Categoría: Ciberseguridad-Privacidad

Cómo destruir un disco duro

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, Paranoias, Reivindicaciones, sistemas y redes1 comentario

Bueno, con el tema de la destrucción de los discos duros del ordenador de Bárcenas por parte del Partido Popular y las declaraciones de Celia Villalobos seguro que más de uno va a buscar en Google cómo destruir un disco duro. Desde luego el método usado por el PP está bien para conseguir la destrucción de los datos de los discos: 35 formateos, rallado de la superficie y martillazo a tentetieso. Creo que es el protocolo determinado por INTECO. Pero siendo sinceros, aunque sí es un método eficaz creo que no ha sido muy eficiente. A mi alguna vez me ha tocado destruir algunos que tenían que ir para el punto limpio.

Como primera nota: aunque quede muy de pro y de hacker de peli, usar un imán no es una solución. Hace años que los discos duros vienen muy bien apantallados contra campos magnéticos, así que necesitarías uno muy potente para poder destruir los datos. Por lo que, sacando que vivas cerca de un desguace de coches que tenga un electroimán muy potente, jugar a ser Magnus Lensherr no es la mejor opción.

Habría que pensar en qué interés puede tener alguien en recuperar tus datos para calcular cómo de concienzuda debe ser la destrucción de los discos. Recuperar datos tras varios formateos es complicado, por lo que para el usuario medio puede ser una solución. Tras una docena de formateos a bajo nivel el proceso de recuperación requiere de procedimientos largos y costosos que para la mayoría de usuarios son complejos en extremo, así que para la mayoría de la gente esto debería valer. Por otra parte, puede que sea más rápido soltarles un par de martillazos contundentes y tirarlos a un cubo de agua que formatear varias veces en profundidad. No garantiza al 100% la destrucción del disco, pero seguramente lo dañe lo suficiente para que no merezca la pena el esfuerzo de la recuperación.

Si lo que tienes entre manos es un SSD la cosa es básica: martillazo limpio. Le pegas hasta que se te canse la mano, que si bien estos discos son más fiables en el tema de impactos mientras están en funcionamiento, contra golpes directos y con mala leche caen antes. Si casca una celda de memoria ya queda irrecuperable. Por cierto, hay modelos que traen un sistema de autodestrucción que mediante un botón o incluso el uso de un comando envían una señal al disco para forzar que se sobrecargue y se queme.

Además existen máquinas especificas para realizar este trabajo, como trituradoras o prensas de discos. Eso sí, las buenas valen una pasta que no compensa sacando que tengas una empresa dedicada al tema de la seguridad y destrucción de documentos. Es más, las de gama más baja creo que andan por los 4000 euros hoy por hoy.

En el caso de Bárcenas la cosa es distinta. Ahí hablamos de datos sensibles, que interesan a la justicia que investiga el caso, a los partidos de la oposición y a millones de ciudadanos españoles. También debería interesar a la prensa española, pero están a lo suyo, a por el mendrugo. En fin, que no estamos hablando de un usuario cualquiera, aquí es de suponer que se dispondrían de los métodos más completos para la recuperación de datos.

En ese caso, ¿si tengo una información sensible y quiero asegurarme de que nadie accede a ella tras descartar el disco duro? Pues lo mejor es seguir el ejemplo de los profesiones, véase lo que hicieron los servicios de inteligencia del Reino Unido cuando fueron a destruir los discos duros del diario The Guardian con la información filtrada por Snowden: abrir los discos duros, sacar los discos magnéticos que los forman, lijarlos a base de bien con una lijadora, taladrarlos varias veces y finalmente quemarlos. Este proceso garantiza la destrucción de la información. También podría valer machacarlos a martillazos tras el lijado, o aplicarles un soplete sobre la superficie. Por eso digo que fueron efectivos, pero no muy eficientes ya que si se va a destruir el disco duro físicamente no acabo de ver la lógica a gastar tanto tiempo en realizar 35 formateos.

Aquí te dejo un vídeo con dos tíos vestidos como predicadores mormones explicando cómo destruir un disco duro:

Vamos con la última duda, que seguramente a muchos les interese ¿es normal destruir un disco duro? Sí, es normal en caso de que se trate de un disco que va a desecharse. ¿Obliga la LOPD a ello? En caso de que vaya a desecharse el disco, sí, lo indica el artículo 92.4 del Real Decreto 1720/2007 aunque de una forma no muy clara: «Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. «. Por otra parte la norma DIN 66399 nos da unas directrices más claras de cómo hacerlo según el nivel de confidencialidad de los datos y el tipo de soporte a destruir. ¿Es obligatoria la destrucción física de un disco duro si el ordenador cambia de usuario dentro de una misma empresa? No, en esos casos lo habitual es realizar un formateo con varias pasadas ya que  a fin de cuentas el equipo sigue perteneciendo a la misma empresa, aunque una empresa o administración puede establecer un nivel de seguridad más alto si lo considera conveniente.

Entonces, y a la vista de lo anterior, y saliéndonos del tema de la destrucción de discos duros para irnos al tema de la noticia que inspira este artículo ¿ha cometido un delito el PP al destruir los discos duros del ordenador de Bárcenas? No podría afirmarlo. Primero habría que saber en qué fecha se destruyeron los discos: si fue después de que el juez reclamase los ordenadores desde luego sí comenten un delito al estar destruyendo una prueba de forma deliberada e incumpliendo la petición del juez. Si fue antes de la petición pero se hizo con dolo, sabiendo que había información que podría dañar al partido y destruyéndola para ocultar el delito, entonces también sería un delito, pero sería más complicado demostrarlo. Si fue antes pero se hizo como un procedimiento de seguridad estándar, sin conocer que los discos contenían pruebas de una actividad delictiva pero suponiendo que sí incluían datos sensibles, entonces no habría delito.Por otra parte, el real decreto 1720/2007 antes citado, también en su artículo 92, en el punto 1, dice que «Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad» por lo que el argumento esgrimido de que no sabían qué documentos había en el disco duro me parece débil, sobre todo porque necesitan esto para justificar la destrucción del disco duro de acuerdo con la LOPD.

En fin, en cuanto a la destrucción de discos la cosa está clara: Si tienes un SSD lo pulverizas a martillazos. Si tienes un disco duro magnético lo desmontas, rallas las caras de los discos que lo forman (lijadora si tienes, si no una lija gorda) y los rompes, ya sea a base de martillo, taladro, sierra o soplete. En cuanto al tema Bárcenas, es a la fiscalía y al juez a quien compete dirimir si hay o no delito, habrá que confiar en la independencia de la justicia, aunque en los últimos años no hayan dado motivos para ello.

Cifrado extremo a extremo en Whatsapp ¿de qué va esto?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redes, SoftwareDeja un comentario

Seguramente a muchos ayer os apareció un mensaje tal que así si sois usuarios de Whatsapp:

actualización seguridad whatsapp

Por culpa del mensaje me pasé el día hablando de esto, así que creo que lo mejor es comentarlo por aquí. Whatsapp añade cifrado de extremo a extremo ¿esto qué significa?

Bueno, empezamos recordando que Whatsapp en sus inicios no era una aplicación que destacara por su seguridad ya que enviaba sus mensajes en texto plano. Las constantes publicaciones sobre los fallos de seguridad del popular servicio de mensajería llevaron a que en 2011 la compañía se decidiera a mejorar la seguridad aplicando un sistema de cifrado en tránsito. Esta solución evitaba que un atacante pudiera ver los mensajes mientras se enviaban, pero no protegía los mensajes almacenados a nivel local.

Ya a finales de 2014 Whatsapp anunció que comenzaría a aplicar un sistema de cifrado extremo a extremo, o end to end, para mejorar la seguridad en ese sentido, delegando del desarrollo y la implementación en una tercera empresa: Open Whisper Systems. Dicha empresa se ha basado en el software de código abierto de su creación TextSecure, que fue la base para el software de mensajería seguro Signal (nota: un amigo mío, experto en seguridad, me recomienda encarecidamente dicho software).

El funcionamiento del nuevo sistema de seguridad es el siguiente: se crea una clave privada vinculada al dispositivo cada vez que se envía un mensaje, que sólo se almacena en dicho dispositivo. El mensaje es cifrado con una clave pública y sólo puede ser descifrado con dicha clave privada. De esta forma ni la propia compañía podría tener acceso a los mensajes, al menos en teoría (luego en la práctica ya veremos).

¿Cómo se activa? En principio viene activado por defecto en la última versión, así que si actualizáis ya lo veréis. Si queréis saber si lo tenéis activado os vais a los ajustes de Whatsapp:

ajustes cuenta whatsapp

Y ahí pulsáis en Seguridad:

Pestaña seguridad

Debería estar tal que así. Para que esto funcione el usuario con el que os comunicáis debe tener también el whatsapp actualizado. Para saber si podéis comunicaros con esa persona de forma segura podéis pulsar en su nombre para ver sus datos, y por allí os aparecerá un mensaje tal que así para confirmaros si la conexión está cifrada:

whatsapp confirma cifrado

Pulsando este código además podrás confirmar que los mensajes se están enviando cifrados. Si el contacto está presente físicamente puedes hacerlo mediante el escaneo de un código QR en pantalla, y si no mediante la comparación de un código de 60 dígitos que aparece bajo el código.

En resumen, que Whatsapp es sensiblemente más seguro que antes de esta actualización, y probablemente en cuatro días tendrá una pelotera tremenda con el FBI por esto, sobre todo tras la polémica que también tuvieron con Apple. ¿Significa esto que puedes mandar fotos tuyas en pelotas por este medio? Yo no te lo recomendaría.

Cifrar una memoria USB en Ubuntu

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redes, UncategorizedDeja un comentario

Tras una serie de artículos dedicados a otros temas volvemos con algunas de mis cuestiones favoritas: software libre, cifrado/encriptación y seguridad informática. Aunque algunos gobiernos nos quieran hacer creer que esto es sólo para quien tiene algo que ocultar, la privacidad es un derecho y el cifrado una herramienta necesaria para ello. ¿A alguien le parecería lógico pedir una ley  nos obligara a vivir en casas de paredes transparentes? ¿que quitáramos las persianas de nuestras ventanas y las cerraduras de nuestras puertas por si ocultamos algo tras ellas? El cifrado es la pared de tus datos, es la persiana, es la puerta.

En mis tiempos de subsistencia freelance llevaba muchas veces el proyecto de un cliente en un pendrive. ¿Qué pasaría si lo pierdo? La propia Ley Orgánica de Protección de Datos nos solicita almacenar la información sensible de una persona de forma segura. Si la tengo que llevar en una unidad extraíble entonces esta necesariamente debe estar cifrada.

Lo primero para nuestro caso es instalar el paquete cryptsetup si todavía no lo tenemos disponible en nuestra distro:

sudo apt-get install cryptsetup

Una vez instalado, y con el pendrive conectado al equipo, abrimos el administrador de discos de Ubuntu.

Administrador de discos de Ubuntu

Bajo la tabla de particiones del dispositivo verás un botón cuadrado parecido a un botón de stop (en la captura que he puesto a continuación es un botón de play porque ya lo había pulsado) que nos dará la opción de desmontar el volumen.

Particionando unidad usb

Una vez desmontado el volumen pulsas el botón con dos engranajes que está a la derecha del de desmontar y eliges la opción de Formatear. En el menú desplegable de la ventana flotante que se abrirá eliges Cifrado, compatible con sistemas Linux (LUKS + Ext4) en el menú desplegable con todos los formatos. Como puedes observar este método nos permite cifrar una partición, de forma que si no quieres no tienes por qué cifrar todo el pen, puedes hacerlo sobre una parte y dejar otra con menos seguridad para llevar algo intrascendente y tener un acceso más rápido. Seguidamente añades un nombre para el volumen que vas a formatear y una contraseña.

Finalizando el formateo de unidad cifrada

Si en el futuro quieres deshacerte de la partición formateada tendrás que volver a formatear el dispositivo, pero en cambio si quieres cambiar la contraseña el administrador de discos te dará esa opción.

Cuando insertes un volumen así cifrado en un equipo con Ubuntu te dará varias opciones: pedir siempre la contraseña, recordarla mientras dure la sesión o recordarla siempre. Esta última puede ser muy cómoda, pero piensa que en según qué casos puede que no te interese que los datos estén accesibles siempre que el pen se conecte a ese equipo.

Detectando intrusos en tu red wifi y bloqueándolos con Ubuntu.

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redes1 comentario

Hace un rato comentaba en Facebook un artículo de El País sobre cómo detectar y echar a intrusos de tu red wifi. Aquí ya hablamos en el pasado sobre cómo asegurar una red wifi, y hace ya unos años sobre herramientas de Windows para detectar intrusos. Pero ¿y con Ubuntu/GNU Linux?

Recordaréis que hace unos meses hablamos sobre la forma de ver qué IP’s están libres en una red haciendo uso de nMap. Pues de forma similar, podemos usar esta herramienta para ver qué equipos están en nuestra red. Usaremos nMap para escanear nuestra red local en busca de todas las ip conectadas:

nmap -v -sP 192.168.1.1/24 | grep down -v

Nos dará un resultado tal cual este de la imagen (en mi caso está el portátil, un móvil y el router)

Escaneando ip con nMap
Captura de la consola usando el comando

Bueno, si compruebas que en esa lista de IP hay dispositivos que no deberían estar el primer paso es cambiar la contraseña del router para echarlos, pero antes puedes apuntar las MAC de los dispositivos para bloquearles el acceso a tu red. No es una medida definitiva, ya que les bastaría con camuflar su MAC para saltar el bloqueo, pero les dará la lata (otra solución, más efectiva aunque tampoco definitiva es usar una lista blanca, es decir, bloquear todas las MAC menos las de tus dispositivos). ¿Cómo conocemos las MAC de los equipos conectados? Pues ya que sabes su IP basta con un comando arp para que veamos la MAC:

#usamos arp -n seguido de la IP
#Para conocer la MAC de ese dispositivo
#en el ejemplo el 192.168.1.103
arp -n 192.168.1.103

De la lista de resultados obtenida, la MAC es el número que aparece como DirecciónHW. Una vez apuntadas las MAC a bloquear (o a permitir), te vas a la configuración de tu router y allí configuras el filtrado por MAC.

Y con esto tienes a los intrusos fuera, al menos por un rato.

Seguridad en WordPress ¿cómo cambiar el prefijo de la base de datos?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, Lenguajes de programación, SQLDeja un comentario

Si alguna vez has hecho una instalación de WordPress verás que te solicita, para crear el sitio, el nombre de una base de datos, el usuario con el que se conectará a ella, la contraseña de ese usuario y un prefijo. ¿Por qué un prefijo? Simplemente porque así puedes tener varias instalaciones de WordPress (o de otros CMS que usen nombres de tabla muy genéricos tipo «users», «posts», etc.) en una misma base de datos.

Si no cambiamos esta configuración por defecto el sistema pondrá el prefijo «wp_» a las tablas. El no poner un prefijo personalizado, en si, constituye un error. Porque dejando el prefijo por defecto estás provocando: a)Que si un atacante logra ver el nombre de una tabla descubra que el CMS que estás utilizando es WordPress y b) Que dicho atacante, entonces, pueda conocer los nombres de las tablas de tu base de datos. La solución es simple, durante la instalación define un prefijo personalizado.

¿Ya lo tienes instalado? Don’t worry, be nécora. No está todo perdido, tienes todavía varias opciones. La más rápida y simple, instalas este plugin que te permitará cambiarla cómodamente desde la interfaz gráfica. ¿La versión más larga y compleja y élite? Pues los siguientes pasos te lo explican:

Bueno, como paso previo, o paso 0 del proceso HAZ UN BACKUP DE TU BASE DE DATOS POR SI ALGO FALLA Y TIENES QUE RECUPERARLA. Consejo que debes tener siempre en mente cuando te pongas a tocar tablas de una instalación de cualquier cosa.

El primer paso: ir a wp-config.php y cambiar ahí el prefijo (en nuestro caso pondremos como prefijo personalizado my_b457Bch33s_ ).

$table_prefix  = 'my_b457Bch33s_';

El siguiente paso es renombrar todas las tablas de tu instalación de wordpress:

/*Básicamente vas haciendo esto con todas las tablas*/
RENAME table `wp_comments` TO `my_b457Bch33s_comments`;

Tras renombrar las tablas haces un update sobre la tabla options buscando todas las líneas que hagan referencia a tablas con el prefijo viejo para actualizarlas:

UPDATE `my_b457Bch33s_options` SET `option_name`=REPLACE(`option_name`,'wp_','my_b457Bch33s_') WHERE `option_name` LIKE '%wp_%';

Y con la tabla usermeta tres cuartos de lo mismo, update que te crió.

UPDATE `my_b457Bch33s_usermeta` SET `meta_key`=REPLACE(`meta_key`,'wp_','my_b457Bch33s_') WHERE `meta_key` LIKE '%wp_%';

Y tras esto deberías tener todo funcionando de nuevo, pero con el nuevo prefijo, más seguro contra potenciales atacantes.

Consejos para asegurar tu red WiFi

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redes3 comentarios

Soy una persona que valora mucho las formas. Por ejemplo, cuando un vecino logró colarse en mi WiFi el verano pasado ya me encargué de dejarlo claro que mejor no andar jodiendo con esos temas. En cambio, cuando llegó un nuevo vecino y me ofreció compartir los gastos no sólo le he dejado usarla, sino que se lo dejo de gratis (aunque me ha regalado unas botellicas de vino, un chaval agradecido).

2000px-Wi-Fi_Logo.svg

En todo caso, la mayoría de la gente no quiere a otros pululando por su red ¿cómo podemos fortificarla?. Vamos con una serie de consejos (que, por otra parte, no pueden garantizar protección total, eso por desgracia es una quimera):

  • Utiliza un cifrado fuerte, WPA/WPA2 – PSK es el más robusto para redes domésticas. No es infalible, desde luego, pero sí bastante más consistente que otras opciones.
  • El nombre de la red (el SSID) puede ser utilizado para crackearla con un ataque de diccionario, así que cambiarlo será una de las primeras cosas que deberías hacer (y pones un nombre que probablemente no esté en los diccionarios habituales, tipo CaghoN0KaRaLloDTeUPae).
  • Cambiar la contraseña por defecto es otro must. Hay herramientas para crackear redes que se basan en los algoritmos que usan las compañías para generar las contraseñas por defecto. Como siempre que hablamos de claves, usa una contraseña fuerte (puedes servirte de un generador aleatorio de contraseñas).
  • Desactiva el WPS (por los motivos expuestos en el enlace).
  • Cambia periódicamente la contraseña y el nombre de la red, y apágala cuando no la estés usando. El tiempo es un factor fundamental para encontrar la clave, por tanto si lo apagas le estás limitando ese tiempo al atacante, mientras que un cambio de contraseña tirará por tierra todo el trabajo ya realizado. Tienes la opción de ocultar la WiFi también, pero yo nunca le he acabado de ver la práctica, ya que el atacante puede configurar su equipo para buscar redes ocultas.
  • Seguramente la configuración de tu router te permita hacer un filtrado por MAC (hablo de media access control, no de orenadores con manzanitas).Todos los routers suelen tener esta opción, basta con que accedáis al mismo, la busquéis, hagáis una lista blanca con las MAC de vuestros dispositivos y bloqueéis el resto. Es un coñazo si un amigo viene a casa y quiere conectarse a la WiFi, y puede ser burlado, pero es un escollo más para el atacante.
  • Fortifica tu Router: Si alguien logra romper tu contraseña, a pesar de toda la seguridad extra aplicada, lo que menos te interesa es que entre en la configuración de tu punto de acceso. Esencial, desde luego, es cambiar tanto la contraseña por defecto como el usuario (una simple búsqueda en Google te puede decir la del tuyo). Básico tambien es tener el firmware actualizado. Pero la medida más efectiva, que permiten casi todos los routers y que además no genera mucho problema al 90% de los usuarios, es restringir el acceso al router vía WiFi, para que sólo puedan acceder a él los usuarios conectados mediante cable, lo cual ya te da un plus de fortificación.

Con esta serie de consejos, ya te lo comentaba arriba, no lograrás la seguridad completa e infranqueable (lo dicho, una quimera, no existe a día de hoy, y seguramente no existirá), pero al menos ganarás bastantes puntos respecto a lo que supone dejar todas las configuraciones por defecto.

CONAN mobile: herramienta de seguridad para tu Android

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

CONAN mobile es una herramienta gratuita desarrollada por los técnicos de INTECO que te permitirá chequear el estado de la seguridad de tu móvil o tablet, proporcionándote consejos y soluciones para mejorarla.

Funciona en Android 2.2 y superiores, y te muestra información sobre diferentes ámbitos:

  • Configuración: Te mostrará los ajustes de tu configuración que pueden ser potencialmente peligrosas, las redes WIFI inseguras a la que estés conectado o los dispositivos Bluetooth con los que estés emparejado.
  • Aplicaciones: Listará las aplicaciones que están reconocidas como maliciosas, las que podrían serlo, las que no están actualizadas a la última versión y las que no están registradas. También te mostrará los permisos de la aplicación organizados por su nivel de inseguridad.
  • Servicio de seguridad proactivo: Alerta de comportamientos anómalos en el dispositivo tales como cambios en el fichero /etc/host, llamadas y sms a servicios de pago, conexiones a la red realizadas por las aplicaciones… y además analiza las redes WIFI a las que nos conectamos y las apps que descargamos.

Al momento de escribir esto la aplicación se encuentra en fase beta, por lo que todavía puede presentar fallos en su funcionamiento, además de sólo estar disponible para el mercado español. Para profundizar en su uso tenéis este videotutorial. Podéis descargarla desde GooglePlay

Social Lab: Un juego que te enseña seguridad en redes sociales.

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

Desarrollado conjuntamente por la universidad de Deusto y Telefónica, Social Lab es un wargame, un juego que replica el funcionamiento de una red social al estilo de Facebook o Tuenti y donde se te plantearán desafíos consistentes en conseguir datos sobre unos usuarios ficticios.

El objetivo del juego en enseñar a los usuarios las diversas técnicas de ingeniería social a las que se puede recurrir para conseguir información sobre ellos, la forma en que estos «hackers sociales» manipulan a su objetivo para que inconscientemente caiga en sus redes.

Una buena iniciativa para concienciar a los usuarios y para enseñarles formas de proteger sus cuentas y mantener su privacidad.

Detectar un intruso en tu red wifi

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redes6 comentarios

Es más habitual de lo que creéis que algún cabroncete se cuele en vuestra red wifi. A fin de cuentas cualquier hijo de vecino se puede hacer con el Wifiway y un manual, y si su tarjeta  de red se lo permite en cuestión de minutos, u horas, se te cuela. Si notáis que la red empezó a ir más lenta desde hace una temporada, es un buen indicador de que puede que os estén jodiendo la wifi.

Hoy he probado dos aplicaciones: Zamzom Wireless Network Tool y Wireless Network Watcher.

El primero os lo podéis bajar desde su página oficial pero es de pago, por lo que la versión gratuita no tiene todas las funcionalidades. En todo caso lo básico sobre quién está conectado a la red te lo dará (IP y MAC), pero por ejemplo no te deja ver el nombre del equipo. 

En el caso del segundo, que puedes descargar aquí, la interfaz es más fea, si lo quieres en castellano te tienes que bajar un fichero con la traducción aparte y da la impresión de ir un poquitín más lento (realmente no, lo que pasa es que este no tiene análisis rápido como el Zamzom, por defecto hace siempre el análisis en profundidad). Ventajas: este te da toda la información sobre quién está conectado, por lo que es mucho más útil. Para instalar el idioma que quieras basta con descargarse el archivo de traducciones que hay en la misma página de descargas y copiarlo dentro de la carpeta donde tengáis el .exe guardado.

Hay una tercera opción: AirSnare que lleva sin actualizaciones desde 2006 pero que dicen que da buen rendimiento. En este caso sólo está disponible en alemán o en inglés.

Ok, y una vez detectado el intruso ¿qué? ¿Cómo echar a un intruso de la red wifi?. Pues toca cambiar la contraseña del router y, de paso, comprobad que esté usando una encriptación fuerte, porque si usa wep estáis jodidos, con Wifiway es cuestión de minutos entrar. Para cambiar de wep a un tipo de encriptación más fuerte, aquí tienes un tutorial de cómo hacerlo.
En fin, a ver si no tenéis muchos intrusos pateando vuestra red, jeje. Suerte con la caza.

Seguridad: Protege tu privacidad en sencillos pasos.

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, Software1 comentario

Es evidente que este mundo de internet no es todo lo seguro que debería, y que las leyes que pretenden «mejorarlo» no son más que excusas para hacerles el juego a determinados lobbies y multinacionales.

Nadie está libre de ser hackeado ni de sufrir un disgusto con sus datos en línea, pero aunque no se pueda conseguir una seguridad del 100% eso no quiere decir que no se puedan minimizar los riesgos, solo has de seguir estos consejos para disfrutar de las redes sociales y otros servicios de internet de forma segura:

  • Conéctate siempre en redes seguras. Intenta no utilizar redes públicas en la medida de lo posible, y si te estás enganchando sin permiso a la red del vecino asegúrate de que este no sea informático (tengo colegas que se han divertido mucho a causa de un vecino listillo que les estaba auditando la red).
  • En tu casa fortifica siempre tu red, y vigila que no haya intrusos en la misma. Es importante que nuestra red doméstica esté bien monitorizada, sobre todo con el advenimiento del IOT.
  • Mantén tu sistema operativo limpio de virus y malware. No hace falta que te gastes una pasta pero tampoco vayas por ahí sin antivirus. Recuerdo la frase de una «genia» de la informática que me decía «Los antivirus son una mierda, antes en el trabajo no tenía y funcionaba todo, ahora cada dos por tres me está dando avisos» (olé!!!! igual los datos de tu empresa ya los tienen a la venta hasta en un rastro de Taiwan, por guay).
  • Ten un sistema operativo seguro y siempre actualizado. Ya seas usuario de Android, Linux, Windows, Apple… da igual, las actualizaciones de seguridad siempre instaladas para minimizar riesgos. Ojo con los dispositivos IOT, que suelen ser vulnerables al tener pocas posibilidades de actualización.
  • Los pagos con tarjeta, por dios, siempre en páginas seguras. Si la página tiene el https tachado, publicidad de sitios porno y los alerts de windows salen en chino o en cirílico… pues mejor no pagues ahí. Ojo a las que te pidan tu contraseña de Paypal sin redirigirte antes a su plataforma. Puedes mirar esta guía para compras en línea.
  • Cuidado con lo que instalas. Bájate las cosas siempre de sitios de confianza, mejor de la web del fabricante que de páginas de terceros. En caso de apps para móviles mira siempre que tengan sentido los permisos que te solicitan.
  • Si transportas datos en un dispositivo de almacenamiento externo, tipo pendrive o disco duro, lo mejor es cifrarlo.

Esto son consejos generales, ahora me permito unos para redes sociales y foros:

El más importante para mi: Si no quieres que algo no sea público, no lo subas. Esto es así, todo lo que alojes en cualquier servicio es susceptible de acabar llegando a malas manos. Así que si hay algo que quieras mantener como privado, lo mejor es no publicarlo por muchas medidas de seguridad que pretendas ponerle. Recuerda esta máxima: la red no olvida, las cosas que subes no «se pierden en los mares de internet» sino que permanecen durante años almacenadas en servidores que no están bajo tu control. Añado además una serie de consejos:

  1. Soy partidario de separar tu actividad social en varias cuentas, no tanto por «ocultarse tras un pseudónimo» sino por mantener un poco separadas distintas esferas de tu vida. Además, ese pseudómino no te hace tan anónimo como crees, así que no digas nada desde esa cuenta que no dirías desde una que tuviese puestos públicamente tu nombre, apellidos, DNI y dirección.
  2. Para el curriculum utiliza un e-mail que sólo uses recibir información laboral, no mezcles ese correo con otras cuentas para intentar minimizar el spam.
  3. Ten una cuenta de correo «basura» para registrarte en redes sociales, foros o para usar en concursos on-line y otras chorradas que creas que pueden derivar en exceso de spam. Si tienes dudas del servicio pero quieres probarlo y necesitas un correo, esta cuenta «burn-out» es lo ideal.
  4. No subas fotos donde aparezcan terceras personas sin su permiso. Tampoco subas fotos tuyas si no estás muy seguro de que quieres que sean públicas a largo plazo. Si llegar a la paranoia tampoco, aunque hayas leído que a una profesora de Minnesotta la despidieron por poner una foto bebiendo un vaso de vino es improbable que eso te ocurra (además, en España no sería siquiera legal que lo hicieran).
  5. No des demasiada información sobre tu lugar de trabajo, empresa, dirección postal… Si estás en una red social orientada al empleo, como LinkedIn es normal que pongas tu lugar de trabajo, pero en Instagram o Twitter no suele ser relevante y podrías estar revelando demasiada información sobre ti.
  6. No aceptes amistad de nadie si no sabes quién es.
  7. Cuidado con las aplicaciones tipo «juegos«, «tests» y demás que enlazan con tus cuentas en redes sociales. Las aplicaciones de terceros podrían tener acceso a datos que no quieres que conozcan, recuerda que el escándalo de Cambridge Analítica vino por esas aplicaciones.
  8. Ten cuidado con las cosas que piden geolocalización, he visto conseguir la dirección de una persona simplemente cruzando datos de Foursquare con los de Facebook.
  9. Controla qué cosas están como públicas y cuales como privadas, aunque recordando la máxima que aunque estén como privadas no implica que estén totalmente seguras.
  10. Si tienes la opción de «resetar» tu cuenta (borrar los mensajes antiguos en masa), hazlo cada seis meses. Recuerda que lo escribes en la red queda en la red para siempre.
  11. Y recuerda, ten siempre una buena contraseña, una contraseña fuerte. Los servicios de gestores de contraseñas son muy cómodos para esto.

Y si no quieres seguir estos consejos pues haz como Richard M. Stallman, no tengas cuentas y no tendrás que preocuparte de casi nada (porque nada te libra de que otra persona cuelgue una foto tuya «comprometedora«, aunque también te contamos cómo actuar en ese caso.).