Hosting - Cyberneticos.com

Seguridad en internet: 5 consejos para mejorarla

Aunque no queramos, al usar un ordenador, una tablet o una smart tv nos estamos exponiendo a unos peligros inherentes a la propia tecnología. Tenemos que aprender una reglas mínimas para sobrevivir en este mundo. al igual que no cruzamos una calle si el semáforo esta en rojo (o al menos miramos si vienen coches) el mundo de la tecnología tiene sus propias reglas y sus propias herramientas para mantener una mínima seguridad.
A continuación, os damos 5 consejos para limitar mucho vuestra exposición a problemas de seguridad.

Actualízate

«Actualizar mas tarde», «Ahora no», «Recordar la semana que viene». Ante este cotidiano gesto para evitar el parar con lo que estamos haciendo se esconde un gran problema de seguridad. Cuando nuestro sistema operativo, nuestras aplicaciones de móviles, nuestra television… nos solicitan una actualización, generalmente incluye parches de seguridad.
Estos parches solucionan problemas de nuestros dispositivos, que pueden ir desde ejecución de aplicaciones no solicitadas hasta el acceso por parte de ciberdelincuentes (mal llamados hackers) a nuestra máquina. De modo que la próxima vez que te salga un cartel así, actualízate.

Pantalla de actualizacion de Windows

Usa un antivirus

Ya tuvimos un post dedicado en exclusiva a este tema. Usar un antivirus nos puede evitar infecciones de multitud de malware. Usa el que quieras, pero usa alguno.

Listado de antivirus de seguridad

Haz Backup, siempre, de todo

El backup es uno de los métodos mas efectivos par a mantener nuestros archivos a salvo, sobre todo cuando nos enfrentamos a casos como el del famoso WannaCry. Unas recomendaciones:

  • Ten siempre el backup a buen recaudo.
  • No lo mantengas conectado al equipo ad eternum. Si te ves afectado por un malware puede afectar también a tus unidades USB.
  • Lo mejor es realizar un copia remota a traves de red, ya sea por ftp, rsync o scp.

Las temidas contraseñas

Las contraseñas son un problemas. Son deficientes desde el mismo momento en que se inventaron, pero de momento son lo mejor que tenemos. La recomendación es usar una diferente para cada servicio.
Lo que siempre me ha funcionado muy bien es usar una frase larga y añadirle el servicio en la que la voy a usar.Por ejemplo, elijo la frase «En un lugar de la Mancha, de cuyo nombre no quiero acordarme». Mi contraseña base o semilla seria euldlmdcnnqa. Supongamos que esta contraseña la vamos a usar para 3 servicios: mi equipo, el correo y facebook. Quedarían así:
euldlmdcnnqamipc
euldlmdcnnqaemail
euldlmdcnnqafb


Ademas, podemos meter símbolos y números como sustituir las S por $ o alternar mayúsculas y minúsculas. Con todo esto nos quedara una contraseña bastante segura. Obviamente, luego tendremos que lidiar con los «Máximo 8 caracteres» o «Solo puede usar minúsculas, % o símbolo de batman», pero eso ya es un tema aparte.

Y lo mas importante: no confíes en nadie.

Es algo que nos enseñan desde pequeños, pero cuando nos ponemos delante de una maquina lo olvidamos. Nadie nos va a dar una fortuna heredada de Nelson Mandela, ni nos ha tocado una lotería que no jugábamos, ni siquiera nos devolverá hacienda algo que no estamos esperando. Si alguien se nos acercara por la calle a contarnos este tipo de historias, seguramente le tomaríamos por un loco. En Internet es igual, no confiéis en nadie.

"Don't believe everything you read on the Internet just because there's a picture with a quote next to it"

Túnel SSH for dummies: Una explicación sencilla

Recientemente uno de mis usuarios me solicitó un script para realizar un túnel SSH desde su casa a través de un servidor «pasarela» para acceder a los servidores internos. Cabe destacar que todos nuestros usuarios son «avanzados», la mayoría son desarrolladores y se mueven con soltura en entornos linux. Sin embargo el tema de los túneles les trae de cabeza. Tanto que solicitan un script cuando tan solo tendrían que ejecutar una línea. De modo que me he decidido a escribir esta entrada para clarificar que es un túnel SSH, que tipos hay y cómo debemos usarlos.
He indagado en varios sitios y en ninguno he logrado encontrar una explicacion facil, de modo que intentaré explicarlo con mis propias palabra y evitando aspectos demasiado técnicos. Esto, como siempre, puede suponer que no todo lo que diga sea técnicamente exacto, pero creo que vale la pena en pro de la claridad.

¿Qué es un túnel SSH?

Para explicar esto, vamos a imaginar una tubería. Este es mi tunel SSH. La tubería lo que hace es unir un origen y un destino para transportar cosas. Dentro de esta tubería podemos transportar agua, gas, petróleo o gazpacho. Aparte de eso, la tubería impide ver a gente que pase por allí que transportamos. Pues bien, el elemento que transportamos sería el protocolo que vamos a usar dentro del túnel SSH(esto ya lo aclararemos después) como puede ser http o ftp. La capacidad de no ver lo que hay en el interior se refiere a que los datos que viajan a través del túnel SSH siempre van cifrados (por el propio SSH) Continuar leyendo «Túnel SSH for dummies: Una explicación sencilla»

El mejor hacker de la historia

Qué es un hacker?

Tras numerosos años de reivindicación de la comunidad hacker española, la RAE acaba de añadir una nueva acepción al termino “hacker”. Hasta hace unas semanas, la única acepción que incluía el diccionario era:

Pirata informático, persona que accede ilegalmente a sistemas informáticos ajenos para apropiárselos u obtener información secreta.

Ahora, se ha incluido una nueva acepción que se asemeja más a la realidad de un hacker:

Persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora.

El pensamiento lateral

Sin embargo, para mí, un hacker no tiene que ver nada con esta acepción. Para definir a un hacker me gusta mucho relacionarlo con el termino “pensamiento lateral”. Según nuestra querida Wikipedia:

El pensamiento lateral (del inglés lateral thinking) es un método de pensamiento que puede ser empleado como una técnica para la resolución de problemas de manera imaginativa.

La idea central es la siguiente: al evaluar un problema existiría la tendencia a seguir un patrón natural o habitual de pensamiento (las sillas son para sentarse, el suelo para caminar, un vaso para ser llenado con un líquido, etc.), lo cual limitaría las soluciones posibles. Con el pensamiento lateral sería posible romper con este patrón rígido, lo que permitiría obtener ideas mucho más creativas e innovadoras para representar todos esos caminos alternativos o desacostumbrados, que permiten la resolución de los problemas de forma indirecta y con un enfoque creativo. En particular, la técnica se basa en que, mediante provocaciones del pensamiento, se haría posible un desvío del camino o patrón habitual del pensamiento.

Continuar leyendo «El mejor hacker de la historia»

HASH: Una de hashes, por favor

Este post es el post 5 de 5 en la serie Serie Criptografia

Hola a todos. Aquí estamos de nuevo. Hoy vamos a hacer un parón en nuestra serie de critografía y vamos a hablar de la funcion hash. Aunque forma parte de la criptografía no se trata de un sistema de cifrado como los que hemos estado viendo en los anteriores post de la serie. Empecemos por el principio.

¿Que es un hash?

Un hash es una función resumen o también llamada digest.  Esta función o algoritmo recibe una cadena de elementos y devuelve otra cadena de longitud fija. La cadena de origen se puede tratar de un archivo, una palabra, una frase o un disco entero. La principal diferencia con un sistema de cifrado es que esta función no tiene inversa, es decir, a partir de un hash no podemos obtener la cadena original, mientras que en los sistemas de cifrados, con el uso de la clave, podíamos recuperar el mensaje original.

¿Y esto vale para algo?

Continuar leyendo «HASH: Una de hashes, por favor»

WannaCry: Un ransomware con algo especial

A veces los acontecimientos nos superan. No tenia pensado hablar de wannacry ni de ningun malware concreto.  Este post llevaba más de un año en mis borradores y no me animaba a dar el paso y terminarlo pero, dadas las situaciones excepcionales de los últimos días, he tenido que hacerlo.

Principalmente lo estaba dejando porque es un tema que requiere de conocimientos más avanzados a los que hemos publicado en el blog. Mi idea es que este blog vaya aumentando el nivel poco a poco. Que vaya sentando unas bases solidas para que tú, el lector, pudiera aprender de verdad sobre seguridad informática. No pretendo que aprendas a ejecutar un metasploit y conseguir una shell sin saber que pasa por debajo.

No obstante, WannaCry ha hecho estragos en muchas empresas internacionales (de momento llevamos mas de 200.000 infecciones). Aunque no ha afectado a usuarios domésticos, se ha creado cierta alarma social. De modo que en este post intentaré por una parte explicar de la forma más sencilla posible qué es un ransomware, comó evitarlo y qué hacer si nos infectamos. Por otra parte, tambien haré un breve análisis de WannaCry. De modo que allá vamos.

¿Qué es WannaCry?

Continuar leyendo «WannaCry: Un ransomware con algo especial»

CTF de FAQin

En el día de hoy vamos a adentrarnos en el divertido mundo de los CTFs. Y nos iniciamos con uno que ha debido llevar bastante trabajo a los creadores, el CTF que permitía la asistencia al FAQin Congress, un congreso de seguridad underground. Desde aquí quiero dar la enhorabuena a los organizadores por un CTF muy currado y muy entretenido (a la par que desesperante en muchas ocasiones).

Empezamos en la web donde nada mas registrarnos recibimos un token como este:

De momento lo dejaremos aparcado ya que no podemos hacer mucho. Generalmente estos tokens se usan para comprobar que has sido tu el que has resuelto el CTF. Continuar leyendo «CTF de FAQin»

Vigenère, el código indescifrable

Este post es el post 4 de 5 en la serie Serie Criptografia

El problema del cifrado César

Vamos a explicar porque el cifrado Vigenère sustituyo al César. Como vimos en el anterior post, el cifrado César no es que ofrezca mucha utilidad en nuestros días ya que por un simple método de fuerza bruta (probar todas las transposiciones posibles) podríamos conseguir el mensaje en claro. Se podría complicar haciendo una transposición asimétrica, es decir, hacer un tabla de correspondencias aleatorias:

A ->F | B->D | C->Z …

Y así hasta completar todas. De esta manera necesitaríamos un análisis de frecuencias para obtener el mensaje. Un análisis de frecuencia es un análisis mediante el cual obtenemos la frecuencia de aparición de cada letra en un mensaje. En español, la frecuencia de distribución de letras es esta:

Continuar leyendo «Vigenère, el código indescifrable»

Criptografía – Al César lo que es del César

Este post es el post 3 de 5 en la serie Serie Criptografia

De Esparta a Roma

Volvemos con nuestra serie de criptografía dando un salto en la historia, pasamos de los antiguos griegos a los romanos, en concreto a la época de Julio Cesar para conocer el cifrado César.

Cayo Julio Cesar, líder militar y político romano, usaba un sistema de cifrado que posteriormente seria llamado cifrado César en su honor. Suetonio ya cita este sistema de cifrado en «Vida de los Césares»

Si tenía que decir algo confidencial, lo escribía usando el cifrado, esto es, cambiando el orden de las letras del alfabeto, para que ni una palabra pudiera entenderse. Si alguien quiere decodificarlo, y entender su significado, debe sustituir la cuarta letra del alfabeto, es decir, la D por la A, y así con las demás.

Continuar leyendo «Criptografía – Al César lo que es del César»

Criptografía – Esto es Esparta

Este post es el post 2 de 5 en la serie Serie Criptografia

Los inicios de la criptografía

Hablemos de criptografía clásica. Nos situamos en el siglo V a.c. en la antigua Grecia, en concreto en Esparta. Debido a las continuas guerras como las guerras medicas las guerras del Peloponeso , los espartanos idearon un sistema de comunicación secreto. Si nos imaginamos, en ese tiempo los mensajes se llevarían en mano. Si un mensajero fuese capturado y el mensaje leído podría ser una ventaja enorme para el enemigo. Supongamos el mensaje «Nosotros atacamos por la derecha y vosotros por la izquierda. Mañana al amanecer, para patear el culo a los persas»(si, hasta aquí llega mi estrategia militar). Si el enemigo lo interviniera tendría la estrategia y podría reorganizar sus tropas. Pero, lo que podría ser peor, no seria que leyera el mensaje. Lo peor sería que pudiera modificarlo y enviarlo al destinatario con un nuevo mensaje como «Rendición absoluta, entregad las armas a vuestro enemigo». Asi nacio la criptografía.

Esparta, cuna de la criptografía

Continuar leyendo «Criptografía – Esto es Esparta»

Criptografía – ¿Criptoque? Una pequeña introducción

Este post es el post 1 de 5 en la serie Serie Criptografia

Nuestro primer contacto con la criptografía

Cuando eramos niños ya conociamos la criptografía, pero no lo sabiamos.

¿Pehopela peapemipegos, pequepetalpetopedo?

¿Se os ha deslizado una lagrimilla de nostalgia?.Supongo que todos, o al menos los que tenemos unos años, hemos mantenido conversaciones «secretas» con nuestro mejor amigo de esta manera. Se trataba de anteponer la silaba ‘pe’ a cada silaba (había otras elaboraciones mas complejas como anteponer ‘pa’ o ‘pi’, incluso algunos se atrevían con ‘pu’). Durante un tiempo nos valía, pero al cabo de unos días todos nuestros compañeros conocían nuestro complicado y secreto lenguaje y había que cambiar el método, como anteponer otra silaba o incluso ir cambiando estas silabas.

Continuar leyendo «Criptografía – ¿Criptoque? Una pequeña introducción»