña cuando nos la pida.

¿Puedo descargar una copia de mis datos de Facebook? ¿y de Linkedin? ¿y de Twitter?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

Estos días, tras todo el escándalo alrededor de la privacidad en Facebook y del uso de datos de los usuarios por parte de Cambridge Analytica algunas personas me han preguntado ¿puedo ver qué datos tiene Facebook almacenados sobre mi? Su recelo, además, alcanzaba a otras redes sociales.

En principio es posible descargar un fichero con todos los datos que, a priori, dichas redes dicen tener sobre ti. Veamos:

Facebook:

En la parte superior derecha de la web tienes un icono de una flecha señalando hacia abajo, justo a la derecha de un icono con una interrogación. Si pulsas en dicho icono se despliega un menú, donde debes pinchar sobre Configuración.

facebook1

En dicho menú tienes un enlace sobre el que pinchar, como puedes ver en la imagen de debajo, que te llevará a una pantalla desde que la que te solicitarán tu contraseña de nuevo para enviarte a tu correo de contacto un fichero con los datos solicitados.

Facebook: Enlace descargar fichero

LinkedIn:

Si pulsas sobre el icono con la miniatura de tu foto en la parte superior derecha se despliega un menú. En dicho menú eliges Ajustes y Privacidad.

Linkedin menú

Dentro ya de la ventana de Ajustes marcas la pestaña Privacidad que te aparecerá arriba y buscas entre las opciones que te da debajo la opción Descarga tus Datos, dentro del título Cómo utiliza LinkedIn tus datos.

Linkedin datos

Twitter:

Si pulsas sobre el icono con la miniatura de tu foto en la parte superior derecha se despliega un menú. En dicho menú eliges Configuración y Privacidad.

Twitter menú

En el menú de la derecha eliges Tus Datos de Twitter y allí ya sigues las instrucciones para descargarte tu fichero de datos.

Twitter descargar datos

¿Cómo reconocer un correo electrónico malicioso?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

Tras una serie de días teniendo que arreglar problemas derivados de gente que abre correos a lo loco he creído útil dar aquí unas pautas que deberían ayudarnos a reconocer correos maliciosos. Si bien es cierto que la mayoría se servicios de correo electrónico populares tienen filtros contra el spam que evitan que nos inunde el correo basura, algunos más sencillos (Gmail, por ejemplo, te permite bloquear una dirección) y otros más configurables (volviendo al Gmail, en Gsuite da varios opciones)

Pero  a pesar de la inefable ayuda de estos filtros siempre puede colársenos algún correo malicioso, con archivos infectados o enlaces para hacer fishing, sea como fuere el filtro de spam no es infalible y en nuestro buzón siempre puede acabar apareciendo un correo trampa. ¿Cómo lo reconocemos? Aquí van unas pautas:

  • Si el correo electrónico no tiene asunto debemos empezar a desconfiar, o si el asunto está en un idioma que no conocemos.
  • Si el correo electrónico solicita la actualización de una cuenta y nos manda un enlace al que acceder para introducir nuestras credenciales… la mosca detrás de la oreja. Lo mejor es no pinchar ya, pero si accedes al enlace fíjate en la barra de direcciones para ver si te está llevando a la web legítima.
  • La ortografía cuenta: cuando el texto del correo electrónico tiene palabras mal escritas o puntuación extraña también debemos desconfiar. En muchos casos se usan traducciones automáticas, así que si vemos modismos extraños (shit yourself little parrot) tampoco hay que fiarse.
  • Cuando los enlaces del correo electrónico son largos, dirigen a direcciones IP o son crípticos lo mejor es no abrirlos.
  • Si por la forma parece provenir de una empresa legítima u organismo público y cumple alguna de las anteriores, entonces no lo dudes: malicioso seguro. Hacienda no te va a mandar un correo pidiéndote tu número de cuenta para realizarte una devolución de impuestos.
  • Si se solicita que el usuario abra un archivo adjunto ahí lo mejor es ya encender todas las alarmas, más aun si se trata de un archivo ejecutable o un fichero comprimido.

Aquí os dejo un ejemplo de un caso real que viene relatado en la web de INCIBE, para que le peguéis una ojeada.

¿Qué es la «Tríada CID» o el «Triángulo de la Seguridad»?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, Lenguajes de programación, sistemas y redes, SQL1 comentario

La Tríada CID no tiene que ver con cantares escritos en castellano medieval ni con tebeos de Hernández Palacios, sino que es un concepto dentro de la disciplina de la seguridad de la información que hace referencia a tres principios que deben trabajar en conjunto para garantizar la seguridad de un sistema informático: Confidencialidad, Integridad y Disponibilidad.

  • Confidencialidad: Los datos deben estar solo al alcance de los usuarios autorizados. Deben establecerse unas políticas de control de acceso para evitar que la información clasificada caiga en manos, ya sea de forma intencional o no, de un usuario sin acceso.
  • Integridad: El concepto integridad hace referencia a la correctitud y completitud de la informacion que tenemos almacenada. Debe poder garantizarse que no se realizan modificaciones de los datos no autorizadas, que no es posible la pérdida de datos y que los datos son consistentes, esto es que la información que tenemos almacenada es correcta respecto al mundo real exterior.
  • Disponibilidad: Finalmente, el concepto disponibilidad implica que la información tiene que ser accesible para los usuarios autorizados dentro de un tiempo razonable. Dicho de otra forma: la información debe estar siempre disponible para el usuario autorizado.

A la hora de diseñar una estrategia de seguridad para una empresa, o simplemente a la hora de almancenar cualquier colección de datos sensibles, estos tres puntos deben tenerse siempre en consideración.

Seguir leyendo «¿Qué es la «Tríada CID» o el «Triángulo de la Seguridad»?»

Detectar intrusos en tu wifi desde Android o iOS

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redes, SoftwareDeja un comentario

En el pasado vimos cómo detectar intrusos en tu wifi con Windows (ya hace años de eso) y desde Ubuntu. Pero ¿y si eres un usuario que tiene sólo tablet y móvil? ¿puedes saber si te están vampirizando la wifi? Puedes. Existen varias apps para ello, pero creo que la más sencilla es Fing, que además en su versión más básica es gratis.

Fing es una aplicación que te permite escanear la red a la que estás conectado, y por suerte existen versiones para varios sistemas operativos. De hecho puedes usar también Fing desde un portátil o sobremesa ya que también tiene versiones para Linux, Windows y MacOSX.

Centrándonos en la versión móvil, no puede ser más sencilla de usar: la puedes descargar desde aquí y, una vez instalada, basta ejecutar la aplicación para ver qué equipos hay conectados a la red. Los móviles tendrán un icono distintivo, al igual que el router o punto de acceso al que esté conectado el teléfono. Una vez veas la lista puedes calcular si ves algo raro, si hay algún equipo que no debiera estar conectado. En caso de que haya un invitado indeseado la mejor opción es que cambies la contraseña de la wifi.

Fing captura

Pulsando encima de cada dispositivo conectado podrás tener varias opciones: una es ver la MAC del dispositivo, por si quieres añadir a tu router una regla de filtrado por MAC para impedir que ese equipo se conecte (aunque la MAC puede cambiarse, así que no es un método infalible para evitar conexiones indeseadas). Otra es la de etiquetar a ese dispositivo con un nombre a tu elección (por ejemplo «ordenador del salón«) para facilitar su identificación cuando ejecutes el app. También puedes realizar un escaneado de puertos o lanzar un ping. Si decides hacerte una cuenta puedes disponer de notificaciones cuando alguien se conecte y más opciones.

Como ves es una solución fácil para tener controlado quién accede a tu wifi. Por cierto, que los creadores de Fing están trabajando en Fingbox, un dispositivo de hardware que facilitaría la expulsión de intrusos de tu red.

Añadiendo una capa extra de seguridad al login de PHPMyAdmin

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, Lenguajes de programación, sistemas y redesDeja un comentario

He visto este artículo en Tecmint esta semana y he pensado que no estaría de más comentarlo por aquí, por aquello de que muchos de los que llegáis a este blog es porque buscáis una solución que no esté en inglés sino en castellano.

En fin, la idea es poner protección con contraseña a la propia página de login de PHPMyAdmin, esto nos obliga a poner dos contraseñas para entrar en lugar de una. Puede paracer paranoico, pero recuerda que es el corazón y el cerebro de vuestro servidor web. Como es habitual nos centraremos en la versión para Debian/Ubuntu. Los ejemplos los copio y pego del artículo original.

Bueno, lo primero es añadir estas líneas al fichero /etc/apache2/sites-available/000-default.conf

<Directory /usr/share/phpmyadmin>
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
</Directory>

Lo siguiente será usar htpasswd para generar un fichero de contraseña para una cuenta que tendrá el acceso autorizado a la página de login. Usaremos el parámetro -c para que cree la cuente o, en caso de que exista, se la cargue y genere una nueva. En el ejemplo usan tecmint como  usuario, así que copio tal cual:

# htpasswd -c /etc/apache2/.htpasswd tecmint

Tras eso nos pedirá que insertemos la nueva contraseña dos veces. El siguiente paso nos lleva  a modificar los permisos sobre el fichero para que ningún usuario indeseado pueda leerlo:

# chmod 640 /etc/apache2/.htpasswd
# chgrp www-data /etc/apache2/.htpasswd

De esta forma si intentamos acceder a nuestro PHPMyAdmin nos encontraremos con lo comentado: nos pide una contraseña para poder acceder al login, donde tendremos que meter otra para entrar. Como recomendación, para que esto sea útil no uséis el mismo usuario y contraseña para las dos.