El problema de la intrusión en sitios, mails y redes internas es común y no hay métodos infalibles.
El medio de ingreso de estas intrusiones se listan a continuación:
· Servidores deshonestos. Los mails corporativos, del tipo: sunombre@nombredesusitio.com.ar son vulnerables y es posible acceder a ellos por empleados de los servidores. Es por ello que se recomienda no usarlos para información delicada. Lo ideal es tener un servicio de encriptación de mensajes, pero la práctica ha demostrado que este método es inviable, porque no se puede convertir a un empresario en un alumno permanente de métodos de seguridad. Más adelante se sugerirá un método sencillo y práctico.
· Código de inyección en sitios vulnerables. Es un código que se coloca en los campos que permiten colocar texto, buscadores de texto, contactos, que permite introducir archivos en el servidor, a través de los cuales se accede a los servidores.
· Programas que recorren las redes buscando sitios vulnerables. Penetran claves, son sistemáticos, comienzan sus claves con letras (24 caracteres), luego prueban permutaciones, luego las mismas búsquedas combinándolas con números. Este método tarda en buenas máquinas aproximadamente 4 horas, por la que los programas circulan mecánicamente y al azar sin objetivo puntual, sino recolección de login y claves al azar.
· Robots que buscan puntualmente en un sitio, introducido especialmente para vulnerar puntualmente un sitio, idem al anterior, pero para un solo sitio.
· Pishing, páginas preparadas parecidas a las que suele entrar, construidas como clones de las verdaderas donde le ingresa login y clave si advertir que no es la verdadera.
· Archivos de keyloger, llegan pegados a fotos, o entran por fotos que miró en internet. Cada vez que mira un sitio, el sitio se instala en su máquina transitoriamente, si una foto llega asociada a un keyloger, el programa se instala y lo que hace es detectar las teclas que se presionan a través del teclado y envía la información via mail a su dueño. Con este sistema se suele instalar por los expertos en seguridad interna para conocer las actividades del personal. También se usa por hackers para colectar datos, no sólo de claves, sino de accesos bancarios y todo tipo de información con que el usuario accede desde el teclado.
· Cuidado con el uso de celulares, tablets, iphones para el envío de datos sensibles, toda información es monitoreada por empresas, para usarla como medio de publicidad, en el mejor de los casos, para venderla a empresas que analizan los contenidos y nos venden para publicidad.
· Tenga en cuenta que las cuentas del tipo Yahoo, Gmail, Hotmail, son gratis, al registrarse incluye en los términos y condiciones de uso del servicio, la autorización implícita de aceptación del uso del contenido por parte del servicio. Es por ello que si usted está comentando que va a viajar, por ejemplo, tanto en los mails, como en las redes sociales comienzan a parecer publicidad justo para lo que usted está comentando en el mail.
· Si recibe un mail con un vínculo que lo redirige a una página que le solicita login y password.
o Los diferentes anzuelos que se usan para impulsarlo a hacer:
* Le enviaron una foto (usualmente de alguien de la farándula bajo la modalidad de triple x, o algo parecido)
* Lotería que ganó.
* Aviso del banco para que reconfirme sus datos.
* Avisos de empresas de tarjetas de crédito
* Premio de autos u ofertas diversas.
* Login y password caducos de sus servidores de mails Hotmail, gmail o yahoo.
· Mails que le proponen recibir una herencia en su cuenta a cambio de un porcentaje millonario, con lo que le solicitan los datos de cuentas, y otros.
· En los chats de medios sociales, le hacen preguntas aparentemente familiares. Esto se llama inteligencia virtual, las preguntas conducen a que usted responda aquellas con las cuales tiene protegido su mail. Nombre de su padre, madre, mascota, maestra primaria, etc.
· Preguntas sobre su grupo familiar. Está demostrado que la mayoría de los usuarios usan nombres de hijos o mascotas o héroes como password.
· Programas que sistemáticamente entran a su sitio y buscan metódicamente comparando con un diccionario de datos interno, claves conocidas o más empleadas, por ello, más abajo se indican reglas mnemónicas para elegir claves.
· Notas con esos datos que se dejan en papeles de escritorios y empleados que los copian “por si acaso” en el futuro.
· Asuntos de orden económico en empresas con problemas.
· Cónyuges enojados.
· Amigos desleales.
· Empleados desconformes.
· Clientes desconformes.
METODOS PARA SELECCIONA CLAVES
(el método es más complicado de escribir que llevarlo a cabo, y es de los más seguros, además que permite tener varias claves y no olvidarlas nunca, así como tampoco el lugar en donde se usa.)
· Los programas buscan primero por caracteres. Use una clave que comience con número.
· Las claves detectan mayúsculas y minúsculas, combínelas
El problema mayor es recordar la clave, cuando se complica por seguridad. Para ello, un tip importante: Los números primos complican a los rastreadores de clave, es por ello que la encriptación de claves más seguras se logran con esos números y es la que se usa en los bancos.
· Use secuencia de número primos, conózcalos de memoria: 1, 3, 5, 7, 9, 11, 13, 17, 23
· Piense en una palabra que le recuerde a alguien de su infancia, algo o alguien que nadie conozca, por ejemplo: Marca del primer auto, apellido de su mejor amigo en la primaria, segundo nombre de progenitor, titulo de película preferida. Algo de su adolescencia, porque es poco probable que hable o haya hablado con alguien de ello. Objeto preferido, ejemplo: auto, moto, libro
· Supongamos que elige una palabra simple: libro
· Traduzca la palabra a un idioma extraño, elija un idioma diferente, por ejemplo catalán: llibre, puede usar la misma palabra, o mayor seguridad, el nombre de las letras: eleeleibeeree.
o Ahora sabe dos cosas de su clave, sin necesidad de recordarla, conoce la palabra, y si no recuerda cómo se escribe, sabe que la puso en catalán, que puede buscarla en la misma Internet.
· Elija un numero que nadie conozca o en su defecto, los primos.
o Número del teléfono de su casa cuando vivía con sus padres
o Número de la chapa de su primer auto
o Número de la dirección de la casa infantil
o 2x7 (segundo primo y el quinto), ejemplo 313
o 2x4x1 el segundo, el cuarto y el primero: 351
· Parece complicado pero es más probable recordar una regla constructiva que un número.
· Ahora tome como regla general usar 1 letra en mayúscula: por ejemplo colocará en mayúscula la primera vocal que aparece. En el ejemplo, la i. (o la primera consonante, siempre la misma regla, cualquiera sea la palabra y números, de este modo no olvidará cual es la que va en mayúscula)
· Ahora intercalamos las letra y número, comenzando con números. Los programas que prueban claves comienzan con letras, porque la mayor cantidad de gente por un proceso de memoria comienza con letras, si logramos establecer una regla mnemónica que rompa con los patrones usuales de elección de claves tendremos menos probabilidades de hackeo de nuestras claves.
· La idea es armar claves con construcciones mnemónicas
· La clave quedaría asi, vamos a elegir 2x4x6 (los primeros 3 pares), el número es: 3711
· La palabra libro en catalán, se intercala con i mayúscula, comenzando siempre con número: 3I7I11Ibre
· Ahora, todos tenemos varios mails y sitios y registros. Para cada uno se parte al medio el nombre que los identifica, si es impar, el impar, como segundo, lo intercala luego de la mayúscula y al final:
Para una cuenta Hotmail: 3l7l11Ihotbremail
Para una cuenta gmail: 3l7l11Igmbreail
Para yahoo: 3l7l11Iyabrehoo
De este modo, con una pocas reglas, tiene una clave con alta probabilidad de no poder ser encontrada ni siquiera por el que hace inteligencia virtual, podrá mencionar por error, nombres, números, pero la regla mnemónica, sólo la conoce usted, sin ella, no se puede reconstruir la clave, y a usted le resultará fácil recordarla, con sólo recordar la regla constructiva.
· Debido a la poca perspicacia en la construcción de claves, los servicios de redes masivos, cuentan además con procesos de recuperación.
· El que más lo identifica en su celular. Tome la precaución de respaldar su acceso con ese celular.
o Si le roban la cuenta, y realiza un reclamo, aunque le hayan cambiados esos datos, le preguntarán si recuerda cual fue su primera clave o su registro de dato primero, podrá dar el número del celular primigenio registrado, le enviarán una clave y recuperará la cuenta.
NOTA: El caso de penetración por código de inyección, comentado más arriba, es bastante común. Esto se soluciona con programación. El programador debe conocer la forma en que evita ese caso.
Hay otros aspectos sobre penetración en redes, las que se configuran en los servidores, pero el proceso de penetración de servidores, es descuido con las credenciales de acceso.
RESPECTO A SEGURIDAD INTERNA
Las redes de las empresas, tienen accesos de red, del mismo modo: login y password.
Si esa password es construida como las que indicamos estamos en el mismo nivel de seguridad.
Las redes además tienen ports de accesos, los que son controlador por programas de redes, que se instalan como servicios.
Es usual tener port abiertos de acceso a la red, estas vulnerabilidades son detectadas por los servicios de Sistemas operativos y antrivirus, por lo que la mejor política es mantenerlos actualizados.
El mejor cuidado es comprender que todas las grandes empresas que ofrecen servicio de seguridad cara y compleja, han sido penetradas. No existe seguridad total, y no es posible, por más estructura masiva que haya, controlar todos los aspectos de accesos.
La mejor política es mantener claves indetectables como las sugeridas, copias de archivos importantes.
SUGERENCIA PARA INFORMACIÓN SENSIBLE
· En caso de tener que realizar envíos de información sensible: usar un servicio de encriptación, suele complotar contra la practicidad. La mejor política es enviar por un mail una parte de la información y en otro mail, de otra compañía el resto de la información.
· Para el envío de documentos: guarde el documento como pdf, que le preguntará si desea encriptarlo con clave, indique que sí. Envie con un mail diferente la clave de acceso a este documento o SMS telefónico.
· Si no desea enviar el documento por mail y mantenerlo en su servidor, indique el caso, se puede instalar un pequeño programa que le permita subir el documento al servidor, y enviar la dirección por mail para que sea accedido, nuevamente la clave para verlo debe enviarse por mail aparte (este método lo usan la mayoría de los bancos)
· Si desea enviar documento del tipo de código dinámico (ASP, PHP, OCX), debe zipear o comprimir el archivo, ningún servidor dejaría pasar este tipo de archivos ya que dañan los sistemas y son del tipo virus, troyanos. Al zipear la información se le pregunta si desea encriptarlo con clave, use la misma regla mnemónica para construir estas claves, envíe la clave por mail aparte, o SMS telefónico.
· Si usa claves de encriptación para el envío de archivo, no use los mismos que usa en sus mails y demás sistemas personales.
Una vez que se acostumbra a los procesos que lo protegen, el mecanismo es sencillo y automático, con unos pocos cuidados, se ahorra problemas mayúsculos. Sobre todo gastos en protecciones incontrolables cuyo objeto es invisible y tan sospechoso como el proceso de deslealtad comercial en que suelen incurrir algunos servidores.