Seguridad en internet: 5 consejos para mejorarla

Aunque no queramos, al usar un ordenador, una tablet o una smart tv nos estamos exponiendo a unos peligros inherentes a la propia tecnología. Tenemos que aprender una reglas mínimas para sobrevivir en este mundo. al igual que no cruzamos una calle si el semáforo esta en rojo (o al menos miramos si vienen coches) el mundo de la tecnología tiene sus propias reglas y sus propias herramientas para mantener una mínima seguridad.
A continuación, os damos 5 consejos para limitar mucho vuestra exposición a problemas de seguridad.

Actualízate

Actualizar mas tarde”, “Ahora no”, “Recordar la semana que viene”. Ante este cotidiano gesto para evitar el parar con lo que estamos haciendo se esconde un gran problema de seguridad. Cuando nuestro sistema operativo, nuestras aplicaciones de móviles, nuestra television… nos solicitan una actualización, generalmente incluye parches de seguridad.
Estos parches solucionan problemas de nuestros dispositivos, que pueden ir desde ejecución de aplicaciones no solicitadas hasta el acceso por parte de ciberdelincuentes (mal llamados hackers) a nuestra máquina. De modo que la próxima vez que te salga un cartel así, actualízate.

Pantalla de actualizacion de Windows

Usa un antivirus

Ya tuvimos un post dedicado en exclusiva a este tema. Usar un antivirus nos puede evitar infecciones de multitud de malware. Usa el que quieras, pero usa alguno.

Listado de antivirus de seguridad

Haz Backup, siempre, de todo

El backup es uno de los métodos mas efectivos par a mantener nuestros archivos a salvo, sobre todo cuando nos enfrentamos a casos como el del famoso WannaCry. Unas recomendaciones:

  • Ten siempre el backup a buen recaudo.
  • No lo mantengas conectado al equipo ad eternum. Si te ves afectado por un malware puede afectar también a tus unidades USB.
  • Lo mejor es realizar un copia remota a traves de red, ya sea por ftp, rsync o scp.

Las temidas contraseñas

Las contraseñas son un problemas. Son deficientes desde el mismo momento en que se inventaron, pero de momento son lo mejor que tenemos. La recomendación es usar una diferente para cada servicio.
Lo que siempre me ha funcionado muy bien es usar una frase larga y añadirle el servicio en la que la voy a usar.Por ejemplo, elijo la frase “En un lugar de la Mancha, de cuyo nombre no quiero acordarme”. Mi contraseña base o semilla seria euldlmdcnnqa. Supongamos que esta contraseña la vamos a usar para 3 servicios: mi equipo, el correo y facebook. Quedarían así:
euldlmdcnnqamipc
euldlmdcnnqaemail
euldlmdcnnqafb


Ademas, podemos meter símbolos y números como sustituir las S por $ o alternar mayúsculas y minúsculas. Con todo esto nos quedara una contraseña bastante segura. Obviamente, luego tendremos que lidiar con los “Máximo 8 caracteres” o “Solo puede usar minúsculas, % o símbolo de batman”, pero eso ya es un tema aparte.

Y lo mas importante: no confíes en nadie.

Es algo que nos enseñan desde pequeños, pero cuando nos ponemos delante de una maquina lo olvidamos. Nadie nos va a dar una fortuna heredada de Nelson Mandela, ni nos ha tocado una lotería que no jugábamos, ni siquiera nos devolverá hacienda algo que no estamos esperando. Si alguien se nos acercara por la calle a contarnos este tipo de historias, seguramente le tomaríamos por un loco. En Internet es igual, no confiéis en nadie.

"Don't believe everything you read on the Internet just because there's a picture with a quote next to it"

Túnel SSH for dummies: Una explicación sencilla

Recientemente uno de mis usuarios me solicitó un script para realizar un túnel SSH desde su casa a través de un servidor “pasarela” para acceder a los servidores internos. Cabe destacar que todos nuestros usuarios son “avanzados”, la mayoría son desarrolladores y se mueven con soltura en entornos linux. Sin embargo el tema de los túneles les trae de cabeza. Tanto que solicitan un script cuando tan solo tendrían que ejecutar una línea. De modo que me he decidido a escribir esta entrada para clarificar que es un túnel SSH, que tipos hay y cómo debemos usarlos.
He indagado en varios sitios y en ninguno he logrado encontrar una explicacion facil, de modo que intentaré explicarlo con mis propias palabra y evitando aspectos demasiado técnicos. Esto, como siempre, puede suponer que no todo lo que diga sea técnicamente exacto, pero creo que vale la pena en pro de la claridad.

¿Qué es un túnel SSH?

Para explicar esto, vamos a imaginar una tubería. Este es mi tunel SSH. La tubería lo que hace es unir un origen y un destino para transportar cosas. Dentro de esta tubería podemos transportar agua, gas, petróleo o gazpacho. Aparte de eso, la tubería impide ver a gente que pase por allí que transportamos. Pues bien, el elemento que transportamos sería el protocolo que vamos a usar dentro del túnel SSH(esto ya lo aclararemos después) como puede ser http o ftp. La capacidad de no ver lo que hay en el interior se refiere a que los datos que viajan a través del túnel SSH siempre van cifrados (por el propio SSH) Continuar leyendo “Túnel SSH for dummies: Una explicación sencilla”

CTF de FAQin

En el día de hoy vamos a adentrarnos en el divertido mundo de los CTFs. Y nos iniciamos con uno que ha debido llevar bastante trabajo a los creadores, el CTF que permitía la asistencia al FAQin Congress, un congreso de seguridad underground. Desde aquí quiero dar la enhorabuena a los organizadores por un CTF muy currado y muy entretenido (a la par que desesperante en muchas ocasiones).

Empezamos en la web donde nada mas registrarnos recibimos un token como este:

De momento lo dejaremos aparcado ya que no podemos hacer mucho. Generalmente estos tokens se usan para comprobar que has sido tu el que has resuelto el CTF. Continuar leyendo “CTF de FAQin”

Metasploitable – VSFTP Parte II

Este post es el post 3 de 3 en la serie Serie Metasploitable

Continuamos con nuestra serie de Metasploitable, en concreto con el servidor vsftpd que encontramos en la anterior entrega.

En el último post aprendimos como detectar la versión de los servicios que estaban corriendo en la máquina metasploitable y como usar metasploit para buscar y utilizar exploits ya configurados en la herramienta.

En este post vamos a realizar el mismo ataque pero de forma manual. Adelanto ya que es una backdoor muy fácil de explotar pero estamos empezando y lo mas importante es el proceso en si más que la vulnerabilidad.

Continuar leyendo “Metasploitable – VSFTP Parte II”

Antivirus ¿Vale la pena?

Absolutamente si, un antivirus es necesario sin discusión. Hala, post terminado, chapamos y listo….

Voy a intentar extender esto un poco mas, que acabo de empezar con el blog y no es plan de ir ahuyentando a los pocos lectores que tengo.

¿Que es un antivirus?

El antivirus cumple una función esencial en la seguridad que es controlar lo ya conocido. Por eso con frecuencia se dice que no valen para nada. Cuando sale un malware nuevo podemos ser infectados ya que nuestro antivirus no lo reconoce.

Continuar leyendo “Antivirus ¿Vale la pena?”