facebook

Seguridad en redes WIFI domésticas

A día de hoy la mayoría de los hogares cuentan con una conexión a Internet sobre todo a través de redes inalámbricas. Muchos usuarios se conectan a la red de su casa confiando que están seguros, que el proveedor le configuró todo correctamente en cuanto a seguridad y que nadie ajeno puede estar conectado a su red. Sin embargo, la mayoría de los usuarios no tienen los conocimientos necesarios para asegurarse de que su red está correctamente configurada, a salvo de miradas ajenas.Wifi

Es aquí donde desde CSIRT-CV hemos querido plantear una nueva campaña de concienciación que hemos titulado “Seguridad en redes WIFI domésticas”, en la que hemos querido dar unos consejos básicos sobre cómo configurar de la forma más segura posible la red de su hogar. Así que, como en el resto de ocasiones, hemos querido complementar nuestros consejos habituales de Twitter y Facebook con consejos de la campaña de concienciación, que se han podido seguir con el hashtag #segdoméstica.

Un resumen de los consejos mas importantes que hemos lanzado se puede leer a continuación:

Para empezar a configurar nuestro router de casa debemos conectarnos a él a través del cable Ethernet por ejemplo. Una vez conectado accederemos a panel de configuración del router donde haremos las modificaciones. Para ello, en nuestro navegador debemos escribir la dirección IP de la 'Puerta de Enlace' de nuestra red. Si no sabemos cual es, pulsamos Inicio>Ejecutar>Escribimos “cmd” y en la ventana negra que nos aparece escribimos “ipconfig”, la IP que deberemos poner en el navegador aparecerá como “Puerta de enlace predeterminada”. Para acceder al panel de administración de nuestro router nos pedirá un usuario/contraseña que normalmente viene indicado en la documentación del router. Si hemos olvidado la contraseña y no es la que viene por defecto podemos resetear el router y configurarlo desde cero, generalmente dejando pulsado un pequeño botón que pone “reset”. Una vez dentro lo primero que debemos hacer es cambiar esa contraseña de acceso al router. Recordad que la contraseña debe ser robusta, con al menos 8 dígitos, con números, letras y caracteres especiales.

Otra medida que debemos tomar para configurar el router de casa es modificar el SSID, es decir, el nombre de nuestra WIFI. Esta opción suele encontrarse en el apartado “Wireless Settings”, y normalmente aparecerá el nombre del fabricante de nuestro router o de nuestro proveedor de Internet. Deberemos cambiarlo por otro diferente para ponérselo más difícil a los atacantes. Dentro del panel de administración de nuestro router debemos añadir la contraseña que tendrá nuestra WIFI de casa en el apartado “Encryption” en “Wireless Settings”. Allí debemos elegir en el modo de cifrado uno de tipo WPA2-AES o WPA2-PSK, y escribir la contraseña que queramos para nuestra conexión a la WIFI. Recordad que sea sobre todo larga, con mayúsculas, minúsculas, números y caracteres especiales. Este paso es MUY IMPORTANTE.

El siguiente paso para hacer más seguro nuestro router es deshabilitar el protocolo WPS ya que existe una vulnerabilidad que permite a un atacante conectarse a tu red WIFI aun teniendo el cifrado recomendado (WPA2-AES o WPA2-PSK) y una contraseña muy larga y robusta.

Si queremos añadir otra capa de seguridad extra para la red WIFI de nuestra casa podemos activar el filtrado de direcciones MAC en el router. Es decir, permitir que solo los dispositivos cuyas direcciones MAC hemos autorizado previamente puedan conectarse a la red. Y, ¿cómo puedo saber la dirección MAC de mis equipos (ordenadores, teléfonos,etc) para poder añadir el filtrado de direcciones MAC en el router de casa? En este enlace dan algunos pasos para ello.

Es muy recomendable estar al día de la tecnología que se está usando, así que una buena práctica es leer de vez en cuando noticias relacionadas con el fabricante de nuestro router por si se hubiera detectado alguna vulnerabilidad y tuviéramos que, por ejemplo, actualizar su firmware. También puede ser interesante saber cómo detectar y echar intrusos en tu red WIFI. En este articulo te explican como hacerlo, aunque en el panel de administración del router puedes ver quién hay conectado en cada momento. Además, podemos revisar el estado de nuestra red fácilmente: desde un PC con Windows podemos descargar y utilizar Wireless Network Watcher  y desde un dispositivo con Android, la aplicación ezNetScan.

Una protección a añadir en tu red de casa es contar con un Firewall que está disponible siempre en todos los sistemas operativos ya que si alguien llega a entrar en tu red podría por ejemplo ver tus carpetas compartidas.

Si no vas a estar en casa o no vas a usar la WIFI, apagala , de hecho también podrías conectarte a través de una red cableada que es más segura si no necesitas la WIFI.

También puedes limitar el número de dispositivos que se pueden conectar al router para que no haya más de las que necesites. Si en algún momento las necesitamos, podemos ampliarla temporalmente. También es una buena opción desactivar el DHCP y asociar direcciones MAC a IPs de manera estática en el router.

Recuerda mantener tus equipos y dispositivos actualizados y protegidos con un antivirus. Evita también utilizar los equipos con la cuenta administrador a no ser que sea estrictamente necesario.

Por últimos comentar que no solo es necesario haber establecido contraseñas robustas sino que es necesario cambiarlas, tanto la del panel de administración del router como la de la WIFI de forma periódica . Este pequeño hábito te ahorrará muchos quebraderos de cabeza. Revisa las conexiones de manera habitual para detectar cualquier anomalía y poder tomar medidas.

Tags: facebook

Seguridad para llevar: protege tus wearables

Muchos de nosotros hacemos deporte, sea entrenamiento duro o ligeras caminatas, y a la mayoría nos gusta dejarlo todo cuantificado porque nos ayuda a seguir un plan de entrenamiento, o bien nos gusta compartir una bonita foto durante nuestra caminata, o compartir el recorrido que hemos llevado a cabo.

Cada vez disponemos de mas elementos que nos ayudan a monitorizar nuestra actividad, nuestro entorno e incluso nuestra propia salud. Elementos como aplicaciones para los smartphones o los dispositivos wearables (relojes inteligentes, gafas de realidad aumentada, ropa tecnológica, pulseras electrónicas, etc.) recogen mucha información nuestra que hay que saber proteger. Es por ello, que desde CSIRT-CV queríamos ofrecer una serie de consejos genéricos en esta campaña de concienciación, que nos ayudan sobre como utilizar este tipo de aplicaciones y dispositivos para salvaguardar nuestros datos mas sensibles.

Durante el tiempo que ha durado esta campaña de concienciación, se han emitido consejos diarios en las redes sociales en las que CSIRT-CV está presente (Facebook y Twitter) con el hashtag #miwearableseguro, donde podéis consultarlos todos. Sin embargo, os ofrecemos aquí un breve resumen de los consejos mas relevantes:

Recuerda que algunas cámaras de fotos o la propia del smartphone tiene la capacidad de geolocalizar las fotos que hagamos. Si luego esas fotos se distribuyen por Internet es posible que gente que no quieras sepa exactamente donde te encuentras, o incluso donde está tu casa. Si no quieres que se geolocalicen tus fotografias,  desactiva esta opción.

Muchas aplicaciones  de las que utilizamos para cuantificar el deporte que hacemos permiten compartir el recorrido que hemos hecho, sea en bici, corriendo, caminando, etc. Piensa si realmente quieres compartir esa información al público, si por ejemplo el recorrido empieza siempre en el mismo sitio,  ¡Todo el mundo sabrá donde vives!

Las aplicaciones que instalamos en nuestro smartphone, o vienen integradas en nuestros wearables han de ser siempre procedentes de fuentes confiables y siempre mantenerlas actualizadas. Además, muchas están integradas con algún servicio Web en la nube, con lo cual puedes acceder desde Internet a tus datos. Recuerda configurar de forma adecuada ese servicio Web y la propia aplicación para no hacer visible lo que no quieres que lo sea, establecer una contraseña robusta de acceso y utilizar siempre cifrado https para acceder a esos servicios Web.

Recuerda también que dispositivos wearables son más fáciles de perder, así que no almacenes información confidencial en los mismos. Si es posible establece tanto en tu smartphone, como cámara, tablet o wearables bloqueo de pantalla por patrón o pin. De igual forma recomendamos conectarnos a redes WiFi de confianza y evitar llevar la WiFi siempre conectada si no se va a utilizar.

Las novedosas formas de pago que surgen a través de los wearables (a través del smartphone, pulseras, etc.) hacen que los ciberdelincuentes tengas más opciones para robarnos, es conveniente por tanto que extrememos las precauciones cuando se hace uso de ellos y controlemos de forma mas precisa las transacciones.

Cada día aparecen nuevos modelos de wearables por lo que el mercado de segunda mano es muy activo. Si compras o vendes uno de estos dispositivos, asegúrate de desvincular todas las cuentas de las aplicaciones que utilices de forma que el nuevo o anterior dueño no pueda acceder a tus datos.

Los wearables o  dispositivos con WebCam

pueden ser muy útiles tanto si los usamos para grabar nuestro recorrido en bicicleta o vigilar a nuestros bebes, pero hay que tener en cuenta que se debe configurar de forma que si queremos acceder a la WebCam desde Internet es presciso restringir su acceso con una contraseña robusta para que no esté expuesta a mirones. De igual forma se recomienda tener tapadas las WebCam cuando no se tengan que usar.

Por última comentar que todos los consejos están disponibles siguiendo el hashtag #miwearableseguro tal y como hemos comentado, tanto en Facebook como en Twitter.

Tags: facebook

Certificados en la Red

La campaña de concienciación respecto al uso de Certificados Digitales, denominada “Certificados en la Red”, está formada, como siempre, por un conjunto de consejos diarios que han sido publicados en los perfiles de CSIRT-cv en las redes sociales durante las últimas semanas. El objetivo de la presente campaña es informar y concienciar respecto del uso de certificados digitales en la vida cotidiana. Dejamos a continuación un breve resumen, así como os facilitamos al final de este texto un enlace al dossier completo con todos los consejos de la campaña con sus correspondientes enlaces de apoyo.

El primer gran punto abordado en la campaña está relacionado en el DNI electrónico. Básicamente, este certificado permite la autenticación y firma y por tanto pone al alcance de los ciudadanos servicios prestados por la Administración Pública prestados desde sus sedes electrónicas. También se dan consejos relacionados con la funcionalidad que nos da el dispositivo y el método de uso del DNI electrónico, y el certificado digital que contiene; también se facilitan medios para identificar todos los servicios en los que se puede emplear.

Otro punto fundamental dentro de la campaña de certificados en la red, hace referencia a certificados digitales de persona física independientes al DNI. Este tipo de certificados dan funcionalidades adicionales, como por ejemplo la posibilidad de emplearse para el cifrado de información. Es fundamental que éste y cualquier otro certificado esté emitido por cualquiera de las Autoridades de Certificación de confianza dentro del estado Español. A este respecto, se facilita información como cómo identificar una Autoridad de Certificación de confianza, cuales son las acciones a llevar a cabo cuando se tiene la sospecha de que nuestro certificado digital ha sido robado o empleado fraudulentamente por un tercero, los tipos de soporte en los que habitualmente se entregan estos certificados y algunas consideraciones fundamentales de los mismos.

El siguiente gran bloque dentro de la campaña de concienciación se centra en los usos que se pueden dar a los certificados digitales emitidos por una Autoridad de Certificación, bien sean de persona física o SSL (asociados a páginas web); muestra lo extendido que está el uso de certificados digitales en la red, la dependencia que hay de ellos para mantener la privacidad, y sobre todo, buenas prácticas en el uso de los mismos. Se abordan temáticas para el uso de certificados digitales en el correo electrónico, su instalación y uso para asegurar la integridad, confidencialidad y procedencia de un mensaje; bien sea empleando certificados emitidos por una CA, como empleando herramientas para crear y gestionar los nuestros propios.

Los certificados digitales también se emplean para identificar sitios web del mismo modo que a las personas; para ello emplean el protocolo HTTPS. Este hecho es especialmente crítico para sitios web con los que se intercambia información sensible o confidencial, así como para los que nos permitan realizar operaciones financieras o de pago. Por ello, nunca hay que olvidar comprobar que se ha establecido una conexión segura antes de introducir cualquier información personal o de acceso, así como que el certificado HTTPS es válido, vigente y que haya sido emitido por una entidad de confianza, de este modo aseguramos la confidencialidad de la información intercambiada y que el destino de la misma es legítimo.

En la campaña también se tienen en cuenta consideraciones de seguridad relacionadas con otros servicios que pueden emplear cifrado HTTPS o no; y que aunque no gestionan información financiera o personal necesariamente, que destacan por la cantidad de información del usuario que pueden llegar a gestionar. Ejemplos de estos servicios son los buscadores de internet, los servicios de almacenamiento en la nube, redes sociales, mensajería instantánea, etc.

Es fundamental también conocer las particularidades y uso de los certificados digitales para la firma, como por ejemplo en el caso de la firma de documentos digitales. En la campaña se trata la firma digital de forma equivalente a la manuscrita, así como se facilitan consejos para aprender a firmar documentos, así como para verificar la legitimidad de la firma de un documento ajeno.

Por último, y dado que el final de la campaña se publicó al comienzo de la campaña de la renta de 2014, se incluyen consejos concretos para asegurar el contacto con la Agencia Tributaria, así como se exponen mecanismos facilitados para la realización de trámites seguros en la sede digital de la Agencia Tributaria.

En breve publicaremos la guía de la campaña, que quedará referenciada en el presente resumen. Recordaros adicionalmente que si queréis estar al día de temas relevantes y consejos sobre seguridad de la información, podéis seguirnos en nuestra página de Facebook (https://www.facebook.com/Csirtcv) y/o Twitter (https://twitter.com/csirtcv).

Como siempre, desde CSIRT-cv agradecer vuestra atención y recordaros que estamos abiertos atender a cualquier sugerencia, comentario o duda que os pueda surgir.

Tags: facebook

En Navidad regala seguridad

Durante la Navidad muchos de nosotros regalaremos o nos obsequiarán tecnología: smartphones, tablets, televisores inteligentes, videojuegos, o cualquier otro tipo de aparato tecnológico. Como todos sabemos, existen muchos riesgos de seguridad asociados a las nuevas tecnologías, sobre todo aquellas que van conectadas a Internet.

Es por ello que desde CSIRT-cv hemos lanzado una campaña de concienciación, en la que os hemos aconsejado como mejorar la seguridad de todos aquellos regalos tecnológicos que posiblemente habéis recibido estas navidades. También os hemos recordado nuestra campaña navideña del pasado año, En Navidad, mejora tu seguridad” y os hemos dado unos consejos para comprar de manera segura por Internet.

Como siempre hacemos con nuestras campañas de concienciación,hemos emitido de forma diaria consejos en nuestro Facebook y Twitter, redes sociales en las que estamos presentes y en las que podéis interactuar con nosotros.Para esta campaña hemos usado el hashtag #navidadsegura. A continuación tenéis un breve resumen de algunos de los consejos que hemos ido dando.

Smartphone, tablets, videojuegos.

Si los Reyes Magos o Papa Noel te han traido un smartphone (o tablet), recuerda llevar a cabo una serie de pasos para hacerlo mas seguro, como activar el PIN de desbloqueo, memorizar el PUK y si puedes, activar la opción de bloquear el terminal cada cierto tiempo. Además te recomendamos disponer de un sistema de copias de seguridad de tu dispositivo móvil para que copie periódicamente tus datos más importantes. No deberíais manipular ni liberar vuestro smartphone en sitios donde no os ofrezcan garantias e instalar siempre software original así como no instalar aplicaciones que procedan de fuentes desconocidas, para ello puedes configurarlo para que no se puedan instalar programas que no sean fiables. Y sobre todo, aplica el sentido común a la hora de descargarte aplicaciones.

Es posible que con el ajetreo de ir de un sitio a otro, esta Navidad perdáis vuestro móvil, por eso es importante no perderlo de vista. En caso de pérdida o robo, denunciad y llamad al operador para bloquear la SIM y el dispositivo. Si además disponéis del servicio "Borrado Remoto de la Información", haced uso de él.

Si lo que queréis es regalar/vender el vuestro, conviene que borréis de manera segura el contenido del mismo: agenda de contactos,SMS, fotos, cuentas de correo, aplicaciones que dan acceso a redes sociales, tiendas online, etc. Es importante también borrar la caché y las contraseñas almacenadas en el navegador. Algunos dispositivos disponen de una función de restablecimiento del estado original del teléfono, restauración o borrado, podrías hacer uso de él. Te recomendamos nuestra guía sobre buenas prácticas en dispositivos móviles para completar todos estos pasos sobre la seguridad en tu smartphone.

Si lo vuestro son los videojuegos, recuerda algunos consejos básicos para disfrutar de los mismos de la forma mas segura.

Navegación Segura.

Seguro que esta Navidad viajas más y necesitas conectarte a Internet con tu smartphone, portatil o tablet. Recuerda activar la Wifi del terminal solo cuando vayas a usarla y no te conectes a puntos de acceso desconocidos. Debes ser consciente de que toda la información (conversaciones, contraseñas, datos bancarios,etc) podria ser interceptada por el dueño del punto de acceso al que te conectas. Si lo que os han regalado ha sido un ordenador nuevo, recordad que el sistema operativo esté actualizado, tenga instalado un antivirus y exigid siempre a vuestro proveedor del ADSL inalámbrico una conexión protegida.

Menores e Internet.

Si tenéis menores en casa, recordad que si se inician en el mundo de Internet deben estar siempre acompañados de sus padres o tutores. Podéis aprovechar la Navidad tambien para pasar mas tiempo con vuestros hijos y concienciarles de los peligros que entraña la red, como el acoso, el uso indebido de sus datos en la red o como pueden engañarles.

Estafas en la Red.

Coincidiendo con el auge de las compras navideñas, los ciberdelincuentes se dedican a invadirnos el correo con falsas ofertas de productos, con las que pretenden estafarnos dinero y/o conseguir datos nuestros. ¡No os dejéis engañar! Aquí os dejamos un enlace sobre cómo detectar correos maliciosos. Además, en estas fechas en las que se consume de forma tan masiva y estamos tan predispuestos a gastar, surgen numerosos sitios Web falsos donde se ofertan productos a muy bajo precio o nos ofrecen viajes muy económicos tras pagar un pequeño adelanto, nos regalan tarjetas de regalos en redes sociales...etc. Llevad cuidado con este tipo de Web fraudulentas si no queréis ser estafados o que os roben información personal. Algunos ciberdelicuentes también aprovechan que muchos participamos de las loterias de Navidad y el niño, e intentan hacernos jugar en páginas fraudulentas de loterías o a través del envío de emails en los que nos anuncian que estamos premiados y nos solicitan el pago de un pequeño importe (disfrazado de impuesto, cuota de envío,...) para cobrar dicho "premio". Tened en mente, que NO es posible ganar SIN JUGAR, y si jugáis , comprad vuestros boletos en sitios de confianza, no os fiéis de mails sobre supuestos premios y por supuesto no enviéis ningún dinero para cobrarlos.

Buenos propósitos de año nuevo.

Aprovechad el inicio de año para cambiar TODAS las contraseñas - la de Facebook, Twitter, Gmail, Hotmail, la de esa cuenta de Ebay que hace tiempo que no usamos, la de ese foro que tanto nos gusta...- en definitiva, las de todos aquellos servicios online que tengamos, sea correo personal, cuentas en redes sociales, foros, programas, etc. recordar usar una contraseña para cada servicio y que sea robusta, podéis ayudaros con algún gestor de contraseñas que nos ayude a organizarla. En nuestra guía sobre gestores de contraseñas te lo contamos. Revisad tambien que no tengais ninguna "pregunta secreta de seguridad" demasiado poco secreta.  Aprovechad también para revisar que toda vuestra información online sea la necesaria y 'haced limpieza' de los servicios que no uséis. 

Uso 'con cabeza' de vuestros datos y fotos.

En estas fechas WhatsApp estará que 'arde' con el intercambio de mensajes navideños, fotos de comidas y cenas navideñas y felicitaciones. WhatsApp es muy cómodo de usar pero ¿sabíais que si estáis conectados a una Wifi mientras lo usáis, otra persona que también esté conectada os prodría interceptar vuestras conversaciones? Guardáos de no enviar por WhatsApp información que sea comprometedora. Además, pensad ...¿es necesario tuitear o poner en Facebook cada lugar en el que estemos o decir explicitamente que te has ido de viaje y que tu casa ahora está vacia y disponible a ladrones? ¿es necesario que compartas TODAS tus fotos? Recuerda que todo lo que se sube a la red puede ser considerado como permanente y aunque tu ya hayas quitado esa información otra persona podría haberla copiado.

Para finalizar con este breve resumen de algunos de los consejos que os hemos estado dando durante esta campaña, os recordamos que lo mas importante es el sentido común y el conocimiento a la hora de utilizar un regalo tecnológico para hacer un buen uso del mismo.

Tags: facebook

¡Asegura la vuelta al cole!

Con este título tan significativo en las fechas en las que estamos, desde CSIRT-cv hemos realizado una nueva campaña de concienciación en la que os hemos intentado ayudar en "este nuevo curso" con la máxima seguridad en las nuevas tecnologías.

Tal y como los escolares comienzan un nuevo curso con todo listo y preparado, nosotros, adultos y menores debemos comenzar el otoño preparándonos de la forma más segura para enfrentarnos a los peligros de la Red. Para ello durante esta campaña de concienciación, os hemos lanzado consejos sobre cómo empezar el otoño con buen pie y de forma segura con las nuevas tecnologías. Como siempre nuestros consejos se han difundido en nuestro Facebook y nuestro Twitter con el hashtag #vueltaalcolesegura y a continuación os hacemos un breve resumen de los mismos:

Aprovechemos este "inicio de curso" para cambiar TODAS nuestras contraseñas -la de Facebook, la de Twitter, la de Gmail, la del MSN, la de esa cuenta de Ebay que hace tiempo que no usamos, la de ese foro que tanto nos gusta....en definitiva la de TODOS AQUELLOS SERVICIOS ONLINE que tengamos, sea correo personal, cuentas en redes sociales, en foros, en programas que usemos etc. Recuerda utilizar una contraseña para cada servicio y que sea robusta! Y ya que estamos, revisad que no tengamos “pregunta secreta de seguridad” demasiado poco secreta.  Como debemos tener 1 contraseña robusta y diferente para cada servicio quizá nos cueste recordarlas todas (esto sería lo ideal) así que podemos usar algún gestor de contraseñas que nos ayude a organizarlas.

Seguro que creíais que habíais cambiado todas las contraseñas! pero no! os habéis olvidado de la contraseña de vuestra Wifi de casa! y seguro que ya hay mucha gente que la tiene (todos los amigos de vuestros hijos que vienen a jugar a la play, ese vecino que te pidió la contraseña para usarla "solo una vez", esos amigos que vinieron aquel fin de semana...). Una vez cambiadas todas nuestras contraseñas , hoy tocan los PINES!, el del móvil, pines de las tarjetas de crédito...si, de todas! de la alarma de casa, etc. Y cualquier otro servicio en el que tengáis que introducir un pin! 

Finalizado el tema de las contraseñas, toca limpieza! intentad recordar todas cuentas de correo, usuarios en sitios web como foros, redes sociales,sitios de compras, etc en los que estáis registrados pero que en realidad nunca usais...¿para que tenerlos? daos de baja y una preocupación menos! Utiliza en la red solo lo expresamente necesario. Revisar  también las cuentas de correo que tenéis asociadas a las opciones de “enviarme mi nueva contraseña por correo electrónico”, especialmente para el correo electrónico, valga la redundancia.

Continuamos nuestra puesta a punto para este otoño revisando que sabe Google de nosotros, qué servicios tenemos activos y sus configuraciones de privacidad.El dashboard que ofrece Google para controlar todo lo referente a la privacidad y permisos de acceso ha sido ampliado con bastantes servicios, por lo que interesa investigarlo. Especial atención al almacenar el histórico de búsquedas online, la capacidad de sincronización de Chrome entre distintos dispositivos, los permisos de acceso a nuestros ficheros en Google Drive y los dispositivos que comparten nuestra ubicación en Google Latitude. Siguiendo con Google, mención aparte recibe el resumen de actividad de Google donde podemos obtener un resumen ejecutivo de la actividad de nuestra cuenta con datos como, desde donde hemos conectado, información sobre nuestras contraseñas, o un resumen de los contactos más contactados. También podéis aprovechar a buscaos en Google por si hay algo publicado que desconozcáis.

Le toca el turno a Facebook, revisad la configuración de privacidad que tras los últimos cambios puede no ser tan hermética como la dejamos en su día . Si tenemos dudas de si lo estamos haciendo bien conviene utilizar la opción de “ver mi perfil como otro usuario” para tener la certeza de que el usuario X ve exactamente lo que queramos que vea.

Repasar a qué aplicaciones hemos concedido permisos para acceder a nuestros datos en las diferentes redes sociales. Podéis mirarlo en Google, en Facebook...etc Para agilizar el proceso aquí tenéis una web útil a la vez que poco intrusiva. Resulta interesante la opción de recibir un aviso mensual de recordatorio.  

Revisad que información (documentos, fotos,vídeos,etc) importante no queréis perder y comprobad que tenéis una copia de seguridad por si acaso...y ya que estamos revisando documentación podéis aprovechar para comprobar que tenéis todos vuestros recibos en orden, DNI, pasaporte o carnet de conducir en vigor y revisiones médicas al día! 

Haced limpieza de los dispositivos que tienen permitido sincronizar nuestra cuenta de Dropbox. Podéis revisar nuestra guía sobre el uso seguro de Dropbox si tenéis alguna duda al respecto.

Acordáos de tener el ordenador que usen los niños en casa en un lugar donde podáis supervisarlo aunque esto no tiene ningún sentido si los niños disponen de un smartphone con tarifa de datos o que se puedan conectar a cualquier WiFi, pensad en si es necesario que los niños tengan que tener un teléfono con Internet y en cualquier caso utilizad algún tipo de software de control parental tanto en el PC de casa como en el móvil. 

Revisad vuestro equipo de casa y vuestro dispositivo móvil y comprobad que el antivirus está instalado a la última versión con todas las actualizaciones. Ayúdate con nuestra sección de utilidades.

Vuelta al cole... ¿con tableta y móvil? Ayuda a securizar el móvil y la tablet de tu hijo, puedes consultar nuestra guía sobre securización de dispositivos móviles.  Ya hemos securizado el smartphone y la tablet de nuestro hijo, ahora os dejamos con 7 criterios educativos para que los aprovechéis de la mejor manera posible.

Feliz inicio de curso!!! 

Tags: facebook

WhatsApp... todo lo que realmente hay que saber

CSIRT-cv finalizó el pasado jueves 28 de marzo una nueva campaña de concienciación para el ciudadano por la que, durante un mes, ha estado emitiendo en las redes sociales en las que está presente (Facebook y Twitter) consejos sobre un uso seguro de la tan conocida aplicación WhatsApp.

La red social WhatsApp es la preferida por la mayoría de usuarios, de todas las plataformas, por diversas razones.

  • Es fácil de usar.
  • Está disponible en múltiples plataformas.
  • Ofrece una gran variedad de posibilidades.
  • Siempre podemos estar en contacto.
  • No conlleva un coste por mensaje como su predecesor el SMS.

Sin embargo, existen cuestiones mejorables en cuanto a seguridad y pequeños trucos que permiten un funcionamiento más eficaz.

Desde CSIRT-cv queríamos darle la importancia que se merece a este tema y por ello comenzamos hace un mes una nueva campaña de concienciación para aconsejar acerca de la cara menos bonita de esta aplicación y como minimizar riesgos.

Durante todo este mes hemos estado aconsejando a los ciudadanos sobre un uso seguro y eficaz de WhatsApp, con consejos como los siguientes...

Os contamos qué hacer en caso de perder o que nos roben el móvil y, éste no se encuentre protegido. En tal caso, la persona que tenga acceso a nuestro dispositivo podrá ver y formar parte de nuestras conversaciones en WhatsApp.
Inmediatamente debemos invalidar la tarjeta SIM llamando a nuestro operador. De esta forma, se recibirá otra tarjeta con el mismo número y nos registraremos de nuevo en la aplicación.

Uno de los consejos que más hemos repetido ha sido el de no compartir información sensible en nuestras conversaciones puesto que, existen técnicas para recuperar incluso los mensajes borrados.

A raíz de esto, también os recomendamos no conectarse a una red wifi pública. A pesar de las actualizaciones de seguridad que han ido apareciendo, el nivel de seguridad de esta aplicación sigue siendo bajo.


También, y dada la gran adicción que puede llegar a provocar esta aplicación, intentamos explicar el concepto del "doble check" con un divertido video.

En el consejo número 12 os aconsejamos un interesante video sobre todo esto y más.

Y, además de los consejos sobre una mejora en el funcionamiento y seguridad de WhatsApp, también hemos querido compartir con los ciudadanos una serie de curiosidades sobre esta famosa aplicación. Todo ello, consejos y curiosidades pueden ser consultados en nuestro timeline en www.facebook.com/csirtcv y @csirtcv en Twitter.


ACTUALIZACIÓN: A partir de ahora también tenéis disponible, para descargar, la guía sobre la campaña de concienciación de WhatsApp con algún consejo e información extras. Accede aquí para descargar esta guía en formato PDF.

Tags: facebook

Protégete del malware

El malware ha sido un concepto presente en la informática desde hace décadas. Atrás han quedado esos clásicos virus molestos que ralentizaban tu ordenador o podía borrarte algún fichero. Hoy en día el malware es un negocio muy rentable para las mafias, que lo usan para robar información personal, extorsión y chantaje con ataques de denegación de servicio, o fraudes con tarjetas de crédito, por citar unos ejemplos.

Todas estas amenazas se basan en la infección de millones de ordenadores controlados remótamente por estos ciberdelincuentes. Cada uno de estos equipos infectados podrían ser partícipes de envíos masivos de correos spam, ataques contra servidores, o ser víctimas de robo de credenciales, como las del correo electrónico, banca online o paypal.

Por eso, desde CSIRT-cv queremos mitigar los riesgos que supone infectarte con estos programas maliciosos, informando las nuevas técnicas de propagación y aconsejando con sencillas prácticas.

Si tenemos intención de instalar un nuevo programa en nuestro pc, hay que prestar especial atención en la procedencia del fichero. Los foros, o redes p2p son fuente de la mayoría de aplicaciones infestadas con malware.

Un reciente estudio demostró que el 79% de los cracks y keygens utilizados para piratear juegos son sospechosos de contener malware. ¿Te la vas a jugar?

Si las instrucciones de instalación de un programa te indica que apagues el antivirus para aplicar un parche... ¡Desconfía! con toda probabilidad ese parche llevará malware.

Recuerda, el antivirus más efectivo es tu sentido común. Si vas a instalar una nueva aplicación, y tienes dudas, es que no hay duda: corres un serio riesgo de infectarte.

No abras adjuntos ni pinches en enlaces de correos que no esperes, aunque sean de personas de confianza. Pueden haber sido víctima de malware que intenta propagarse reenviándose a todos los contactos de su agenda de correo. Si tienes dudas, pregúntale a esa persona si realmente te lo ha enviado.

Los virus no se propagan únicamente por ficheros ejecutables. También en los archivos pdf, doc, xls, ppt, o páginas web. Todos ellos pueden contener contenido malicioso que aprovechen vulnerabilidades en un programa desactualizado.

Continuando el consejo anterior, manten siempre actualizado tus programas instalados. Si te aparece un aviso de nueva versión, no lo dejes para otro día. ¡Actualiza de inmediato!  Las nuevas versiones arreglan vulnerabilidades conocidas.

Otra vía de infección es a través de memorias USB. El malware utiliza la ejecución automática (autorun) para propagarse. En Windows 7 esta funcionalidad está desactivada pero en Windows XP y Vista aún está presente. Podeis seguir estos pasos para desactivarlo

Si usas portátil y sueles conectarte en redes inalámbricas públicas, asegúrate de no tener compartida ninguna carpeta. Además de exponer tus ficheros a desconocidos, es un lugar muy habitual por donde se suele colar malware.

Tags: facebook

Ingeniería social, el arte del engaño

El concepto ingeniería social se refiere a una serie de técnicas que se utiliza en Seguridad informática , bien sea por profesionales del sector o bien sea por ciberdelincuentes, con la finalidad de obtener, a través del engaño a usuarios legítimos, información privada sobre su entorno, y así poder realizar ataques más sofisticados sobre el mismo, como acceso a los sistemas, fraude o robo de información entre otros.

Desde CSIRT-cv hemos querido explicar de manera más detallada en qué consisten algunas de las técnicas de ingeniería social que más se utilizan por los ciberdelincuentes para que el ciudadano sepa identificar este tipo de engaño y no caiga en la trampa. Para ello hemos desarrollado durante las últimas semanas una campaña de concienciación que, como las anteriores, se ha llevado a cabo en las redes sociales en las que CSIRT-cv está presente, Facebook (https://www.facebook.com/csirtcv) y Twitter (@csirtcv) a través de consejos diarios.

Esta campaña la hemos titulado "Ingeniería Social, el arte del engaño" y a continuación os dejamos un resumen de la misma:

Una de las técnicas de ingeniería social que mas se usa es la de un supuesto empleado de un banco que bien sea telefónicamenteo a través de un correo fraudulento, os pide datos sobre vuestra cuenta bancaria (sobre tarjetas de crédito, contraseñas,etc).

Phishing

A través del correo electrónico o redes sociales también nos suelen llegar muchos ataques de ingeniería social, por ejemplo aquellos mensajes que nos llegan en los que suele haber un fichero adjunto o te indican que pinches en un enlace para"ver unas fotos íntimas de algún famoso", o "fotos supuestamente tuyas". Lo que pretenden es que te infectes con algún tipo de malware para robarte información. Hay que tener mucho cuidado sobre donde se pincha y que adjuntos abrir, sobre todo si no sabemos la procedencia del correo. tc),os pide que rellenéis un formulario, contestéis al correo u os redirige a una página idéntica a la del banco, pero falsa para que metáis vuestros datos. Hay que recordar que el banco nunca se pondrá en contacto contigo para pedirte este tipo de datos vía correo o teléfono. Ante la duda no deis ningún dato nunca, y preguntad en el banco.

Al hilo del consejo anterior y con el objetivo de realizar una navegación por internet lomás segura posible, en esta sección denuestro portal se muestran una serie deherramientas que ayudan a proteger yavisar al usuario ante posibles riesgos.

A través de la simple "observación" muchos estafadores pueden están recopilando información sobre nosotros (nombre,número DNI,domicilio...) que luego pueden intentar utilizarla para engañarnos. Cuando alguien intente a través de cualquier medio obtener información sensible vuestra (número de tarjeta de crédito, pin, contraseñas...etc) desconfiad aunque parezca que os conoce! Aquí os dejamos una interesante lectura sobre ingeniería social y lo fácil que puede ser conseguir datos.

basureo

Otra técnica de ingeniería social que utilizan mucho los estafadores que tienen acceso físico a nuestro entorno es el 'basureo', es decir, rebuscar entre nuestra papelera cualquier tipo de documento que pueda incluir datos privados nuestros que luego puedan utilizar en nuestra contra. Debemos custodiar de manera adecuada cualquier documento que incluya información sensible nuestra y destruirlo antes de tirarlo a la papelera para que nadie pueda obtener nuestros datos (recibos del banco, nóminas, facturas, etc)

Es muy importante en el trabajo tener una política de escritorios limpia y no dejar "a la vista" ningún documento que incluya información sensible que pueda ser utilizada en nuestra contra así como no olvidar nunca recoger de la impresora documentos que hayamos impreso y contengan información confidencial. Una persona malintencionada podría robarnos esa información y usarla para fines maliciosos.

Hoy en día sin darnos cuenta hacemos pública demasiada información nuestra sobre todo en redes sociales cuando activamos la geolocalización por ejemplo, en nuestros comentarios o nuestras fotos, si no tenemos bien configurada la cuenta cualquiera (no solo tus amigos) vería en cada momento donde nos encontramos y podrían estar espiando nuestros movimientos.

Al hilo del mensaje anterior aquí una interesante lectura sobre el peligro que supone compartir sin pensar demasiado fotos en las redes sociales y también os dejamos nuestra campaña de concienciación sobre la importancia de los metadatos.

Otra técnica de ingeniería social que es muy utilizada en los correos fraudulentos es presionarnos"metiéndonos mucha prisa" acerca de facilitar una información por ejemplo o cambiar una contraseña, normalmente alguien que se hace pasar por un administrador de sistemas de algún proveedor de correo. Correos del tipo "tienes que cambiar ya tu contraseña (pinchando en un enlace que nos lleva a un sitio falso) sino perderás tu cuenta de correo", o "el banco solicita que des tu número de tarjeta y pin sino será cancelada hoy mismo tu cuenta" hacen que nos pongamos nerviosos y reaccionemos sin pensar. Aquí os dejamos un artículo con algunas de las técnicas de ingeniería social más usadas.

FacebookTimos muy utilizados dentro de la ingeniería social son los del tipo "Adivina quién me ha quitado del MSN?", o "Adivina quién ha visitado tu perfil en Facebook". Pensemos con la cabeza fría y démonos cuenta de que ya de entrada esto suena cuando menos extraño...Este tipo de timos suelen llevarnos a algún enlace malicioso que nos suele robar las credenciales o infectarnos el equipo.

Haz un uso adecuado de los datos que proporcionas en Internet: fotos que subes, tratamiento de los metadatos de los archivos/fotos que intercambias, datos financieros, direcciones, etc. Cualquiera podría estar espiándonos y usar toda esa información para estafarnos o atentar contra nuestra intimidad. Recordemos nuestra campaña de concienciación sobre un uso seguro de los datos en la red.

Otro tipo de técnica de ingeniería social muy utilizada a través del correo electrónico consiste en el envío de correos que te ofrecen trabajo en el que obtendrás muchos beneficios, desde casa y trabajando solo unas horas!!, llamativo ¿no? normalmente detrás de eso suele haber una mafia de ciberdelincuentes que bien nos estafan o bien nos incitan a cometer un delito normalmente de blanqueo de dinero. Aquí os dejamos una nota de como detectar correos maliciosos.

¿Sabéis lo que es el Shoulder Surfing? Pues nada mas ni menos que una técnica de ingeniería social que consiste en mirar por encima del hombre para verte el pin en un cajero o pagando en un comercio, o mientras escribes contraseñas en tu móvil o teclado. Así que, tened cuidado de no tener a desconocidos husmeando a vuestro alrededor cuando utilicéis contraseñas y al teclear el pin en el cajero del banco tapad lo que podáis con la otra mano para evitar que os lo vean y luego os la roben.

Si no quieres que tu identidad sea suplantada o que alguien pueda tener acceso sitios a los que has accedido desde un ordenadorCorreo que no sea el tuyo, es muy importante que cuando acabes salgas de la aplicación cerrándola correctamente, y que te asegures de que no has aceptado que el navegador guarde tus contraseñas.

A través de algunas de las ya comentadas técnicas de ingeniería social es posible que averigüen nuestra fecha de cumpleaños, nombre de nuestra mascota, ciudad donde nacimos o nuestro equipo deportivo favorito así que por favor! no uséis estos datos como contraseñas!!! se recomienda utilizar contraseñas robustas compuestas por caracteres alfanuméricos y símbolos de puntuación, que sea larga y no contenta palabras que puedan encontrarse en un diccionario. Y por supuesto, cambiarla de vez en cuando y nada de dejarla apuntada en un sitio donde os la puedan ver. Cuidado también con la "pregunta secreta" si la usamos para recuperar nuestra contraseña. Elegid una pregunta cuya respuesta sólo SOLO sepáis vosotros y nadie pueda averiguarla.

Tags: facebook

Mamá, papá... otros niños me acosan en Internet

niña jugandoLas denuncias por ciberbullying (uso de los medios telemáticos -como Internet o la telefonía móvil- por parte de algunos menores para acosar o humillar a otros menores) crecen de manera espectacular cada año.

Son cada vez más los menores que se sienten intimidados de una forma u otra a través de la Red porque son objetivo de las burlas, insultos o amenazas de otros menores. Subir a la red una foto comprometida (real o modificada) de un menor que provoque su humillación, suplantar su identidad y que la usen para ofender a otras personas, recibir amenazas continuas en su correo electrónico o teléfono móvil o hacer circular rumores falsos sobre el menor que le puedan perjudicar son algunos casos comunes de lo que a día de hoy se conoce como ciberbullying.

Desde CSIRT-cv queremos darle la importancia que se merece a este tema y dedicamos una nueva campaña de concienciación para aconsejar a padres y a menores sobre como identificar si somos víctimas de ciberbullying y qué pasos seguir para denunciarlo.

Como siempre, nuestras campañas se desarrollan en las redes sociales en las que estamos presentes (Facebook y Twitter) y diariamente damos consejos e información sobre este asunto que nos concierne. Agradecemos e invitamos a todos nuestros seguidores su participación, sea aportando información o preguntando en nuestra campaña de concienciación. El título de esta nueva campaña de concienciación es "Mamá, papá... otros niños me acosan en Internet".

 mirada de un niñoA continuación un resumen de los consejos que hemos dado: 

El ciberbullying es un término que se  utiliza para  hacer referencia al acoso entre menores cuando éste se hace a través de medios telemáticos como Internet o el móvil. El ciberbullying no debe ser tomado como bromas entre adolescentes sino que se le tiene que dar la importancia que merece. Cada año son muchos los jóvenes que no soportan la presión de la humillación provocada por el ciberbullying y acaban suicidándose .

¿Qué hago si me llega un mensaje por una red social o correo por el que tratan de humillarme o amenazarme? No contestar para no animarles a que sigan con el acoso, guardar el mensaje como prueba, bloquear a quien te ha enviado el mensaje y contárselo a alguien de confianza (padres, profesores, alguna organización especializada en el tema). 

Si crees que alguien ha entrado en alguna de tus cuentas de correo o redes sociales lo primero que tienes que hacer es cambiar la contraseña o solicitar una nueva contraseña desde la pregunta "¿Has olvidado tu contraseña?" que suele haber en casi todos los sitios.  

Recomendamos usar nicks personales en las redes sociales en lugar de tu nombre real así solo tus amigos sabrá quién eres. También recomendamos no aceptar ni agregar como amigos a desconocidos puesto que no sabemos quién es realmente. 

niña sentada triste

Es importante que los padres se involucren en el uso que los menores hacen de Internet, que instalen los ordenadores en zonas comunes y establecer un horario de uso del ordenador. Hay que concienciar al menor sobre un uso responsable de la cámara web y del uso de imágenes.Si el acoso procede del entorno escolar se deberá informar a la escuela, director y orientador del centro además de contactar con los padres del agresor. 

Si hay una foto publicada en un sitio en la que se mofan de ti denúnciala en el sitio y pide que la retiren. Ante cualquier incidente de seguridad que observes denúncialo a la red social o sitio en el que se produzca. 

Haz un uso correcto de tus datos en la Red, no proporciones información personal a desconocidos aunque aparentemente parezcan "buenas personas". Aquí te dejamos algunos consejos sobre como hacer un buen uso de tus datos. 

En el sitio web http://www.internetsinacoso.com/ podrás obtener más información acerca del ciberbullying y denunciar si tu hijo o tu (si eres menor) lo estás sufriendo. 

Si se desea denunciar cualquier tipo de acoso en la red hay que guardar todas las evidencias (mensajes, imágenes, correos electrónicos, capturas de pantalla...etc) y acudir a las fuerzas y cuerpos de seguridad del estado como la BIT o la guardia civil 

Recuerda que en CSIRT-cv podemos aconsejarte sobre ciberbullying de manera totalmente confidencial. Si quieres hacernos llegar alguna información o consulta puedes dirigirte a nuestro formulario de contacto .

Tags: facebook

Seguridad en aplicaciones móviles

Los teléfonos móviles inteligentes o comúnmente llamados smartphones son cada día más completos ofreciendo una gran cantidad de características y funcionalidades, y con una tecnología que cada vez más se asemeja a un ordenador personal. Podemos pues, instalar en el dispositivo nuevos programas ampliando sus funcionalidades originales. 

Sin embargo, este crecimiento también implica nuevos riesgos. Amenazas como malware en aplicaciones de terceros, o vulnerabilidades en los sistemas operativos pueden originar robo de contraseñas, o facturas telefónicas enormes por envíos ocultos de SMS Premium.

Con todo ello, CSIRT-cv decidió poner en marcha una nueva campaña de concienciación –“Seguridad en aplicaciones móviles” - centrada, sobre todo, en aconsejar, a través de consejitos diarios, como evitar este tipo de riesgos. A continuación se resumen dichos consejos: 

Cuando se instala una aplicación en un sistema Android, se debe comprobar qué permisos necesita antes de concedérselos. Se debe utilizar el sentido común y desconfiar ante cualquier cosa que resulte extraña. Por ejemplo, un juego no debería tener permisos para mandar SMS o permisos para modificar la configuración del sistema.

Conoce los permisos de seguridad para Android.

Se debe actualizar siempre que se pueda y mantener el firmware del móvil a la última versión. Las actualizaciones, además de añadir mejoras, arreglan agujeros de seguridad. Piense que los“jailbreaks” aprovechan esos fallos por lo que el malware también podría hacerlo.

Hay que tener mucho cuidado con la procedencia del programa e instalar solamente aplicaciones de fuentes conocidas como Android Market App Store. Sitios como Cydia o Apkator no controlan la veracidad del software y puede contener programas.Y por último recordar que…¡Los demás también cuentan! Cuando se desea descargar una aplicación, se deben tener en cuenta los comentarios de la gente, el número de descargas y la puntuación para decidir si la aplicación es fiable.

Para finalizar comentar que viene bien recordar los consejos que CSIRT-cv dio en la pasadacampaña de concienciación “Seguridad en los dispositivos móviles” en la que se mostraban una serie de buenas prácticas sobre como usar los dispositivos móviles y que tienen a su disposición unmicrocurso de formación online y gratuito en nuestra plataforma de formación (donde pueden encontrar toda nuestra oferta formativa) que viene al hilo con este tema “Seguridad en móviles, smartphones y PDAs”.

Tags: facebook

Páginas

Subscribe to RSS - facebook