Notes informatives protecció de dades, del mes de Novembre, enviades per l’empresa assessora en protecció de dades:
- Nota Informativa sobre la ciberseguretat en les aplicacions.
- Nota Informativa sobre la ciberseguretat a internet.
1. Nota Informativa, ciberseguridad sobre aplicaciones.
El CCN-CERT (Centro Criptológico Nacional) en el documento
titulado “principios y recomendaciones sobre ciberseguridad”, dedica un apartado a la aplicaciones.
La instalación de programas puede afectar al rendimiento y la
seguridad de los dispositivos/equipos. Debe mantenerse la integridad de los mismos y siempre hay que instalar software autorizado y proporcionado directamente por el fabricante.
• El empleo de software legal ofrece garantía y soporte, con
independencia de las implicaciones legales de utilizar software no legítimo.
• Certificación del programa para su compatibilidad con el sistema operativo y las demás aplicaciones.
• Instalación y mantenimiento de parches y actualizaciones de seguridad, con especial atención a aquellas de carácter crítico (en los últimos meses la no actualización de los programas ha provocado numerosas brechas de seguridad).
• Considerar la superficie de exposición asociada a los sistemas heredados (legacy), especialmente aquellos que tienen más de una década de antigüedad por su extremada vulnerabilidad.
Los usuarios deben ser conscientes de que la introducción de software no autorizado puede causar la infección del sistema más protegido.
Como buenas prácticas se indica lo siguiente:
• Trabajar habitualmente en el sistema como usuario sin
privilegios, no como “Administrador”.
• No ejecutar nunca programas de origen dudoso o desconocido.
• Si se emplea un paquete de software ofimático capaz de ejecutar macros, hay que asegurarse de que esté desactivada su ejecución automática.
En cuanto a la impresión de documentos, hay que ser conscientes de que los documentos y transacciones impresas son susceptibles de violaciones de la seguridad. Por lo tanto, resulta fundamental emplear buenas prácticas para cumplir la normativa existente en cada entidad y que la información impresa sea segura y no accesible por personal no autorizado.
1. CIFRADO DE DATOS
Cifrar los datos significa convertir texto plano en texto ilegible, denominado texto cifrado, evitando que la información sea accesible por terceros no autorizados. Para lo cual, se necesita de un algoritmo de cifrado y la existencia de una clave, que permite realizar el proceso de transformación de los datos y que debe mantenerse en secreto.
Existen múltiples soluciones comerciales4 para cifrar los equipos informáticos, clasificables en tres (3) tipos atendiendo al nivel en el que actúan en el sistema de archivos:
• Cifrado de disco
Es una tecnología que cifra el disco por completo, de esta manera el sistema operativo se encarga de descifrar la información cuando el usuario la solicita.
• Cifrado de carpetas
El cifrado se realiza a nivel de carpeta. El sistema de cifrado se encargará de cifrar y descifrar la información cuando se utiliza la carpeta protegida.
• Cifrado de documentos
El sistema se encarga de mostrar y permitir el acceso al documento solo para los usuarios autorizados, haciendo ilegible el contenido a los no autorizados.
2. CORTAFUEGOS PERSONALES
Los cortafuegos personales o firewalls son programas que monitorizan las conexiones entrantes y salientes del equipo. Están diseñados para bloquear el acceso no autorizado al mismo, pero permitiendo al mismo tiempo las comunicaciones autorizadas. Lo más complicado de un cortafuegos es configurarlo correctamente, de modo que no se bloqueen las conexiones legítimas (navegación web, actualizaciones,
correo electrónico, etc.).
Como criterio genérico, no se deben permitir las conexiones de fuentes desconocidas. Por tanto, deben bloquear todas las conexiones entrantes y sólo permitir aquellas que se indiquen expresamente sobre la base de un conjunto de normas y criterios establecidos. Un cortafuegos correctamente configurado añade una protección necesaria que dificulta los movimientos laterales no autorizados por la red, pero que en ningún caso debe considerarse como suficiente.
3. APLICACIONES ANTIMALWARE
Entre las acciones que puede provocar un código malicioso o malware se encuentran: borrado o alteración de archivos, consumo de recursos del equipo, acceso no autorizado a archivos, infección remota de los equipos, etc.
Las funciones mínimas que se pueden esperar en una buena
herramienta antimalware6 (más conocidas por antivirus) son las de filtrado entrante y saliente de contenidos maliciosos, protección en el correo electrónico, en la navegación y en las conexiones de todo tipo en redes profesionales o domésticas. También deben ser capaces de analizar los ficheros en dispositivos removibles como discos externos o memorias USB y permitir programar análisis exhaustivos cada cierto
tiempo.
Las aplicaciones antimalware deben disponer de actualizaciones regulares (últimas definiciones y motores de búsqueda) y ser productos de casas comerciales de confianza que permitan una combinación de los siguientes métodos:
• Escáner de acceso: permite examinar los archivos cuando son abiertos.
• Escáner a demanda: análisis en base a un calendario establecido.
• Escáner de correos electrónicos: en dispositivos de protección de perímetro o servidores de correo.
• Control de firmas: permite detectar cambios no legítimos en el contenido de un archivo.
• Métodos heurísticos: búsqueda de anomalías en los archivos y procesos en base a experiencias previas de comportamiento del malware.
Pero, una aplicación antimalware sola no es suficiente; hay que proporcionar un enfoque centralizado (cliente-servidor) para proteger todos los puntos finales (servidores, sobremesas, portátiles, teléfonos inteligentes, etc.) conectados a la red. Algunos proveedores ofrecen
sistemas de Endpoint Security que incluyen antivirus, cortafuegos y otro software de seguridad.
4. BORRADO SEGURO DE DATOS
Se puede pensar que un simple formateo del disco duro impedirá que los datos almacenados en el mismo puedan ser recuperados. Sin embargo, hay aplicaciones que permiten deshacer el formateo de una unidad existiendo incluso métodos para recuperar los datos de los discos, aunque estos hayan sido sobrescritos.
Si se quiere garantizar que no se está distribuyendo información sensible, se deben sobrescribir los datos siguiendo un método (patrón de borrado) que no permita su recuperación de modo alguno.
Para tal fin, es necesario realizar diversas pasadas de escritura sobre cada uno de los sectores donde se almacena la información. Para simplificar la tarea, lo más sencillo es utilizar alguna aplicación especializada que permita eliminar la información de forma sencilla.
En el caso de fotografías digitales, archivos de audio o vídeo y
documentos ofimáticos existen metadatos que pueden almacenar información oculta y no visible usando la configuración estándar de las aplicaciones, necesitando de una configuración específica o incluso un software concreto para revelar esos datos.
Estos metadatos son útiles ya que facilitan la búsqueda de información, posibilitan la interoperabilidad entre organizaciones, proveen la identificación digital y dan soporte a la gestión del ciclo de vida de los documentos.
Sin embargo, el borrado de metadatos o datos ocultos mediante procedimientos y herramientas de revisión y limpieza de documentos/archivos es fundamental para minimizar el riesgo de que se revele información sensible en el almacenamiento e intercambio de información.
2. Nota Informativa, ciberseguridad sobre navegación segura.
El CCN-CERT (Centro Criptológico Nacional) en el documento
titulado “principios y recomendaciones sobre ciberseguridad”, dedica un apartado a la navegación segura.
La comunicación en Internet se sustenta en una idea básica: clientes (ordenadores, teléfonos, tabletas,…) llaman a servidores (web, bases de datos…) que proporcionan (sirven) información. Esta comunicación se lleva a cabo a través de un protocolo (http, https9, ftp, etc.).
El cliente está identificado en la red a través de una dirección IP (TCP/IP) y cada vez que se conecta a un sitio web, éste conoce automáticamente la dirección IP, nombre de máquina, la página de procedencia, etc. Se produce un intercambio de información que habitualmente no es visible donde el navegador web es el que facilita la mayoría de estos datos.
• Un alto porcentaje de los usuarios no es consciente de la cantidad de información que, de forma inadvertida e involuntaria, está revelando a terceros al hacer uso de Internet.
• Cada vez que se visita un sitio web, se suministra de forma
rutinaria una información que puede ser archivada por el administrador del sitio.
• Al sitio web le resulta trivial averiguar la dirección de Internet de la máquina desde la que se está accediendo, sistema operativo, etc.
• Con ayuda de las “cookies” se puede personalizar aún más la información recabada acerca de los visitantes, registrando las páginas más visitadas, preferencias, tiempo de la visita, software instalado, etc.
Un navegador web, en favor de la máxima usabilidad, permite que se acceda a información aparentemente inofensiva.
• La dirección IP pública con que se conecta el usuario.
o Tu dirección IP es xxx.xxx.xxx.xxx.
o Tu navegador está utilizando 128 bits de clave secreta SSL.
o El servidor está utilizando 1024 bits de clave pública SSL.
• La resolución de la pantalla.
• Qué páginas se leen y cuáles no, qué figuras se miran, cuántas páginas se han visitado, cuál fue el sitio recientemente visitado “Referer”.
• El valor del campo “User-Agent”.
o Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101
Firefox/16.0
• El idioma y zona GMT del sistema operativo.
• Si se aceptan o no “cookies”.
• Las fuentes cargadas en el sistema o plugins instalados y
activados.
Algunas recomendaciones para mantener una navegación segura son:
• Acceder únicamente a sitios de confianza.
• Mantener actualizado el navegador a la última versión disponible del fabricante.
• Configurar el nivel de seguridad del navegador según sus
preferencias.
• Descargar los programas desde sitios oficiales para evitar
suplantaciones maliciosas.
• Configurar el navegador para evitar ventanas emergentes.
• Utilizar un usuario sin permisos de “Administrador” para navegar por Internet e impedir la instalación de programas y cambios en los valores del sistema.
• Borrar las “cookies”, los ficheros temporales y el historial cuando se utilicen equipos ajenos para no dejar rastro de la navegación.
• Desactivar la posibilidad “script” en navegadores web, como
Firefox (NoScript) o Chrome (NotScript), para prevenir la ejecución de los mismos por parte de dominios desconocidos.
• Se recomienda hacer uso de HTTPS (SSL/TLS) frente a HTTP
incluso para aquellos servicios que no manejen información sensible.
Algunas funcionalidades como HSTS y extensiones como HTTPS Everywhere servirán de gran ayuda para garantizar el uso preferente de HTTPS sobre HTTP durante la navegación web.
• En la medida de lo posible, emplear máquinas virtuales para
navegar por Internet.
Además, hay que tener en cuenta que los sistemas de navegación anónima permiten el uso de algunos servicios de Internet, principalmente los basados en navegación web (http/https), de forma desvinculada de la dirección IP origen de la comunicación.
• Anonimizadores.
o Actúan como un filtro entre el navegador y sitio web que se desea visitar.
o Al conectarse al anonimizador, se introduce la URL a visitar y entonces éste se adentra en la red filtrando cookies, javascripts, etc.
• Servidores Proxy.
o Un servidor proxy actúa de pasarela entre la máquina cliente e Internet.
o El servidor proxy actúa de intermediario, se encarga de recuperar las páginas web en lugar del usuario que navega.
• Túneles de Cifrado (TOR, VPS y Darknets).
o Red de “túneles” por las cuales los datos de navegación,
debidamente cifrados, atraviesan múltiples nodos hasta llegar a su destino.