Hola!
Como integrante del área de Seguridad Informática de una empresa Argentina, estoy realizando una campaña de concientización del personal en materia seguridad. Basándome en varios sitios Web especializados y un poco en mi propia experiencia armé la campaña orientándola a “consejos” (entre otras cosas) a la hora de navegar en internet, utilizar el correo, etc, etc.
Me parece que puede ser de utilidad en ésta comunidad, por lo tanto los invito a leer el post, donde pongo los tres primeros para no aburrir demasiado
,luego iré posteando los demás (son 16):
Consejo 1
Ingeniería Social
Es una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema. Es el arte de conseguir lo que nos interese de un tercero por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos. Las acciones realizadas suelen aprovecharse de engaños, tretas y artimañas para lograr que un usuario autorizado revele información que, de alguna forma, compromete al sistema.
Las personas padecemos las mismas debilidades dentro y fuera de la red y las técnicas conocidas sólo deben ser adaptadas al nuevo medio deseado. Las cualidades que pueden ser utilizadas son propias de la persona: como sus relaciones personales, inocencia, credibilidad, curiosidad, ambición, conocimiento, etc. Parece poco creíble que preguntando a una persona por la información en la que estamos interesados, obtengamos lo que nosotros deseamos; sin embargo esta habilidad es desarrollada y utilizada por personas corrientes, hackers, ladrones, timadores y estafadores para lograr que otra persona ejecute una acción que generalmente repercute en un beneficio para el "atacante".
En el mundo de la seguridad de la información, este arte es utilizado, entre otros, para dos fines específicos:
1.El usuario es tentado a realizar una acción necesaria para dañar el sistema: este es el caso en donde el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto o abrir la página web recomendada que terminará dañando el sistema.
2.El usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos. Este es el caso del phishing, en donde el usuario entrega información al delincuente creyendo que lo hace a una entidad de confianza.
Aquí notamos otra característica importante: la excelente relación costo-beneficio obtenida de su aplicación, ya que a un costo ínfimo (una llamada telefónica o un correo electrónico) corresponde un beneficio incalculable (acceso a la información o a un sistema).
Si bien podríamos entrar en particularidades de cada caso, es fundamental comprender que no hay tecnología capaz de protegernos contra la Ingeniería Social, como tampoco hay usuarios ni expertos que estén a salvo de esta forma de ataque. La Ingeniería Social no pasa de moda, se perfecciona y sólo tiene nuestra imaginación como límite.
Evitar ser utilizado por Ingenieros Sociales
Evite brindar información que pueda comprometer la seguridad de su sistema y la suya personal. Datos como usuario, contraseña, fecha de nacimiento, familiares, empresas, tarjetas, situación social, salud, costumbres, datos económicos, etc. pueden ser utilizados por una persona inescrupulosa para efectuar acciones dañinas.
Modo Paranoico
Si por algún motivo entrega el tipo de información mencionado asegúrese de hacerlo a personas de las cuales conozca sus datos para luego, en caso de ser damnificado, pueda hacer el reclamo conveniente y seguir las pasos correspondientes para evitar daños mayores.
Jamás responda preguntas que involucre datos personales o sensibles. Los mismos podrían ser utilizados para ocasionarle daños.
Consejo 2
Derecho a la Intimidad y Privacidad
La Intimidad es la parte de la vida de una persona que no ha de ser observada desde el exterior, y afecta sólo a la propia persona. Se incluye dentro del "ámbito privado" de un individuo cualquier información que se refiera a sus datos personales, relaciones, salud, correo, comunicaciones electrónicas privadas, etc.
Es el derecho que poseen las personas de poder excluir a las demás personas del conocimiento de su vida personal, es decir, de sus sentimientos y comportamientos. Una persona tiene el derecho a controlar cuándo y quién accede a diferentes aspectos de su vida personal.
La Privacidad es la parte más profunda de la vida de una persona, que comprende sus sentimientos, vida familiar o relaciones de amistad. Según dicta el artículo 12 de la Declaración Universal de los Derechos Humanos: "Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques".
Basados en el artículo mencionado, la mayoría de las legislaciones internacionales (en Argentina la Ley de Habeas Data) coinciden en que queda prohibido el almacenamiento de datos de carácter personal que revelen ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
Entonces, los Datos de Carácter Personal, son aquellos datos relacionados con la intimidad de las personas y son un tipo de datos específicos que, legalmente, deben ser protegidos.
Más allá de esta protección legal y jurídica, que se nos debe procurar por ser parte de la sociedad, es importante que todos aprendamos a proteger nuestros datos privados para que nadie pueda hacer uso (y abuso) de ellos, utilizándolos como arma o bien de forma negligente causando daño a nuestra persona.
Para ello ponemos a disposición las medidas de seguridad que se deben cumplir cuando se trata de manipular datos de carácter personal.
•Ud. tiene derecho a manifestar su intención de que sus datos sean almacenados (o no). Esto es común cuando completa formularios ya sea medios físicos (papeles, encuestas, cupones, formularios, sorteos, etc.) como virtuales (correo electrónico, foros, compras, homebanking, sitios webs, etc.).
•Verifique los datos que se le solicitan y complete sólo los necesarios. Muchas organizaciones recolectan datos por el sólo hecho de hacerlo y previendo una posible utilización futura. Por ejemplo, ¿para qué piden su dirección postal y su teléfono en un sitio para descargar fotos?
•No divulgue información financiera en lugares públicos, en donde personas que no deberían oírlo puedan hacerlo.
•Cuide su documentación personal y denuncie inmediatamente cualquier evento sospechoso.
•Verifique sus resúmenes de cuenta buscando posibles gastos que Ud. no realizó.
•No divulgue información sensible en sitios web, foros, chat, etc. porque Ud. no puede determinar quien está del otro lado leyendo.
•Verifique la seriedad de los sitios que le solicitan sus datos y los de sus allegados (principalmente si son menores).
•Cuide sus datos. Son suyos.
Modo Paranoico
Destruya cualquier comprobante en donde figuren datos personales (nombres, cuentas, identificación, finanzas, etc.) que va a descartar o arrojar a la basura. La recolección de información (por mímina que sea) por parte de terceros es el primer paso para robarle su identidad o estafarlo.
Consejo 3
Correo e Internet
A la hora de utilizar Internet, los dos usos más comunes son el de navegar y el de enviar y recibir correo electrónico. A través de pequeñas configuraciones a los programas que utilicemos, podemos hacer de ello, un uso más seguro.
Navegadores
Un navegador web o explorador web (o en inglés browser) es una aplicación que permite visualizar páginas web. El programa más utilizado es el Internet Explorer ya que es instalado por defecto con Windows.
A través de los sitios web, nos sometemos a innumerables aplicaciones dañinas para nuestro sistema, cada vez que utilizamos cualquier browser o navegador. Sin embargo, al ser Internet Explorer (al igual que Windows) el más utilizado, es también el navegador sobre el cual más malware se ha desarrollado y al que apuntan la mayoría de los delincuentes.
Es por ello, que un primer consejo para estar más seguros, es intentar utilizar otro navegador que nos brinde las mismas prestaciones pero cuyas configuración de "fábrica" permita menos ataques. Dos de los más populares son el Mozilla Firefox y Opera. En ambos casos, los programas son de fácil descarga, instalación y su utilización es casi idéntica a la del Internet Explorer.
En caso de utilizar el Internet Explorer existen ciertos riesgos que es mejor no correr haciendo unas pequeñas modificaciones a nuestra configuración: (puede variar según la versión del IE)
1.Desactivar los controles ActiveX y JavaScript, que son pequeñas aplicaciones que se ejecutan dentro de las páginas web y que son muy utilizadas a la hora de programar aplicaciones dañinas. Para ello, seguir estas instrucciones:
a.Diríjase a Herramientas / Opciones de Internet y, dentro de ella, a la solapa Seguridad.
b.Dentro de la opción Internet, presionar en Nivel personalizado.
c.Para las opciones 'Automatización de los subprogramas de Java' y 'Secuencias de comandos ActiveX' elegir la opción 'Pedir datos'. De esta forma, cada vez que visite una página que requiera JavaScript (o Active Scripting), saldrá una ventana con la pregunta "¿Desea permitir la ejecución de los archivos de comandos?" y usted podrá decidir en función de la confiabilidad que le genere la página que está visitando.
Recuerde, mantenerse al día con las actualizaciones a través del sitio de Windows Update de Microsoft o bien descargándolas cuando Windows le informe de ello en la barra inferior.
Por otro lado, son recomendables los siguientes consejos para cualquiera de los navegadores que utilicemos en nuestra PC:
1.No descargar aplicaciones de sitios web que no sean confiables, ni instalar las famosas "barras complementarias" que ofrecen servicios adicionales de todo tipo, pero que a cambio muestran publicidades en ventanas emergentes.
2.No ingresar información sensible o privada (correo, contraseñas, datos personales) en sitios web de los cuales no tengamos referencias.
3.No visitar las páginas a través de links, sino tipeando la dirección en el navegador y verificando siempre que corresponda a la entidad/organización que deseamos visitar.
Correo
Cuando utilizamos cuentas de correo, estas se pueden configurar en una aplicación para descargarlos y administrarlos en nuestra PC. Si bien existen otros clientes de correo, el Outlook Express es el programa más utilizado para la gestión de correos electrónicos y las principales configuraciones que podremos realizarle para hacerlo más seguro son las siguientes:
1.Deshabilitar la vista previa: de esta forma un correo se abrirá sólo al hacer doble clic en él. De esta forma evitaremos leer los correos no deseados. Ahora, si deshabilitamos la vista previa, pero seguimos abriendo todos los mails que recibimos, seguiremos teniendo problemas de seguridad. El objetivo de esta configuración es poder decidir (y discernir) qué correos abrir y cuales no. ¿Cuáles no? Aquellos de remitentes desconocidos, con archivos adjuntos no solicitados o asuntos sospechosos.
Para quitar el panel de vista previa, realizar los siguientes pasos:
Ir al menú Ver. Elegir la opción Diseño. Desmarcar la casilla 'Mostrar panel de vista previa'
2.Deshabilitar la ejecución de scripts (al igual que con Internet Explorer) al leer los correos:
a.Ir al menú Herramientas, y luego en Opciones
b.En la lengüeta Seguridad, tildar en 'Zona de sitios restringidos (más segura)'
En la misma solapa podemos elegir la opción ‘No permitir que se guarden o abran archivos adjuntos que puedan contener virus’ para tener más controlados los adjuntos recibidos a través de nuestras cuentas de mail.
1.Enviar textos sin formato, de esta forma evitamos enviar código html en nuestros mails:
a.Ir al menú Herramientas, y luego en Opciones
b.En la lengüeta Enviar, destildar en 'Responder a los mensajes en el formato en que se enviaron'
c.En 'Configuración de formato de envio de correo' elegir 'Texto sin formato'
Estas son las principales configuraciones que podremos realizar tanto en nuestro navegador como en nuestro correo para estar mejor protegidos.
Modo Paranoico
Nunca ejecute un archivo adjunto directamente desde el correo. Descárguelo en una carpeta de su PC y utilice un antivirus (o más de uno) con capacidades proactivas, para analizarlo antes de ejecutarlo. Si no solicitó el adjunto, ni conoce su contenido, elimine el correo sin más.
Si cree conocer a la persona que envío el mail puede consultarle sobre la veracidad del mismo y del contenido del archivo. Recuerde que el remitente de un correo puede falsearse fácilmente.
Si bien la mayoría de los programas dañinos actuales se ejecutan en Windows, si utiliza otro sistema operativo como Linux o MAC OS, no deje de estar atento y configure su navegador y cliente de correo de la mejor manera posible.
Espero que sea de utilidad, debemos tener mucho cuidado cuando nuestra información personal. Saludos
Como integrante del área de Seguridad Informática de una empresa Argentina, estoy realizando una campaña de concientización del personal en materia seguridad. Basándome en varios sitios Web especializados y un poco en mi propia experiencia armé la campaña orientándola a “consejos” (entre otras cosas) a la hora de navegar en internet, utilizar el correo, etc, etc.
Me parece que puede ser de utilidad en ésta comunidad, por lo tanto los invito a leer el post, donde pongo los tres primeros para no aburrir demasiado
,luego iré posteando los demás (son 16):
Consejo 1
Ingeniería Social
Es una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema. Es el arte de conseguir lo que nos interese de un tercero por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos. Las acciones realizadas suelen aprovecharse de engaños, tretas y artimañas para lograr que un usuario autorizado revele información que, de alguna forma, compromete al sistema.
Las personas padecemos las mismas debilidades dentro y fuera de la red y las técnicas conocidas sólo deben ser adaptadas al nuevo medio deseado. Las cualidades que pueden ser utilizadas son propias de la persona: como sus relaciones personales, inocencia, credibilidad, curiosidad, ambición, conocimiento, etc. Parece poco creíble que preguntando a una persona por la información en la que estamos interesados, obtengamos lo que nosotros deseamos; sin embargo esta habilidad es desarrollada y utilizada por personas corrientes, hackers, ladrones, timadores y estafadores para lograr que otra persona ejecute una acción que generalmente repercute en un beneficio para el "atacante".
En el mundo de la seguridad de la información, este arte es utilizado, entre otros, para dos fines específicos:
1.El usuario es tentado a realizar una acción necesaria para dañar el sistema: este es el caso en donde el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto o abrir la página web recomendada que terminará dañando el sistema.
2.El usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos. Este es el caso del phishing, en donde el usuario entrega información al delincuente creyendo que lo hace a una entidad de confianza.
Aquí notamos otra característica importante: la excelente relación costo-beneficio obtenida de su aplicación, ya que a un costo ínfimo (una llamada telefónica o un correo electrónico) corresponde un beneficio incalculable (acceso a la información o a un sistema).
Si bien podríamos entrar en particularidades de cada caso, es fundamental comprender que no hay tecnología capaz de protegernos contra la Ingeniería Social, como tampoco hay usuarios ni expertos que estén a salvo de esta forma de ataque. La Ingeniería Social no pasa de moda, se perfecciona y sólo tiene nuestra imaginación como límite.
Evitar ser utilizado por Ingenieros Sociales
Evite brindar información que pueda comprometer la seguridad de su sistema y la suya personal. Datos como usuario, contraseña, fecha de nacimiento, familiares, empresas, tarjetas, situación social, salud, costumbres, datos económicos, etc. pueden ser utilizados por una persona inescrupulosa para efectuar acciones dañinas.
Modo Paranoico
Si por algún motivo entrega el tipo de información mencionado asegúrese de hacerlo a personas de las cuales conozca sus datos para luego, en caso de ser damnificado, pueda hacer el reclamo conveniente y seguir las pasos correspondientes para evitar daños mayores.
Jamás responda preguntas que involucre datos personales o sensibles. Los mismos podrían ser utilizados para ocasionarle daños.
Consejo 2
Derecho a la Intimidad y Privacidad
La Intimidad es la parte de la vida de una persona que no ha de ser observada desde el exterior, y afecta sólo a la propia persona. Se incluye dentro del "ámbito privado" de un individuo cualquier información que se refiera a sus datos personales, relaciones, salud, correo, comunicaciones electrónicas privadas, etc.
Es el derecho que poseen las personas de poder excluir a las demás personas del conocimiento de su vida personal, es decir, de sus sentimientos y comportamientos. Una persona tiene el derecho a controlar cuándo y quién accede a diferentes aspectos de su vida personal.
La Privacidad es la parte más profunda de la vida de una persona, que comprende sus sentimientos, vida familiar o relaciones de amistad. Según dicta el artículo 12 de la Declaración Universal de los Derechos Humanos: "Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques".
Basados en el artículo mencionado, la mayoría de las legislaciones internacionales (en Argentina la Ley de Habeas Data) coinciden en que queda prohibido el almacenamiento de datos de carácter personal que revelen ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
Entonces, los Datos de Carácter Personal, son aquellos datos relacionados con la intimidad de las personas y son un tipo de datos específicos que, legalmente, deben ser protegidos.
Más allá de esta protección legal y jurídica, que se nos debe procurar por ser parte de la sociedad, es importante que todos aprendamos a proteger nuestros datos privados para que nadie pueda hacer uso (y abuso) de ellos, utilizándolos como arma o bien de forma negligente causando daño a nuestra persona.
Para ello ponemos a disposición las medidas de seguridad que se deben cumplir cuando se trata de manipular datos de carácter personal.
•Ud. tiene derecho a manifestar su intención de que sus datos sean almacenados (o no). Esto es común cuando completa formularios ya sea medios físicos (papeles, encuestas, cupones, formularios, sorteos, etc.) como virtuales (correo electrónico, foros, compras, homebanking, sitios webs, etc.).
•Verifique los datos que se le solicitan y complete sólo los necesarios. Muchas organizaciones recolectan datos por el sólo hecho de hacerlo y previendo una posible utilización futura. Por ejemplo, ¿para qué piden su dirección postal y su teléfono en un sitio para descargar fotos?
•No divulgue información financiera en lugares públicos, en donde personas que no deberían oírlo puedan hacerlo.
•Cuide su documentación personal y denuncie inmediatamente cualquier evento sospechoso.
•Verifique sus resúmenes de cuenta buscando posibles gastos que Ud. no realizó.
•No divulgue información sensible en sitios web, foros, chat, etc. porque Ud. no puede determinar quien está del otro lado leyendo.
•Verifique la seriedad de los sitios que le solicitan sus datos y los de sus allegados (principalmente si son menores).
•Cuide sus datos. Son suyos.
Modo Paranoico
Destruya cualquier comprobante en donde figuren datos personales (nombres, cuentas, identificación, finanzas, etc.) que va a descartar o arrojar a la basura. La recolección de información (por mímina que sea) por parte de terceros es el primer paso para robarle su identidad o estafarlo.
Consejo 3
Correo e Internet
A la hora de utilizar Internet, los dos usos más comunes son el de navegar y el de enviar y recibir correo electrónico. A través de pequeñas configuraciones a los programas que utilicemos, podemos hacer de ello, un uso más seguro.
Navegadores
Un navegador web o explorador web (o en inglés browser) es una aplicación que permite visualizar páginas web. El programa más utilizado es el Internet Explorer ya que es instalado por defecto con Windows.
A través de los sitios web, nos sometemos a innumerables aplicaciones dañinas para nuestro sistema, cada vez que utilizamos cualquier browser o navegador. Sin embargo, al ser Internet Explorer (al igual que Windows) el más utilizado, es también el navegador sobre el cual más malware se ha desarrollado y al que apuntan la mayoría de los delincuentes.
Es por ello, que un primer consejo para estar más seguros, es intentar utilizar otro navegador que nos brinde las mismas prestaciones pero cuyas configuración de "fábrica" permita menos ataques. Dos de los más populares son el Mozilla Firefox y Opera. En ambos casos, los programas son de fácil descarga, instalación y su utilización es casi idéntica a la del Internet Explorer.
En caso de utilizar el Internet Explorer existen ciertos riesgos que es mejor no correr haciendo unas pequeñas modificaciones a nuestra configuración: (puede variar según la versión del IE)
1.Desactivar los controles ActiveX y JavaScript, que son pequeñas aplicaciones que se ejecutan dentro de las páginas web y que son muy utilizadas a la hora de programar aplicaciones dañinas. Para ello, seguir estas instrucciones:
a.Diríjase a Herramientas / Opciones de Internet y, dentro de ella, a la solapa Seguridad.
b.Dentro de la opción Internet, presionar en Nivel personalizado.
c.Para las opciones 'Automatización de los subprogramas de Java' y 'Secuencias de comandos ActiveX' elegir la opción 'Pedir datos'. De esta forma, cada vez que visite una página que requiera JavaScript (o Active Scripting), saldrá una ventana con la pregunta "¿Desea permitir la ejecución de los archivos de comandos?" y usted podrá decidir en función de la confiabilidad que le genere la página que está visitando.
Recuerde, mantenerse al día con las actualizaciones a través del sitio de Windows Update de Microsoft o bien descargándolas cuando Windows le informe de ello en la barra inferior.
Por otro lado, son recomendables los siguientes consejos para cualquiera de los navegadores que utilicemos en nuestra PC:
1.No descargar aplicaciones de sitios web que no sean confiables, ni instalar las famosas "barras complementarias" que ofrecen servicios adicionales de todo tipo, pero que a cambio muestran publicidades en ventanas emergentes.
2.No ingresar información sensible o privada (correo, contraseñas, datos personales) en sitios web de los cuales no tengamos referencias.
3.No visitar las páginas a través de links, sino tipeando la dirección en el navegador y verificando siempre que corresponda a la entidad/organización que deseamos visitar.
Correo
Cuando utilizamos cuentas de correo, estas se pueden configurar en una aplicación para descargarlos y administrarlos en nuestra PC. Si bien existen otros clientes de correo, el Outlook Express es el programa más utilizado para la gestión de correos electrónicos y las principales configuraciones que podremos realizarle para hacerlo más seguro son las siguientes:
1.Deshabilitar la vista previa: de esta forma un correo se abrirá sólo al hacer doble clic en él. De esta forma evitaremos leer los correos no deseados. Ahora, si deshabilitamos la vista previa, pero seguimos abriendo todos los mails que recibimos, seguiremos teniendo problemas de seguridad. El objetivo de esta configuración es poder decidir (y discernir) qué correos abrir y cuales no. ¿Cuáles no? Aquellos de remitentes desconocidos, con archivos adjuntos no solicitados o asuntos sospechosos.
Para quitar el panel de vista previa, realizar los siguientes pasos:
Ir al menú Ver. Elegir la opción Diseño. Desmarcar la casilla 'Mostrar panel de vista previa'
2.Deshabilitar la ejecución de scripts (al igual que con Internet Explorer) al leer los correos:
a.Ir al menú Herramientas, y luego en Opciones
b.En la lengüeta Seguridad, tildar en 'Zona de sitios restringidos (más segura)'
En la misma solapa podemos elegir la opción ‘No permitir que se guarden o abran archivos adjuntos que puedan contener virus’ para tener más controlados los adjuntos recibidos a través de nuestras cuentas de mail.
1.Enviar textos sin formato, de esta forma evitamos enviar código html en nuestros mails:
a.Ir al menú Herramientas, y luego en Opciones
b.En la lengüeta Enviar, destildar en 'Responder a los mensajes en el formato en que se enviaron'
c.En 'Configuración de formato de envio de correo' elegir 'Texto sin formato'
Estas son las principales configuraciones que podremos realizar tanto en nuestro navegador como en nuestro correo para estar mejor protegidos.
Modo Paranoico
Nunca ejecute un archivo adjunto directamente desde el correo. Descárguelo en una carpeta de su PC y utilice un antivirus (o más de uno) con capacidades proactivas, para analizarlo antes de ejecutarlo. Si no solicitó el adjunto, ni conoce su contenido, elimine el correo sin más.
Si cree conocer a la persona que envío el mail puede consultarle sobre la veracidad del mismo y del contenido del archivo. Recuerde que el remitente de un correo puede falsearse fácilmente.
Si bien la mayoría de los programas dañinos actuales se ejecutan en Windows, si utiliza otro sistema operativo como Linux o MAC OS, no deje de estar atento y configure su navegador y cliente de correo de la mejor manera posible.
Espero que sea de utilidad, debemos tener mucho cuidado cuando nuestra información personal. Saludos