Seguridad informática y seguridad de la información: similitudes y diferencias.

Seguridad informática y seguridad de la información son dos conceptos que algunos periodistas no suelen manejar correctamente, provocando la confusión entre sus lectores al usarlos como si fuesen sinónimos. Voy con una mini-entrada para hablar de estos conceptos. ¿Es lo mismo seguridad informática que seguridad de la información?

Imagen genérico de una consola de comandos
Photo by Negative Space on Pexels.com

Si recordáis la entrada que hicimos sobre la Tríada CID, cuando hablamos de proteger información habamos de garantizar su confidencialidad (a grandes rasgos, que solo pueda acceder a ella quien tenga permiso para ello), su integridad (que no pueda ser manipulada ni destruída de forma accidental o malintencionada) y su disponibilidad (que sea accesible dentro de un tiempo razonable). A esos tres conceptos podemos sumar también el de autenticación, que implicaría la verificación de que el origen de los datos es correcto, que quien nos los envía es quien dice ser. Tanto la seguridad informática como la seguridad de la información persiguen ambas estos objetivos, eso es lo que tendrían en común: las dos hacen referencia a disciplinas que buscan proteger la información (datos personales, datos de negocio, propiedad intelectual) de una organización (empresa, gobierno, fundación), encargándose del cumplimiento de los requisitos legales en esa materia y de la protección contra delincuentes, contra neglicencias de los operarios o contra accidentes e imprevistos.

Cuando hablamos de seguridad informática hablamos de la disciplina que trata de proteger la información almacenada en un sistema informático, además de proteger también la propia infraestructura de dicho sistema (los equipos, las redes, los sistemas de almacenamiento, etc.). Se suele usar el término ciberseguridad como sinónimo de seguridad informática, aunque algunos especialistas señalan un matiz diferenciador entre ambos conceptos: consideran que la ciberseguridad debe hacer referencia solo a la protección de sistemas que estén interconectados y cuando se haga uso de tecnologías y prácticas ofensivas, mientras que seguridad informática sería un término más amplio que engloba la protección de los sistemas informáticos, indistintamente de si están interconectados o no y de si se usan técnicas ofensivas o solo técnicas defensivas.

El término seguridad de la información sería todavía más amplio, no limitándose solo a la protección de la información contenida en los sistemas informáticos sino también a la que sea almacenada o manipulada de forma impresa o verbal. No atañe solo a equipos informáticos y redes, sino también a las instalaciones físicas o a las personas que forman parte de la organización.

De forma resumida: podríamos decir que la seguridad informática es una parte de la seguridad de la información, pero que no son sinónimos porque la seguridad de la información abarca más cosas.

Ciberseguridad: ¿Qué es el QRishing y cómo nos defendemos de este fraude?

Por aquí hemos hablado del phishing a través de correos fraudulentos, del envío de facturas falsas, del smishing o del vishing, así que por seguir con los «ings» toca hablar del QRishing, palabro que no tengo ni idea de cómo se pronunciaría y que viene a ser una combinación de QR y phishing.

Los códigos QR (abreviatura del inglés Quick Response, que vendría a ser Respuesta Rápida en castellano) fueron creados por Toyota a mediados de los 90 para gestionar sus inventarios de repuestos y se popularizaron rápidamente en Japón, expandiéndose por Europa durante la primera década de los 2000 y alcanzando su mayor aceptación durante la pandemia de 2020, cuando los locales de hostelería comenzaron a usarlos para enlazar urls con sus cartas al no poder utilizar una carta en papel. Cada vez más en los últimos años se están convirtiendo en una alternativa a los tradicionales códigos de barras, pues permiten almacenar información más compleja.

Ejemplo de código QR
Código QR (Ejemplo tomado de Wikipedia)

Su popularización en los últimos tiempos, cuando se han vuelto un recurso casi omnipresente y todos los teléfonos traen ya un lector de QR incorporado, ha llevado a que también se utilicen para el cibercrimen. El QRishing consiste en engañar a la víctima para que lea un código QR creyendo que le llevará a un sitio legítimo y conducirle realmente a uno fraudulento, para allí intentar robar sus credenciales de acceso a algún servicio o incluso colarle un falso pago (fue muy sonado un caso en Texas en el que se usaron códigos QR falsos para engañar a la gente que quería pagar los tickets del parking). Os podría contar un gracioso troleo que realicé sirviéndome de estos códigos el verano pasado (una acción entre activismo, pedagogía y un poco de cabronería también), pero prometí contárselo a un amigo y si lo lee aquí luego perderá su gracia cuando lo hablemos entre birras.

¿Cómo nos protegemos?

Bueno, primero vamos con las medidas técnicas: yo diría que es importante que la aplicación que usemos no abra directamente la URL escaneada en el código sino que, en lugar de eso, nos muestre la dirección a la que va a llevarnos y nos pregunte antes si queremos ir. Un simple gesto que nos hará perder un par de segundos a cambio de ganar mucho en seguridad.

Más allá de tener una app un poco más segura el resto dependerá de nuestro proceder, como en todo lo que podamos considerar fraude o estafa: habría que comprobar que el código viene de una fuente fiable, si nos piden credenciales de acceso ver que la página sea legítima y si tiene sentido que nos lo pidan, si es para realizar un pago habrá que andarse con mi ojos y ver tanto que la plataforma sea legítima como que el receptor del pago sea el correcto y comprobar finalmente en la página de nuestro banco que la transacción haya sido correcta. Si tomamos como ejemplo la estafa de los aparcamientos en Texas, añadiría que también hay que fijarse que el código que vamos a escanear no haya sido manipulado, si hay una pegatina con un código colocada encima de otro es mejor desconfiar y alertar a la entidad o negocio que debería gestionarlo por si fuera un intento de estafa.

Ciberseguridad: consejos a la hora de usar conexiones con el protocolo RDP

El protocolo de acceso a escritorio remoto (en adelante RDP) ha formado parte de Windows desde hace años, apareciendo originalmente para Windows XP. Cuando nos conectamos por RDP tenemos un equipo que hace de servidor, al que nos conectaremos, y el resto de equipos serán clientes. Aunque es una forma muy cómoda de trabajar también hay que señalar que con el paso de los años se ha quedado bastante obsoleto en términos de seguridad: carece de encriptación y es muy sensible a los ataques por fuerza bruta. Cuando durante el confinamiento de marzo-mayo de 2020 muchas empresas se lanzaron a teletrabajar sin un plan claro, dada la urgencia, se abusó de estas conexiones y muchas sufrieron problemas de seguridad (recuerdo haber leído un artículo en Twitter allá sobre el 18 de marzo donde ya se remarcaba la cantidad de escritorios remotos vulnerables que se podían localizar en España). Los delincuentes intentar servirse de conexións RDP vulnerables para instalar ransomware, spyware o practicar el cryptojacking.

Fotografía genérica de un app de seguridad.
Photo by Pixabay on Pexels.com

¿Cómo podemos usar RDP de forma segura?

Vamos a plantear varios puntos. El primero ¿necesitamos conexión vía RDP para trabajar? En muchos casos es más seguro implementar soluciones de trabajo a través de portales en la nube, claro que también requiere de una inversión en desarrollo (que se verá compensada en el largo plazo por la mejora en productividad y en seguridad).

En caso de que realmente necesitemos esta conexión vamos con el siguiente punto ¿Está nuestro software actualizado? Este es un punto recurrente en todas las entradas sobre ciberseguridad, pero es importante recordar que un equipo desactualizado suele ser más vulnerable ante cualquier tipo de ataque. No olvides descargar siempre las actualizaciones de seguridad del sistema operativo.

Los ataques más comunes contra los escritorios remotos son ataques de fuerza bruta y en muchos casos se sirven de un diccionario de usuarios y contraseñas, por lo que es recomendable no utilizar nombres genéricos para los usuarios (tipo Admin, Administrador, Administrator, etc.) dificultando así el trabajo del atacante, además de complementarlo con una política de contraseñas robustas. A día de hoy depender solo de la contraseña puede no ser suficiente, por lo que sería recomendable utilizar alguna solución para realizar una autenticación de dos factores, ya sea a través de datos biométricos, de una clave generada al momento que se envíe al usuario o del uso de un dispositivo externo para la validación. Otra buena política es bloquear el acceso de un usuario a través de este protocolo tras un número determinado de intentos fallidos de conexión. También es importante definir bien los permisos de los usuarios para limitar qué pueden y qué no pueden hacer según el trabajo que vayan a desempeñar. Un último consejo es no dejar «usuarios zombies«, cuántos más usuarios tenga el servidor más posibilidades tendrá el atacante de intentar entrar, por lo que si un usuario deja de utilizarse lo mejor será eliminarlo del sistema.

Una de las mejores soluciones que tenemos para hacer más robusta nuestra seguridad en los accesos a un servidor por RDP es utilizar una VPN: por un lado nos dará un cifrado para nuestras comunicaciones, cosa de la que carece el protocolo RDP, y por otro podremos limitar el acceso al servidor y permitirlo solo a través de dicha VPN, lo que reduce enormemente las posibilidades de un ataque. Lo ideal es conectarse a través de una VPN, pero si por lo que sea no disponéis de una entonces al menos no utilicéis el puerto por defecto, el 3389, para la conexión. Cambiando este puerto se logra reducir un poco el número de ataques automatizados, aunque no es una solución ideal pues el atacante podría simplemente buscar los puertos a la escucha. También se puede implementar un filtrado por IP en el cortafuegos, pero es algo que solo recomendaría para empresas que cuenten con una IP fija, para el teletrabajo no acaba de ser una solución práctica pues la mayoría de conexiones domésticas utilizan direcciones IP dinámicas.

Seguridad informática ¿Qué es un wiper y cómo nos podemos proteger?

En los últimos meses otro término relativo a la ciberseguridad del que se está hablando mucho, por la situación bélica en el este de Europa, es wiper. ¿De qué hablamos? Pues de un tipo de malware diseñado para destruir la información almacenada en discos duros. Al contrario que el ransomware, que secuestra nuestros datos, el wiper lo que hace es destruirlos. Esto no es algo nuevo, allá por los 90 virus como Casino, CIH o alguna de las últimas versiones del virus de los Barrotes también estaban diseñados para destruir los datos, aunque en los últimos años este tipo de amenazas se habían vuelto menos habituales ya que es complicado para un ciberdelincuente conseguir un retorno económico si ha destruído de forma irremisible la información, siendo sustituídos por herramientas que roban datos, meten publicidad o los cifran para cobrarnos el rescate. En efecto, un wiper no es especialmente útil para extorsionar o robar, pero sí es muy útil en contextos de ciberguerra o ciberterrorismo. En los últimos meses además de grandes campañas de ransomware también se ha visto un crecimiento del uso de este tipo de herramientas, pensadas para destruir información confidencial o inutilizar sistemas informáticos enteros.

Cada wiper puede funcionar de una forma distinta, los más efectivos que se han analizado durante esta guerra, se cree que usados por los servicios de inteligencia militar rusos, principalmente sobreescriben los primeros bytes de cada fichero con una serie de datos aleatorios para dejarlos inservibles, además de rellenar también el espacio vacío y destruir las particiones y el sector de arranque del sistema, dejándolo inutilizado. La idea es destruir la información, inutilizar el sistema y dificultar además el trabajo forense.

¿Cómo nos protegemos?

Aunque en el párrafo anterior nos centremos en el uso de esta tecnología como arma en el contexto de la guerra entre Rusia y Ucrania, esto no quiere decir en absoluto que empresas o entidades públicas de otros países estén libres de recibir este tipo de ataques. Como siempre que hablamos de posibles pérdidas de datos, lo primero y más básico es tener una política de copias de seguridad que nos garantice que la pérdida si no es nula al menos que sea mínima, con copias diarias de los datos críticos y guardados en varias ubicaciones distintas. Es importante mantener los sistemas operativos actualizados, al igual que el antivirus y el cortafuegos, en caso de disponer de uno. Finalmente el comportamiento del usuario será la última clave: cuidado con lo que se descarga de correos, unidades de almacenamiento externas, sistemas de mensajería, etc. Como siempre la recomenación será tener cuidado con lo que recibimos, descargamos y ejecutamos.

Algunas aplicaciones gratuitas para mejorar la seguridad y privacidad de nuestro dispositivo Android.

Siempre insisto en las entradas sobre ciberseguridad en que protejamos nuestro dispositivo, utilizar herramientas del propio teléfono como por ejemplo el cifrado de la tarjeta SD o del almacenamiento, ojo a los sms que traen enlaces, mantener el software actualizado, no instalar apps de orígenes dudosos, hacer un uso responsable del dispositivo, estar atentos a posibles estafas… son cosas que están en nuestras manos. A mayores también tenemos aplicaciones que nos facilitarán la vida. Vamos a ver una serie de apps que además podemos obtener gratuitamente.

Imagen ilustrativa de una consola de comandos
Photo by Sora Shimazaki on Pexels.com

Empecemos por CONAN Mobile, una aplicación desarollada por INCIBE de la que ya hablamos hace unos años y que sigue recibiendo actualizaciones. Aunque su interfaz se ha quedado algo anticuada sigue siendo una buena herramienta a la hora de detectar configuraciones inseguras o aplicaciones maliciosas, o incluso si nuestro teléfono ha sido parte de una botnet. No es un antivirus sino una herramienta para gestión de seguridad, es bastante útil y siendo un desarrollo de una entidad pública no incluye publicidad ni otro tipo de «pago en datos» a cambio de su gratuidad.

Si bien para navegar de forma anónima nada es más eficiente que el navegador de TOR, es cierto que a veces puede resultar un pelín excesivamente contundente, algo lento o que quita demasiadas funcionalidades en algunas webs. Si queremos un navegador funcional que respete nuestra privacidad hoy por hoy creo que las dos opciones que mejor combinan sencillez, funcionalidad y seguridad son Brave Browser y Cake Browser. Seguramente alguien me pregunte por DuckDuckGo, es cierto que bloquea muchos rastreadores, pero se ha sabido hace poco que el proyecto tiene un acuerdo con Microsoft que les impide bloquear algunos rastreadores de la compañía del Windows.

Los antivirus gratuitos suelen despertar mi recelo, algunos ralentizan nuestro dispositivo, otros pasado un tiempo empiezan a bombardearte con publicida de la versión premium, algunos directamente comercian con tus datos… para comprobar si tenemos malware en nuestro teléfono yo recomiendo dos aplicaciones, sino queremos pasar por caja: por un lado el antivirus Koodous y por otro el web de VirusTotal. El primero es un antivirus creado y mantenido por una comunidad de voluntarios hispanohablantes, nos permite escanear nuestro teléfono en busca de malware. En cuanto a VirusTotal, aunque hay un app en la tienda de Google, yo prefiero abrir directamente la web en el navegador del teléfono y subir allí el fichero para comprobar si pudiera estar infectado, no por nada, sino porque el app no es oficial aunque tiene buenas valoraciones.

Proteger nuestro teléfono con datos biométricos o con una patrón siempre es una buena práctica, pero tenemos el app AppLock, que nos permitirá añadir protección extra a aplicaciones concretas poniéndoles un pin o patrón particular, pudiendo aplicarla a los SMS, contactos, configuración, o cualquier aplicación concreta del teléfono, de hecho nos permite hasta proteger con pin fotografías u otros ficheros almacenados en el teléfono.

Finalmente otra de mis recomendaciones es usar un gestor de contraseñas y hoy por hoy creo que la mejor opción, sin tener que pagar, es Keepass2Android Password Safe, que está basada en el popular software libre Keepass. Nos permite tener nuestra base de datos de contraseñas en un fichero externo online, incluso en servicios populares como GoogleDrive o DropBox, permitiendo que lo tengamos disponible en todos nuestros dispositivos.

Spyware ¿qué es? ¿cómo nos protegemos?

Está la prensa española hablando mucho de spyware estos días, primero por el espionaje a políticos catalanes de ideología independentista a través del software Pegasus o de otros programas de la empresa Candiru denunciado por la asociación canadiense Citizen Labs, después porque el propio gobierno central haya denunciado que los teléfonos de la ministra de Defensa y del propio presidente han sido también espiados a través de la conocida aplicación de NSO. Aquí no vamos a analizar el caso, que ya hay mucha gente hablando del tema y mejor informada que yo, sino que nos vamos a hablar de lo básico sobre software espía: definición y cómo minimizar el riesgo.

¿Qué es un spyware?

Cuando hablamos de spyware hablamos de una tecnología, un código malicioso que se usa para extraer datos de un sistema de información (ordenador, red de ordenadores, teléfono, tablet…) sin el consentimiento ni conocimiento de sus usuarios. Puede usarse para robar contraseñas de distintas cuentas, credenciales de acceso a servicios en la nube, datos bancarios, correos electrónicos, ficheros almacenados, cookies de navegación… en fin, en general cualquier tipo de información que pase por el equipo infectado. El spyware recopilará información que se descargue o se genere en el dispositivo y la enviará después a un dominio que pertenezca al atacante para que este pueda analizarla. Dado que si analizamos el tráfico de nuestra red podríamos detectar la infección si vemos un tráfico inusual hacia una web extraña, estos dominios suelen estar «camuflados» con nombres similares a los de empresas legítimas o con nombres que sugieran que son páginas inocuas, además es habitual que se reparta el envío de tráfico entre varios dominios para que el volumen de información enviado no sea llamativo.

¿Quién se sirve de este tipo de software? Pues cualquiera que tenga la intención de espiar a alguien, esto abarca desde ciberdelincuentes hasta fuerzas de seguridad, pasando por gobiernos, servicios de inteligencia e incluso medios de comunicación o empresas. Desde el saqueo de cuentas a través de banca móvil a la estrategia geopolítica, pasando por el espionaje industrial, se han detectado este tipo de ataques en muchos y diversos casos. Los objetivos del espionaje pueden ser tanto empresas como gobiernos, instituciones o personas particulares.

¿Es ilegal su uso? Creo que legalmente en España estaría en el mismo supuesto legal que las escuchas telefónicas, podría ser autorizado por un juez en determinados supuestos para una investigación criminal, al menos es lo que interpreto leyendo esta circular de la Fiscalía General del Estado, de 2019 que hace referencia a las modificaciones en la Ley de Enjuiciamiento Criminal de 2015. Es evidente que cuanto menos control público exista sobre un gobierno, cuanta menos separación de poderes exista en un estado, más podrá este abusar de estas aplicaciones.

¿Cómo nos protegemos?

Bueno, si recordáis las entradas sobre apps maliciosas, sobre rogueware o sobre distintos tipos de troyanos (que son tres de las formas en las que nuestro dispositivo puede acabar infectado) hay varios puntos a seguir:

  • Tener nuestro software actualizado. Si vemos artículos técnicos hablando sobre Pegasus una de las cosas que comprobaremos es que se servía de vulnerabilidades de iOS, Android o Whatsapp que fueron parcheadas posteriormente, por lo que es fundamental mantener las actualizaciones al día.
  • Revisar los permisos de las aplicaciones. A veces el spyware puede estar escondido en una aplicación que nos hemos descargado pensando que sirve para otra cosa, es importante comprobar que los permisos que pide la aplicación al instalarse sean coherentes con el uso que se le va a dar. Por ejemplo, si descargamos un app que nos de la predicción del tiempo atmosférico es normal que pida permisos sobre nuestra ubicación (para darnos la predicción del sitio en el que nos econtremos), pero debería alarmanos que nos los pida, por ejemplo, sobre nuestra lista de contactos.
  • Instalar un app que nos ayude a gestionar la seguridad. Yo siempre recomiendo usar la aplicación de seguridad Conan, del CCN.
  • Ojo con las cosas que descargamos, hay que comprobar siempre que vengan de una fuente legítima. Como también se ha visto en el caso Pegasus, se utilizaban ficheros PDF infectados para ejecutar remotamente código en el dispositivo que instalaba el software espía.
  • Analizar nuestro tráfico de red. Esto ya es para usuarios avanzados o profesionales, revisar el tráfico de la red y comprobar con qué dominios se comunican puede ayudarnos a descubrir un software espía oculto en algún equipo.
  • Reiniciar el teléfono regularmente. Aunque parezca una chorrada tiene su sentido. Según investigadores de la empresa de antivirus Kaspersky el reinicio regular del dispositivo dificulta el espionaje ¿Por qué? Pues porque según parece los más sofisticados spywares (ahora sí que hablamos de Pegasus o de otras herramientas millonarias) que son capaces de infectar dispositivos con técnicas «0-click» (es decir, que no requieren de una acción concreta del usuario) no instalan nada en el dispositivo para reducir su rastro, sino que se cargan en la memoria en tiempo de ejecución. Esto implica que si el teléfono se apaga ese código malicioso desaparece y el atacante tendría que volver a infectar el dispositivo para volver a espiarlo.
  • Repensar las políticas BYOD. Hace unos años desde distintas webs dedicadas a economía y negocios se nos decía que los teléfonos corporativos estaban «muertos«, que ahora lo que se llevaba era el bring your own device, es decir, que cada uno se traiga al trabajo su propio dispositivo. Lo que se vendía como una forma de mejorar la comodidad del usuario y su «libertad» (palabra multiuosos para múltiples estafas), y que realmente no era más que una forma de buscar que las empresas ahorrasen en la compra de dispositivos, ha acabado por convertirse en uno de los eslabones más débiles de la ciberseguridad empresarial. Es otra de las cosas que hemos visto en el asunto Pegasus: los teléfonos de cargos públicos se utilizaban como si fuesen personales, instalaban y descargaban más o menos lo que querían y no había unas reglas de seguridad rígidas al respecto de su uso. También hay que decir que en el caso de las últimas versiones del polémico y ahora popular software de NSO no era necesario que el atacado descargase nada, el atacante podía infectar el dispositivo sin que el usuario participase, pero en la mayoría de spywares sí suele infectarse el dispositivo a través de algún malware introducido mediante phishing.

Todos estos consejos nunca nos garantizarán una protección total (puede que nos encontremos con un spyware que explote una vulnerabilidad todavía no solucionada y que incluso permita ataques del tipo «0-click» antes mencionados, o que no sea detectable por el software antivirus por ser todavía muy nuevo), pero sí que nos pueden ayudar a minimizar el riesgo de ser atacados. Siendo realistas, es poco probable que algún servicio secreto o gobierno tenga interés en espiar a un ciudadano medio que no tenga un cargo político, pero sí es cierto que cualquiera puede ser víctima de un ataque que intente robar sus datos bancarios o incluso, en según qué profesiones, datos relativos a su trabajo, como por ejemplo en casos de espionaje industrial, o en el espionaje a periodistas de investigación del que se han reportado múltiples ejemplos. Ante los más modernos spywares, los que se venden como un servicio por el que se cobran millones, es complicado y a veces hasta imposible defenderse (por eso se pagan millones), pero hay muchos otros más baratos y usados por delincuentes de todo tipo contra los que podemos estar más seguros teniendo un poco de cuidado.

Crear un certificado autofirmado con OpenSSL

Ya habíamos hablado anteriormente de OpenSSL, vamos a ver hoy cómo podríamos generar un certificado autofirmado. Vamos a generarlo con cifrado SHA512 y con clave RSA de 4096 bits, que se llamarán micerautofirm.key y micert.pem (el nombre lo podeís poner vosotros).

openssl req -x509 -sha512 -nodes -newkey rsa: 4096 -keyout micerautofirm.key -out micert.pem

Este certificado autofirmado tiene validez por un mes. Si queréis uno para más tiempo podéis utilizar el parámetro -days y pasarle un entero con el número de días. Por ejemplo, para un año:

openssl req -x509 -sha512 -nodes -days 365 -newkey rsa: 4096 -keyout micerautofirm.key -out micert.pem

VPN: ¿Qué es? ¿Para qué sirve? ¿Para qué no sirve?

Siguiendo con la serie de entradas sobre ciberseguridad vamos a hablar hoy sobre conexiones VPN, ya que seguramente has visto en los últimos tiempos muchos anuncios de distintas empresas que ofrecen este servicio. Antes de que lo preguntes, no te recomiendo usar ninguna gratuita, al menos si tu intención es usarla para mejorar tu seguridad.

Tablet navegando a través de VPN
Photo by Dan Nelson on Pexels.com

Empezando por lo básico ¿Qué es una VPN? VPN es el acrónimo de Virtual Private Network (Red Virtual Privada en castellano) y nombra a una tecnología que nos permite unir varios equipos como si estuvieran en una red interna (LAN), pero a través de una red pública como internet. Lo que generalmente ves anunciado cuando te ofertan una VPN son servicios de empresas, que te venden una aplicación para que navegues a través de su configuración VPN con tráfico cifrado y de sus servidores, que para darte mayor seguridad funcionarán como servidores proxy.

¿Para qué sirve una VPN?

Uno de los usos más habituales de esta tecnología es acceder remotamente a la red de una organización como si se estuviera trabajando conectado a la red local. Pensemos en un empleado que teletrabaje y necesite acceder a una serie de documentos que están en un servidor de la empresa, mediante una VPN podría acceder a ellos aunque esté en la otra punta del planeta. También podría servirnos para acceder al NAS de nuestra casa si estamos de viaje, conectándonos desde nuestro hotel. Para este uso muchas empresas no contratan un servicio externo y simplemente configuran una VPN en su red y sus servidores, para que sus trabajadores puedan acceder remotamente de forma segura.

Las VPN suelen tener un cifrado fuerte, así que también son una buena alternativa para añadir una capa de seguridad a mayores si estamos navegando en una red abierta que no sea muy confiable (la wifi de un bar o de un aeropuerto, por ejemplo). Si tienes que acceder a una web que requiere autenticación (usuario y contraseña, por ejemplo la web de tu banco) y estás conectado a una de estas wifis, el uso de una VPN ayudará a evitar que un delincuente pueda capturar nuestros datos de navegación o incluso que pueda redirigirnos a una web fraudulenta, todo eso gracias a la capa de cifrado y a la configuración de las DNS de la VPN, es lo que se llama túnel de datos.

Portátil usando VPN
Photo by Stefan Coders on Pexels.com

Otro de los usos habituales de una VPN es saltarse bloqueos regionales. A veces un contenido on-line no está disponible en nuestro país, puede ser por una cuestión de censura (el gobierno del país no quiere que sus ciudadanos accedan a esa información) o puede ser por una cuestión de negocio (se trata de un producto comercial y sus derechos no están disponibles en el país), pero el resultado es que no podemos acceder a dichos datos. Cuando una web se bloquea para una región la responsabilidad del bloqueo recae en los proveedores de Internet ¿Cómo funciona esto? Al usar estos servicios de VPN nuestra salida a internet se hace a través de un servidor proxy, explico con más detalles: cuando navegamos de forma normal nuestro equipo se comunica con el router, que pide a nuestro proveedor que nos haga llegar la información que solicitamos y este es el que decide si nos la envía o no. Si navegamos a través de una VPN lo que hacemos es decirle a nuestro proveedor que nos conecte al servidor proxy de dicha VPN, generalmente las empresas nos darán a elegir varios servidores en distintos países, y en este caso es el servirdor quien pedirá a su proveedor de internet esa información que luego nos enviará cifrada. Como la petición no se hace desde nuestra IP, sino desde el servidor proxy a través del que navegamos, estaríamos sometido a los bloqueos regionales del proveedor del país donde se encuentra ese servidor y no de los del nuestro. Por ejemplo, cuando no había Netflix en España había gente que se hacía una cuenta en el Netflix de EEUU, si intentaba acceder sin VPN recibían un mensaje informándoles de que el servicio no se encontraba disponible en su país, en cambio si usaban una VPN que tuviera en servidor en los EEUU podían acceder como si estuvieran allí.

¿Para qué NO sirve una VPN?

En algunos anuncios de servicios VPN he leído «Aumenta tu velocidad de conexión«, así en letras grandes que harán pensar al potencial cliente que si contratan esa VPN su conexión a internet será más rápida. Todo lo contrario, las VPN no aumentan la velocidad sino que la ralentizan al tener que cifrar los datos y al tener que pasar la información por más nodos. Tampoco es que estos anuncios sean un timo, normalmente la letra pequeña suele aclarar que lo de «Aumenta tu velocidad…» se refiere a que es más rápida que otras VPN de la competencia (las VPN gratuitas suelen ser especialmente lentas).

A muchos os sorprenderá pero otra cosa para la que no sirve una VPN es para garantizar nuestro anonimanto en la red. La mayoría de los anuncios prometen eso, «navega de forma anónima«, pero esto no es realmente así, o más bien no es es exactamente así. Como ya comentamos antes, al navegar a través de una VPN nuestras peticiones hacia internet salen desde el servidor de la misma y la comunicación con dicho servidor desde nuestro equipo está cifrada, lo cual tiene varios efectos: como ya comentamos antes, nuestro proveedor no puede saber qué estamos viendo en Internet, también nos protege de ser espiados dentro de nuestra propia red y además hará que el servicio al que accedamos no pueda ver nuestra IP y los datos que pueden sacarse de ella (como proveedor de internet o ubicación), pues lo que verá será la IP del servidor proxy al que nos conectamos. Lo citado es todo el «anonimato» que nos puede dar la VPN, tenemos que ser conscientes de varios puntos: la VPN no nos da ninguna garantía ante cookies de rastreo, para eso tendríamos que recurrir mejor a las pestañas de navegación anónimas de nuestro navegador. Además, el servidor de la VPN puede registrar nuestro tráfico, la privacidad en una VPN no viene por el diseño y las medidas técnicas de la misma sino por sus políticas de empresa y por las obligaciones legales, muchas VPN gratuitas se financian vendiendo esos datos de navegación de sus usuarios y en caso de requerimiento judicial pueden identificar a un usuario. Comento a mayores que he visto a gente usar una VPN para luego entrar en su cuenta de Youtube o Facebook creyendo que de esa forma esos servicios no pueden saber qué hacen, otro error, con tu cuenta conectada estarán registrando tu actividad por mucha VPN que uses.

¿Merece la pena contratar una?

Pues depende ya de cada usuario valorar si merece la pena contratarla. Desde luego una VPN es una buena herramienta para el teletrabajo, en algunos casos incluso esencial. También nos da un extra de seguridad si tenemos que conectarnos habitualmente, por el motivo que fuere, a través de redes poco confiables. Si lo que buscas es anonimato en ese caso la VPN, como ya hemos visto, no te lo garantiza. Si hacemos caso a Snowden lo mejor sería combinar VPN+Red TOR para esto. Como ya hemos comentado antes, algunos servicios gratuitos son muy lentos y comercian con los datos de navegación de los usuarios, así que lo más recomendable si quieres una VPN es un servicio de pago.

Ciberseguridad: Troyanos Keyloggers, Backdoors y Stealers ¿Qué son?

«De tu cólera nacerá Europa, pero para que nazca Europa, tú tienes que morir en Troya«. Como vamos a hablar de Troyanos empiezo citando una frase de La Cólera de Santiago García, uno de los mejores guionistas de tebeos españoles y una obra flipante con un dibujo de Javier Olivares tremendo, pero aunque me encante charlar de tebeos y aunque la obra de Homero sea fundamental en el desarrollo de la cultura literaria europea y occidental no serán La Odisea o La Ilíada lo que hoy nos ocupe, aunque tenga un poco que ver.

Decía que tienen un poco que ver porque este tipo de malware originalmente se denominaba Trojan Horse (Caballo de Troya, después abreviado a simplemente Trojan), en referencia a la estrategia de Odiseo para tomar la ciudad: camuflar a sus soldados dentro de una estatua y dejarla como regalo. Al igual que aquellos griegos, los troyanos se ocultan dentro de un software en apariencia legítima para infectar a tu equipo, algo de lo que ya hemos hablado en las entradas sobre rogueware o sobre apps maliciosas. Se dice que el primer troyano conocido, si nos fiamos del libro At the Abyss: An Insider’s History of the Cold War de Tomas C.Reed (ex-asesor de Reagan en materia de seguridad nacional), fue uno introducido por la CIA en 1982 en un software canadiense diseñado para controlar el sistema de un gasoducto y que se esperaba que fuese robado por espías rusos para usarlo en el gasoducto transiberiano, que proveería gas a varios países europeos y al que EEUU se oponía por su antagonismo hacia la URSS y también por su tradicional alianza con la monarquía marroquí. El resultado de dicho ataque informático habría sido una enorme explosión seguida de un gran incendio, sin víctimas mortales humanas directas pero con terribles efectos sobre la economía soviética, dejando inhabilitado el gaseoducto durante meses. Añado que la CIA no ha confirmado en ningún momento la historia de Reed ni figura en documentos desclasificados, mientras que desde el lado ruso hay división de opiniones sobre si hubo o no sabotaje.

Fotografía genérica con comandos
Photo by Negative Space on Pexels.com

Generalmente las infecciones por troyanos suelen producirse por descargar ficheros que nos llegan en correos maliciosos o por utilizar software descargado de fuentes no fiables. Como siempre recomiendo y repito porque soy un viejo cascarrabias: tened cuidado antes de abrir nada que se reciba por correo/mensajería instantánea, preguntad al remitente siempre antes de abrir nada. Descargad el software siempre desde el sitio del fabricante. Tener un antivirus actualizado nos ayudará a prevenir muchos de los ataques también, aunque no pueda garantizar una protección del 100% si se trata de una vulnerabilidad nueva sí nos ayudará contra amenazas ya conocidas.

Keyloggers, backdoors y stealers:

Sobre el ramsonware, el malware que secuestra tus ficheros cifrándolos, ya hablamos largo y tendido en su propio artículo, así que no me explayaré y veamos los otros tres tipos de troyanos más habituales:

  • Keyloggers: un keylogger es un programa que captura todas las señales que el equipo recibe del teclado, almacenándolas en un fichero y enviándolas en algún momento al atacante. Su principal utilidad es descubrir pares de usuarios y contraseñas entre los textos tecleados. Os comentaré que este tipo de ataque además de a través de un troyano también se puede realizar mediante un hardware específico. Si descubrimos que hemos sido infectados por uno lo mejor es que, tras limpiar el equipo con un anti-malware, cambiemos nuestras contraseñas por si acaso, también es interesante tener activada la autenticación en dos pasos en nuestros servicios web para evitar que puedan acceder solo con la contraseña.
  • Backdoors: una backdoor, puerta trasera en castellano, es un software que da acceso remoto a nuestro equipo a un atacante si que seamos conscientes de ello. Esto le permitirá hacer cualquier tarea sirviéndose de nuestro equipo.
  • Stealers: un stealer, en castellano ladrón, es un software diseñado para robar información almacenada en nuestro equipo, como puedan ser credenciales de acceso a algún servicio web, números de tarjeta de crédito, etc. Los consejos que os daré si habéis sido infectados son los mismos que con el keylogger, tras desinfectar el equipo con algún anti-malware el cambio de contraseñas será fundamental. De nuevo insisto en la autenticación de dos factores para tener un extra de protección ante el robo de contraseñas.

Ciberseguridad: Ransomware ¿qué es?

Seguimos con el repaso de términos relacionados con la ciberseguridad y vamos a hablar de una de las amenazas más presentes del último lustro: el ransomware. Seguro que recordaréis ataques informáticos que dejaron inhabilitados docenas de hospitales en los EEUU o UK, servidores del ministerio de interior Ruso o, en el caso de España, a Telefónica, varios ayuntamientos e incluso los sitios del SEPE y del Ministerio de Trabajo. Aquellos ataques fueron realizados con los malwares Wannacry y Ryuk, que son dos de los tipos de ransomware que más daño han causado en los últimos años. Si bien es un tipo de amenaza que existe desde los años 80 del siglo pasado en los últimos años, sobre todo a partir de 2012, ha sido cuando más se ha explotado.

Fotografía de atacante genérico
Photo by Mikhail Nilov on Pexels.com

Te preguntarás en qué consiste esta temida amenaza. El ransomware es un tipo de malware que lo que hace es cifrar los ficheros de nuestro equipo para que no podamos acceder a ellos. ¿Por qué nos cifra los ficheros? Pues para pedirnos un rescate. El atacante exigirá un pago a cambio de proporcionarnos una herramienta o una contraseña que descifre nuestros ficheros. Como te puedes imaginar, las garantías de recibir la herramienta después del pago son nulas, existen testimonios de gente que sí recibió una solución y de otra que no recibió nada. En cualquier caso suele recomendarse no pagar el chantaje. ¿Cómo nos infecta? El ransomware es un programa que tiene que entrar en nuestro equipo, así que hay muchas formas: correos electrónicos maliciosos, falsos antivirus, aplicaciones maliciosas, ataques por fuerza bruta contra la contraseña de un servidor con los puertos abiertos en internet… ya hemos hablado de todas en entradas anteriores.

¿Cómo nos protegemos?

Bueno, como siempre tener un antivirus/suite de seguridad informática actualizado nos protegerá de muchas amenazas, aunque no de todas. Si tenemos un equipo conectado en una red abierta hacia internet la configuración del cortafuegos es también vital. El clásico actuar con sentido común también es importante: no abrir ficheros que nos llegan en correos o mensajes inesperados, andarse con ojo con los programas que descargamos e instalamos, tener cuidado si conectamos un dispositivo de almacenamiento externo (tarjeta de memoria, pendrive usb, disco duro externo)… Aunque incluso con todo el cuidado del mundo podemos acabar siendo igual víctimas de un ataque. Recuerdo que en las primeras ocasiones que tuve que lidiar con equipos afectados por ransomware había herramientas de recuperación gratuitas que eran capaces de revertir el cifrado de nuestro equipo si les proveíamos unos cuantos ficheros cifrados por el atacante y sus copias previas sin cifrar, aunque era una tarea engorrosa. Y recuerda siempre: la mejor protección para mitigar la pérdida de datos es contar con una copia de seguridad externa al equipo (NAS, disco duro externo, servidor externo), incluso fuea de la red local pues muchas versiones de estos malwares pueden replicarse. Tener varias copias de nuestros ficheros importantes no solo nos protege del ransomware, también de averías o robos de dispositivos.