SEGURIDAD EN INTERNET VERSIÓN 1.0 I. OBJETIVOS: • Tomar los recaudos necesarios, mediante el uso de programas de protección, para asegurar que cada Organismo tenga un acceso seguro a Internet. • Dar un conocimiento general sobre las principales amenazas y mecanismos de seguridad asociados al acceso y transmisión de información en los sistemas informáticos. II. ALCANCE: Todos los organismos de la Administración Pública Provincial que cuenten con equipamiento informático con conexión a Internet. III. CONCEPTOS PREVIOS 1. SEGURIDAD EN INTERNET: La seguridad en Internet puede definirse como el conjunto de medidas que los internautas deben tomar para navegar con ciertas garantías por la Red, mantener a salvo su privacidad y la integridad de sus equipos de computación. La Seguridad en Internet está estrechamente ligada, entre otros aspectos, a la ausencia de software malicioso en las computadoras. Por ello se debe contar con un antivirus residente, programas antispyware y un cortafuegos. También son necesarios la prudencia, la precaución y el sentido común por parte de los internautas cuando navegan por la Red, realizan compras con tarjeta de crédito, acceden a sitios de entidades bancarias o descargan software además de mantener los Sistemas Operativos actualizados (actualizaciones de seguridad y Service Packs). 2. TROYANO Programa que una vez alojado en la PC, permite el acceso a usuarios externos a través de una red local o Internet, con el fin de recabar información o controlar remotamente la máquina anfitriona. 3. SPYWARE Es un software que se instala en una computadora para recopilar información sobre las actividades realizadas en ella. 4. MALWARE Del inglés malicious software, es un software que tiene por objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento del dueño, con finalidades diversas que puede encontrarse desde un troyano a un spyware. 5. INGENIERÍA SOCIAL 1 Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. (Wikipedia) 6. PISHING Es una modalidad de fraude con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Es decir todos los datos posibles para luego ser usados en forma fraudulenta. Se concreta mediante el envío de e-mails falsos, a los usuarios desprevenidos, escritos como si fueran de una organización auténtica, por ejemplo un Banco. 7. PHARMING Es la manipulación del mecanismo de resolución de nombres de dominio en Internet, llevada a cabo mediante la introducción de código malicioso en los servidores conectados a la red. Cuando un usuario ingresa una dirección en su navegador, ésta debe ser convertida a una dirección de IP numérica. Este proceso, que se denomina resolución de nombres, es llevado a cabo por servidores DNS (Domain Name Servers). En ellos se almacenan tablas con las direcciones de IP de cada nombre de dominio. El pharming consiste en adulterar este sistema, de manera que cuando el usuario cree que está accediendo a su entidad financiera en Internet, en realidad esta ingresado a una página Web falsa. 8. HOAXES Son mensajes de correo electrónico con contenido falso o engañoso. Normalmente es distribuido en cadena por sus sucesivos receptores debido a su contenido impactante que parece provenir de una fuente seria y fiable o porque el mismo mensaje pide ser reenviado. Los que envían estos e-mails tienen por objetivo captar las direcciones de correo (para mandar virus, spam, mensajes con pishing o más hoaxes a gran escala). Engañar al destinatario para que revele su contraseña o acepte un archivo malware y por último confundir a la opinión publica. 9. SPAM Son mensajes de correo electrónico (e-mail) no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor. Otras tecnologías de Internet que han sido objeto de correo basura incluyen grupos de noticias, usenet, motores de búsqueda, wikis, foros y blogs. Puede también estar presente en los teléfonos móviles (a través de los mensajes de texto) y los sistemas de mensajería 2 instantánea. 10. HACKER Es un neologismo usado para referirse a un experto en varias o alguna rama técnica relacionada con las TIC's: programación, redes de computadoras, sistemas operativos, hardware, etc. Por lo general son personas que creen que toda información y conocimiento debe ser de libre acceso, por lo que está dispuesto en irrumpir en sistemas protegidos para promover sus puntos de vista. Esa irrupción en distintos sistemas, por lo general, es sin permiso alguno; generalmente par demostrar la baja seguridad de aquellos o simplemente para demostrar que es capaz de hacerlo. Intruso informático que es capaz de sortear los sistemas de seguridad de un ordenador para acceder a la información que contiene. Si se hace con fines negativos, pasa a llamarse Cracker. Entonces, hay que tener en cuenta que un hacker de este tipo no es necesariamente alguien con fines negativos. (Wikipedia) 11. VIRUS Es un pequeño programa -también conocido como código malicioso- escrito intencionalmente para instalarse en la computadora de un usuario sin el permiso de éste. Es un programa parásito porque ataca a los archivos o sectores de “booteo” y se replica a si mismo para continuar su esparcimiento. Existen diferentes tipos de códigos maliciosos; a continuación mencionamos algunos de ellos: Bombas lógicas: Se encuentran diseñadas para activarse ante la ocurrencia de un evento definido en su lógica. Troyanos: Suelen propagarse como parte de programas de uso común y se activan cuando éstos se ejecutan. Gusanos: Tienen el poder de auto duplicarse, causando efectos diversos. Keyloggers: Se trata de una aplicación destinada a registrar todas las teclas que un usuario tipea en su computadora; algunos registran además otro tipo de información útil para un atacante, por ejemplo: imágenes de pantalla. 12. EXPLOITS Se trata de programas o técnicas que explotan cierta vulnerabilidad de un sistema para el logro de los objetivos del atacante, como por ejemplo: intrusión, robo de información, denegación de servicio, etc. 13. ATAQUES DE CONTRASEÑA Consisten en la prueba metódica de contraseñas para lograr el acceso a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo. Este tipo de ataques puede ser efectuado: Por diccionario: existiendo un diccionario de palabras, una herramienta intentará acceder al sistema probando, una a una, las palabras incluidas en el diccionario. Por fuerza bruta: una herramienta generará combinaciones de letras números y símbolos formando posibles contraseñas y probando, una a una, en el login del sistema. 14. EAVESDROPPING Se trata de un proceso por el cual un atacante capta información (cifrada o no) que no le iba dirigida. Existen 3 diferentes tipos de técnicas en uso: Sniffing: Consiste en capturar paquetes de información que circulan por la red con la utilización de una herramienta para dicho fin, instalada en un equipo conectado a la red; o bien mediante un dispositivo especial conectado al cable. En redes inalámbricas la captura de paquetes es más simple, pues no requiere de acceso físico al medio. Relacionados con este tipo de ataque, pueden distinguirse también las siguientes técnicas: AIRsniffing: consiste en capturar paquetes de información que circulan por redes inalámbricas. Para ello es necesario contar con una placa de red "wireless" configurada en modo promiscuo y una antena. War Driving y Netstumbling: estas técnicas se valen del AIRsniffing, ya que consisten en circular (generalmente en un vehículo) por un vecindario o zona urbana, con el objeto de capturar información transmitida a través de redes inalámbricas. Esto es posible debido a que generalmente las ondas de transmisión de información en redes inalámbricas se expanden fuera del área donde se ubican los usuarios legítimos de la red, pudiendo ser alcanzadas por atacantes. Lo que en ocasiones las hace más vulnerables es la falta de seguridad con que se encuentran implementadas. Desbordamiento de CAM: Se trata de inundar la tabla de direcciones de un switch con el objeto de bloquear la capacidad que éste posee de direccionar cada paquete exclusivamente a su destino. De esta forma el atacante podrá efectuar sniffing de los paquetes enviados por un switch, cuando en condiciones normales un switch no es vulnerable a este tipo de ataques. 15. VLAN hopping Las VLANs son redes LAN virtuales las cuales se implementan para generar un control de tráfico entre las mismas, de forma que los equipos conectados a una VLAN no posean acceso a otras. Este tipo de ataque pretende engañar a un switch (sobre el cual se implementan VLANs) mediante técnicas de Switch Spoofing logrando conocer los paquetes de información que circulan entre VLANs. 16. STP manipulation Este tipo de ataque es utilizado en topologías que cuentan con un árbol de switches que implementan el protocolo Spanning Tree Protocol para coordinar su comunicación. El equipo atacante buscará convertirse en la “raíz” de dicho árbol, con el objeto de poder tener acceso a los paquetes de información que circulan por todos los switches. 17. MAN-IN-THE-MIDDLE El atacante se interpone entre el origen y el destino en una comunicación pudiendo conocer y/o modificar el contenido de los paquetes de información, sin esto ser advertido por las víctimas. Esto puede ocurrir en diversos ambientes, como por ejemplo, en comunicaciones por e-mail, navegación en Internet, dentro de una red LAN, etc. 18. DEFACEMENT 4 Consiste en la modificación del contenido de un sitio Web por parte de un atacante. 19. IP SPOOFING - MAC ADDRESS SPOOFING El atacante modifica la dirección IP o la dirección MAC de origen de los paquetes de información que envía a la red, falsificando su identificación para hacerse pasar por otro usuario. De esta manera, el atacante puede asumir la identificación de un usuario válido de la red, obteniendo sus privilegios. 20. REPETICIÓN DE TRANSACCIÓN Consiste en capturar la información correspondiente a una transacción efectuada en la red interna o en Internet, con el objeto de reproducirla posteriormente. Esto cobra real criticidad en transacciones monetarias. 21. BACKDOORS También denominados “puertas traseras”, consisten en accesos no convencionales a los sistemas, los cuales pueden permitir efectuar acciones que no son permitidas por vías normales. Generalmente son instalados por el atacante para lograr un permanente acceso al sistema. 22. DHCP STARVATION El atacante busca reemplazar al servidor DHCP que se encuentra funcionando en la red, de forma de asignar a los clientes direcciones IP y otra información (como ser el servidor Gateway) de acuerdo a su conveniencia. De esta forma podría luego simular ser el Gateway e interceptar la información que los clientes envíen, con el tipo de ataque Man-in-the-middle. 23. TRASHING Consiste en la búsqueda de información dentro de la basura. Esto puede representar una amenaza importante para usuarios que no destruyen la información crítica o confidencial al eliminarla. 24. DENEGACIÓN DE SERVICIO Su objetivo es degradar considerablemente o detener el funcionamiento de un servicio ofrecido por un sistema o dispositivo de red. Existen diferentes técnicas para la explotación de este tipo de ataques: Envío de paquetes de información mal conformados de manera de que la aplicación que debe interpretarlo no puede hacerlo y colapsa. Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP origen igual a IP destino, etc.) que no permiten que circulen los paquetes de información de usuarios. Bloqueo de cuentas por excesivos intentos de login fallidos. Impedimento de logueo del administrador. 25. DENEGACIÓN DE SERVICIO DISTRIBUÍDA Su objetivo es el mismo que el perseguido por un ataque de denegación de servicio común, pero en este caso se utilizan múltiples equipos para generar el ataque. 26. FRAUDE INFORMÁTICO Se trata del perjuicio económico efectuado a una persona mediante la utilización de un sistema informático, ya 5 sea, modificando datos, introduciendo datos falsos o verdaderos o cualquier elemento extraño que sortee la seguridad del sistema. 27. ROBO DE IDENTIDAD Ocurre cuando alguien obtiene y utiliza, mediante medios informáticos, información personal ajena (nombre, número de tarjeta de crédito, información bancaria, número de afiliado a un sistema de salud, etc.) sin su autorización, con el propósito de realizar actividades fraudulentas. 28. ESCANEO DE PUERTOS Se trata de detectar qué servicios posee activos un equipo, con el objeto de ser utilizados para los fines del atacante. IV. PRACTICAS DE PROTECCIÓN ANTE DISTINTOS ATAQUES 1. PISHING Las siguientes medidas intentan minimizar los efectos negativos de un ataque de “Phishing” y de ser posible, impedirlo, va dirigido a los usuarios finales. a) Si recibe un correo electrónico que le pide información personal o financiera, no responda. Si el mensaje lo invita a acceder a un sitio Web a través de un enlace incluido en su contenido, no lo haga. Debe saber que las organizaciones que trabajan seriamente ya están al tanto de este tipo de fraude y por consiguiente, no solicitan información por este medio. Tampoco contactan telefónicamente, ni a través de mensajes SMS o de fax. Al mismo tiempo, si le preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo o que lo ha contactado, comuníquese directamente con ella, recurriendo al número telefónico conocido y provisto por la entidad a través de medios confiables, como por ejemplo, su último resumen de cuenta. Otra alternativa consiste en entrar a la página oficial de la organización, ingresando usted mismo la dirección de Internet correspondiente en el navegador. b) No envíe información personal usando mensajes de correo electrónico. El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial. Para mayor información sobre recomendaciones para el uso del correo electrónico seguro, puede consultar en http://www.arcert.gov.ar/webs/tips/ c) No acceda desde lugares públicos. En la medida de lo posible, evite ingresar al sitio Web de una entidad financiera o de comercio electrónico desde un Cyber-café, locutorio u otro lugar público. Las PCs instaladas en estos lugares podrían contener software o hardware malicioso, destinados a capturar sus datos personales. d) Verifique los indicadores de seguridad del sitio Web en el cual ingresará información 6 personal. Si resulta indispensable realizar un trámite o proveer información personal a una organización a través del sitio de Internet, escriba entonces la dirección Web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al hacerlo, deberá notar que la dirección Web comienza con https://, donde la s indica que la transmisión de información es segura. Verifique también que en la parte inferior de su navegador aparezca un candado cerrado. Al hacer clic sobre este último, podrá comprobar la validez del certificado digital y obtener información sobre la identidad del sitio al que está accediendo. e) Mantenga actualizado el software de su PC: Instale las actualizaciones de seguridad de su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente Web y de correo electrónico. La mayoría de los sistemas actuales permiten configurar estas actualizaciones en forma automática. f) Revise sus resúmenes bancarios y de tarjeta de crédito tan pronto como los reciba. Si detecta cargos u operaciones no autorizadas, comuníquese de inmediato con la organización emisora. También contáctese con ella si se produce una demora inusual en la recepción del resumen. g) No descargue ni abra archivos de fuentes no confiables. Esos archivos pueden tener virus o software malicioso que podrían permitir a un atacante acceder a su computadora y por lo tanto, a toda la información que almacene o introduzca en ella. h) Recuerde: No conteste ningún mensaje que resulte sospechoso. Si una comunicación en su contestador le avisa sobre un evento adverso vinculado a su cuenta bancaria y le solicita que llame a un teléfono gratuito, no lo haga. Si recibe un correo electrónico que le pide lo mismo, desista. Si del mismo modo, le envían un SMS de bienvenida a un servicio que no ha contratado, bórrelo y olvídese. Las mencionadas prácticas no son sino diversas modalidades que persiguen el mismo fin: obtener sus datos personales para cometer una defraudación. i) Finalmente, permanezca siempre atento para evitar el acceso indebido a su información personal. Observamos que, día a día, aparecen nuevas estrategias de engaño. Su desconfianza y el cuidado con que analice los sitios Web en los que vuelque sus datos de identidad, son su mejor protección. j) Si es víctima de Phishing reenvíe el mensaje de correo electrónico y toda otra información que considere que puede ser de utilidad a: [email protected] 2. PHARMING A continuación se exponen algunos aspectos a tener en cuenta y que ayuden a minimizar los efectos de un ataque de Pharming: Estos ataques están dirigidos a la infraestructura de Internet, por lo que será responsabilidad de los Administradores de Redes de cada Organismo, no de los usuarios finales, de prevenir este tipo de ataques. 7 El protocolo SSL (Secure Sockets Layer) esta diseñado para protegerse respecto de esta forma de ataque. El atacante no puede generar que el icono de una sesión SSL (el candado aparece en la parte inferior del navegador de un usuario) aparezca, a menos que tenga acceso a la clave privada que corresponde al certificado digital instalado en el sitio. Utilizar, solamente, certificados digitales de Autoridades Certificantes confiables para los navegadores de los usuarios, de modo tal que en la interacción de los mismos con las páginas Web no se desplieguen mensajes de alerta de seguridad. Asegurarse que los DNS de los nombres de dominio están “bloqueados” por la organización que registra los dominios, para prevenir cualquier modificación o transferencia no autorizada. Los Administradores de Redes deberán asegurarse que todo el software de los servidores de DNS esté actualizado y configurado de manera segura. Los Auditores de Sistemas deberán verificar que sus auditados hayan implementado todas las medidas en materia de seguridad y protección de la información. La auditoría del código estará a cargo de los desarrolladores de software, de manera de determinar que productos contienen código DNS y, en caso afirmativo, asegurarse que dicho código no contenga vulnerabilidades que puedan corromper la memoria DNS. 3. VIRUS y MALWARE Los Antivirus son programas que se encargan de encontrar y en lo posible eliminar o dejar sin efecto la acción de los virus informáticos y otro tipo de programas malignos (malware). A fin de evitar posibles daños en el sistema provocados por los virus informáticos es necesario contar con un antivirus de licencia activa, tanto en los servidores como así también en los distintos puestos de trabajo. Para el caso de aquellos computadores que no tengan un acceso a Internet será responsabilidad del Jefe de Seguridad Informática, instalar con una periodicidad no mayor a 30 días todas las actualizaciones del antivirus que el ordenador tenga instalado. 4. HACKER, DENEGACIÓN DE SERVICIO, ATAQUES DE CONTRASEÑA, ESCANEO DE PUERTOS, BACKDOORS En el caso de cualquiera de estos ataques, se tendrá instalado un firewall (cortafuegos) en cada uno de los servidores y computadores en los distintos puestos de trabajo. Recordemos que un cortafuegos es una parte de un sistema o una red que está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Estos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas 8 conectadas a Internet, especialmente intranets. Un cortafuegos correctamente configurado añade protección necesaria a la red, pero en ningún caso debe considerarse suficiente. Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización: Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. V. CONTRASEÑAS 1. ELECCIÓN Y USO CORRECTO (Véase el documento “Seguridad de la Información - Versión x.xx” en el punto 2.2.3.1 Uso de Contraseñas) (x.xx corresponde a numero de versión actualizada) 2. CARACTERÍSTICAS QUE DEBE REUNIR UNA CONTRASEÑA PARA QUE SEA SEGURA: A continuación encontrará las principales características que debe tener una contraseña para ser considerada segura: a) Personal: cada persona que acceda a un servicio, aplicación o sistema debe tener su propia contraseña. b) Secreta: sólo el usuario de la contraseña debe conocerla. c) Intransferible: la contraseña no debe ser revelada a ningún tercero para su uso. d) Modificable sólo por el titular: el cambio de contraseña, sea cual fuere el motivo, debe ser realizado por el usuario titular de la misma. Sólo en situaciones excepcionales, podría ser cambiada por el administrador, por ejemplo, cuando el usuario la hubiera olvidado o si estuviera en riesgo la seguridad de la organización, como sería en el caso de que fuera divulgada o detectada como débil luego de una auditoría. e) Difícil de averiguar: Al momento de elegir su nueva contraseña, el usuario debe seguir ciertos lineamientos que impidan que pueda ser obtenida fácilmente. Más adelante se verán algunas sugerencias. 3. RECOMENDACIONES PARA LA ELECCIÓN DE CONTRASEÑAS FUERTES: Una contraseña débil, como el nombre de su hijo o de su perro es fácilmente predecible. Un caso especial son los dispositivos de conexión como routers hogareños, donde la mayoría de las veces se suelen mantener la misma contraseña que trae de fábrica, convirtiéndose en blanco trivial para ataques. 9 En el ámbito de las organizaciones, este tema debe estar contemplado en la política de seguridad de la información, generalmente formando parte de un apartado especial sobre control de accesos lógicos, formalizando el procedimiento adoptado para la creación de contraseñas, así como las condiciones de uso dependiendo el recurso y el tipo de información al que se brinda acceso. Dicho procedimiento debe especificar: a) Un plazo de caducidad. b) Una longitud mínima. c) El conjunto de caracteres utilizables (en ciertas aplicaciones no se permiten, por ejemplo, caracteres especiales como “*”, “$”, “#”, etc.). d) Un diccionario de términos no permitidos, como nombres propios, días de la semana, meses, estaciones del año, etc., si fuera aplicable. Algunas de las técnicas que pueden utilizarse para formar una clave robusta o fuerte, que conlleve cierta dificultad para averiguarla, pero que al mismo tiempo, permita ser recordada sin dificultad, son las que se listan a continuación. Tenga en cuenta que pueden existir sistemas particulares que por sus características, podrían no estar preparados para aceptar algunas de las técnicas enumeradas. a) No utilice palabras comunes o que se encuentren en un diccionario, ni nombres propios o de fácil deducción por terceros (nombre de mascota, nombre de equipo de fútbol favorito, etc.), ya que estas claves podrían ser conseguidas fácilmente mediante el uso de técnicas que realizan pruebas de forma automática utilizando palabras extraídas de diccionarios. Mucho menos su nombre de usuario o nombre de pila. b) No las vincule a una característica personal, (número de teléfono o D.N.I., patente del automóvil, etc.). c) No utilice terminología técnica conocida. Por ejemplo: “admin”. d) Combine caracteres alfabéticos en mayúscula y minúscula, números y caracteres especiales, como espacio, guión, símbolo “$”, etc. e) Constrúyalas utilizando 8 caracteres o más. f) Use claves distintas para máquinas y/o sistemas diferentes. g) Use un acrónimo de algo fácil de recordar. Por ejemplo: “NorCarTren” (Norma , Carlos, Tren). h) Añada números al acrónimo para mayor seguridad: “NorCarTren1810” (Norma, Carlos, Tren, Año de la independencia Argentina). 10 i) Utilice frases conocidas o nombres de películas o libros en forma concatenada. Por ejemplo: “veranodel42”. j) Elija una palabra sin sentido, aunque pronunciable. Por ejemplo: “galpo-glio”. k) Realice reemplazos de letras por signos o números. Por ejemplo: “3duard0palmit0”. l) Elija una clave que no pueda olvidar, para evitar escribirla en alguna parte. Por ejemplo: “arGentina6-0aza”. m) Utilice las primeras letras de un dicho o frase célebre. Por ejemplo: “NpmmsamT” (No por mucho madrugar se amanece más temprano). Preferentemente incluya además signos de puntuación: “Npmm,samT.” n) Defina su propia regla de construcción sobre la base de una canción, frase, poema o texto que pueda recordar u obtener fácilmente. Por ejemplo, una regla podría ser: • Seleccionar la frase, • Elegir la primera letra de cada palabra • Poner las primeras dos letras en “minúscula”, las segundas dos en “mayúsculas” y así sucesivamente, hasta tener una longitud de 8 caracteres (“mmMMmmMM”), o) Elegir un número de 2 cifras (que recordemos): si el número es impar entonces colocarlo al inicio de la clave; si por el contrario es par colocarlo al final. p) Agregar al número un carácter especial, “-” entre los dígitos. Por ejemplo: si el número es “01”, quedaría “0-1”. Si tomamos por ejemplo, la letra de la canción de María Elena Walsh: “Manuelita vivía en Pehuajó, pero un día se marchó. Nadie supo bien por qué, a París ella se fue un poquito caminando y otro poquitito a pie. ..... “ y elegimos el número “04” (que corresponde al número del mes en el que debo cambiar la clave), entonces la nueva contraseña, según la regla de construcción sería: “mvEPpuDS0-4” Otra sugerencia para lograr una mayor longitud, es directamente utilizar frases separando las palabras por algún carácter. Por ejemplo: “manuelitA-viviA_En-Pehuajo”. q) Si el sistema lo permite, puede también utilizar frases de longitud considerable como contraseña. Este método es mencionado en algunas ocasiones como “passphrase”. Siguiendo el ejemplo anterior, podría utilizar “Manuelita vivía en Pehuajó, un poquito caminando, y otro poquitito a pie”. Por último, recomendamos especialmente NO utilizar ninguna de las claves que han sido 11 enumeradas como ejemplo en este documento, ya que pueden ser utilizadas por un tercero para probar si puede acceder a sus cuentas. VI. CORREO ELECTRÓNICO RECOMENDACIONES PARA EL USO SEGURO a) Elija contraseñas seguras (robustas): Según lo establecido en el Capitulo V. Punto 2 y 3. b) No comparta la contraseña La contraseña debe ser secreta. No la comparta con nadie, ni siquiera con personas de confianza, colegas de trabajo, secretarias ni administradores de red c) Cambie la contraseña de forma periódica d) Transfiera sus mensajes cifrados La transferencia de correo electrónico a través de Internet no es segura, por lo cual es posible que una persona pueda leer el contenido de los mensajes que circulan por la red. Por lo tanto, a la hora de enviar información sensible en un mensaje de correo electrónico, es aconsejable que se transfiera cifrada, de forma tal que se garantice su confidencialidad (la información puede ser leída sólo por el remitente y el destinatario). e) Firme los mensajes de correo electrónico que envía A fin de garantizar la autoría de los mensajes de correo electrónico que envía, es necesario firmarlos utilizando mecanismos de clave pública. El uso de certificados digitales personales permite garantizar la autoría del mensaje y adicionalmente, la integridad de su contenido. f) Verifique la autenticidad del remitente del mensaje Los mensajes de correo electrónico pueden ser falsificados fácilmente. Tenga en cuenta que un atacante podría generar mensajes que parezcan ser originados por algún tercero en el cual Ud. confía. Si se trata de información crítica y el contenido del mensaje despierta alguna sospecha, trate de validar los datos del remitente por otro medio alternativo o solicite que se utilice un mecanismo que permita garantizar la autoría e integridad del mensaje. g) Elimine mensajes no esperados o de un remitente desconocido No conteste ni reenvíe mensajes de correo electrónico que no eran esperados. Si no reconoce el remitente o no esperaba el mensaje, no responda, ya que podría estar confirmando a un posible atacante que su cuenta de correo electrónico es válida y se encuentra activa. h) No abra archivos adjuntos que no está esperando No abra archivos anexados a los mensajes por más que sean de un remitente conocido si no los está esperando. Ante la duda, consulte al remitente si él efectivamente lo envió antes de abrir el adjunto. Los archivos adjuntos y el software de fabricantes o fuentes no confiables muchas veces contienen contenido 12 malicioso que podrían permitir a un atacante robar información de su equipo, como por ejemplo las claves de acceso. i) No visite los sitios Web que figuran en los mensajes No visite los sitios Web mencionados en mensajes de correo electrónico cuyo remitente sea desconocido, ni aquellos que simulen venir de un remitente conocido pero que Ud. no está esperando. Estos sitios pueden albergar contenido malicioso, por lo cual se sugiere verificar siempre que se trate del sitio al que Ud. quiere acceder. Tenga especial cuidado si el sitio Web mencionado en el mensaje recibido le pide que ingrese sus datos personales, sus claves de acceso, sus datos financieros, etc. El sitio podría estar siendo usado por un atacante para robar su identidad, técnica conocida como “phishing”. j) El software de su PC debe mantenerse actualizado Las actualizaciones del software instalado en su PC contienen, normalmente, mejoras en su seguridad respecto de la versión actualmente en uso. Es importante activar la opción de actualización automática tanto en el sistema operativo como en el software antivirus, ya que periódicamente se descubren nuevas vulnerabilidades y aparecen nuevos virus. Si sospecha que su cuenta de correo electrónico está siendo utilizada por una tercera persona, avise inmediatamente al responsable de Seguridad Informática. Por cualquier corrección, sugerencia o aporte al documento comuníquese con nosotros. 13