DaboBlog Podcast, número 32. «Kernel Panic» y «Manzanas Traigo»

Publicado el Por dabo en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

tuxipod.jpgAhora que somos «treintañeros» y después de nuestro segundo aniversario, volvemos de nuevo a la carga con el episodio 32 del podcast. Muchas gracias a todos por el apoyo constante, el feedback que nos llega desde diferentes medios y con gente como vosotros ahí, es mucho más fácil seguir adelante con un proyecto que nos llena tanto como este -;). Dado que «Manzanas Traigo» se grabó el día de la Keynote, no hemos hablado del fallecimiento de Steve Jobs (DEP) , en el próximo,  tendrá su lugar.

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos; (Duración 1,25 h)

> Intro (00:00 hasta el minuto 02:15)

(Por David Hernández, Dabo) Presentación y comentarios sobre este episodio 32.

> Kernel Panic (Minuto 02:16 hasta el 56:18)

En Twitter; Dabo y Diego aka n1mh. (Forat estará en el próximo).

Esta vez a diferencia de otras ocasiones,  Diego y yo no damos un repaso al «estado de nuestras Debian». Hablamos (además del nuevo estado civil de n1mh-;) de información sobre GNU/Linux, cómo lo hacíamos antes y cómo lo hacemos ahora, por ej, hablando de revistas y la calidad de la información, de clientes de Twitter en GNU/Linux, alguna noticia de actualidad, temas de seguridad y cómo el software libre debería estar más presente en las PYMES en lugar de cierto software no actualizado e inseguro.

> Manzanas Traigo (Minuto 56:20 hasta 1:25 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En «Manzanas Traigo» (y van) Gorka Lasa (lur) no esta, a ver si vuelve de la jungla ;D. Este episodio puede catalogarse como ya supondréis un «Keynote con sabor a poco o lo que pudo ser el iPhone 5» con impresiones sobre todas las novedades, en el momento de publicarse este episodio, todo el mundo se está haciendo eco de una noticia, no por esperada, que nos coge a todos por sorpresa, hablo del fallecimiento de Steve Jobs (que no está recogido en el audio) . En este «32» Junto a Oscar Reixa, A. J Pérez.

Seguir leyendo

Sobre mi participación en la «Jornada de Seguridad Informática» de Area Tic

Publicado el Por dabo en Hacking | Redes, Mi Opinión, Seguridad Informatica

Hace unos días, tuve la oportunidad de participar en la «Jornada de Seguridad Informática» organizada por «Area Tic» en Oviedo. Antes que nada, dar las gracias a los impulsores del evento y asistentes por invitarme a asistir y compartir experiencias junto a otros profesionales del sector (Garrigues Abogados, Cobertura Informática y el responsable de delitos telemáticos de la Guardia Civil de Oviedo). Vaya mi más cordial saludo desde aquí.

Mi ponencia tenía una duración de 20 minutos y hablé de (IN) Seguridad en la PYME. Me centré en algún caso vivido en primera persona como puede ser en este blog y el post sobre Gmail, Google Apps y Twitter, como un ejemplo de algo tan de moda como es la «reputación online» y cómo pueden llegar a afectar a empresas tan grandes ciertas opiniones y blogs tan pequeños dentro del «mundo blog» como es este.

También cité algún ejemplo vivido en primera persona bien con las labores de consultoría que llevo a cabo desde davidhernandez.es, o como parte del equipo de APACHEctl llevando el área de Hacking Etico. Hablé de cómo un sólo equipo en red, puede afectar a toda una infraestructura empresarial, convirtiéndola en parte de una botnet en base a una infección que bien podía haber sido evitable tanto por las medidas de protección instaladas (que no eran las adecuadas), como por parte de un empleado víctima de un engaño a través de la descarga de un fichero (visor de vídeo) malicioso. Aquí suscribiría mis palabras de no hace mucho tiempo, acerca del poco interés de las empresas en dotar a sus empleados de una cultura de la seguridad informática que vende menos que el «Social Media» o el Marketing de siempre.

Tuve tiempo para exponer un ejemplo de ataque por «ingeniería social» con el fin de conseguir el código de desbloqueo a un «Smartphone» supuestamente olvidado (haciéndome pasar por alguien de la oficina de objetos perdidos y aprovechando que el móvil tenía un logo corporativo visible aún con el bloqueo), sobre medidas de protección en ese tipo de dispositivos que hoy en día son como una extensión de nuestra oficina, además de otros como lápices de memoria, portátiles, etc.

Para acabar, recordé un caso no muy lejano hablando de auditorías de seguridad, en el que, por cuestiones de la LOPD, un sólo fichero que no estaba donde debía estar, podría comprometer a nivel legal (y cerrar llegado el caso) a una ya no pequeña, sino mediana o gran empresa. También de la LSSICE, etc.

Pero sobre todo, cada vez que vas a un evento de este tipo, te das cuenta de lo complejo que es para cualquier PYME cumplir las diferentes normativas vigentes y más cuando operan en entornos web, algo muy habitual hablando de «Comercio electrónico» y la gran cantidad de empresas que llevan su modelo de negocio a La Red o lo complementan desde una tienda virtual u otros sistemas.

Creo que existe un «vacio» entre la parte legal (diferentes normas ISO, LOPD, etc), técnica (Redes, soluciones anti-malware, software instalado, soporte) y en cómo realizar un plan de actuación «real» ante los diferentes escenarios hablando de seguridad a los que se enfrenta una PYME en la actualidad si nos referimos a la Gestión de la Seguridad de la Información (SGSI).

Y es que, además de intentar cumplir en este caso por ejemplo con la ISO/27001 (que puede servir para todas las series «27000») por aquello de «conseguir la certificación», habría que ir más allá del marco jurídico o de las propias certificaciones para pensar que una empresa que dote de buena formación a sus empleados, tendrá mucho más fácil intentar cumplir con toda la normativa vigente y certificarse de un modo más sólido, pero sobre todo, evitarse «sustos» y de los buenos en medio de esos procesos. De todos es sabido que el eslabón más débil en la cadena de la seguridad es el ser humano, cualquier fleco o cuestión sin pulir puede acarrear a esa empresa multas que según las cuantías, acabarían forzando un «cerrojazo» por no poder afrontarlas.

Creo que no es lo mismo que le digas a un empleado (que no está de más); «Ojo con no poner la opción con copia oculta cuando envías correos masivos que igual nos meten 3.000 € de multa«, a que le enseñes cómo tiene que hacer un uso racional de las nuevas tecnologías. No digamos en puestos como «Recursos Humanos», donde se manejan datos potencialmente críticos si hablamos de la LOPD ¿de qué sirve realizar todos los pasos que dictamina la Agencia de Protección de Datos, si ese empleado no sabe por dónde tiene que navegar o no, que ficheros puede instalar en su equipo, o lo que supone «hacer click» en un enlace que secuestra su sesión de usuario vía un ataque de phishing?

El problema es que cada vez aprietan más a la PYME con normativas y leyes cuasi-imposibles de cumplir (también nos pasa a muchos blogs / webs) en momentos difíciles y se sobrecarga de trabajo a empleados que realizan otras tareas para implementar las correspondientes certificaciones, luego, el resto de la plantilla lo ve como el típico rollo que hay que cumplir «por que sí» y se puede dar el caso de que estén todos los procedimientos escritos, pero, o nadie sepa llegado el caso dónde están, o cómo aplicarlos con efectividad.

Si tienes todos «los deberes hechos» y luego tu extranet está alojada en un servidor potencialmente vulnerable, alguien con responsabilidad en la empresa se conecta a esa extranet desde conexiones que no son seguras o por la primera Wi-Fi que encuentra, el software no está debidamente actualizado, no se cifran los ficheros o datos más comprometedores, en las mesas de los despachos están desde contraseñas de usuario, fichas o datos de clientes al alcance de cualquiera, no se protegen los dispositivos móviles como se debería hacer y no se intentan «romper» mediante una auditoría todas las medidas puestas en marcha, las certificaciones no serán más que bonitos cuadros o estatuillas colocadas en los despachos…

Quizás algún día, la gente empiece a ver la seguridad informática, como un activo hoy en día para la empresa mayor aún que los muchos cursos (sí, a veces obligatorios por parte de multinacionales o franquicias) de ventas, marketing, etc. La (IN) Seguridad es algo «vivo» que va por delante de cualquier certificación o normativa. En un escenario como el actual, la prevención, rapidez de respuesta y formación, pueden ser nuestros mejores aliados. Seguridad «real» y actual como apoyo a las diferentes empresas de certificación / adecuación.

 

El «misterioso» caso de Gmail, Google Apps y Twitter. ¿Casualidad, causalidad o inseguridad?

Publicado el Por dabo en Dabo | Personal, Hacking | Redes, Mi Opinión, Seguridad Informatica, Webmaster

#Disclaimer; Esta entrada debe ser considerada como un post o reflexión seguramente paranoide y bajo ese aviso (cuidando la salud mental de quienes tenéis a bien seguirme;) debe ser leída.

#Actualización, me han llamado hoy 27 de Septiembre desde Google (Irlanda) para aclararme el caso, concretamente la persona que añadió nuestras cuentas (Cristian) dándome una explicación. Lo pongo en los comentarios del post.

El título quizás es algo «novelesco», también buscando quitarle trascendencia a algo que puede ser (como seguramente es) fruto de la casualidad, o para dejar la pregunta final a vuestro criterio. Para responder a esa pregunta; ¿Casualidad, causalidad o inseguridad? os pondré en antecedentes.

Mi colega Salva, mejor «Xsas» para los habituales del blog, y yo (a quien le comenté que quizás escribiría algo sobre el tema entre risas y sensación de «uhmm» -;), nos cruzamos un par de correos hablando de cómo hacer un backup de la cuenta de un cliente con su correo y otros datos funcionando bajo Google Apps (servicio proporcionado por Google).

Aclaro que no hubo conversación previa vía Twitter del tema, sólo por correos electrónicos, en ambos casos cuentas de Gmail / Google Apps lo que viene a ser lo mismo. El detalle de que ni en público ni en privado, comentamos nada en Twitter, tiene su peso para la sensación de «conspi-paranoia» que sufrimos en ese momento ;D.

Bien, hasta ahí todo normal, nuestra «extrañeza» llego cuando pasada más o menos una hora del último envío de correo, nos llegó un aviso casi a la vez, de que la cuenta oficial de Google Apps España nos estaba siguiendo en Twitter…Si os fijáis en la lista de a quien siguen, tal y como se ve en la captura de pantalla, efectivamente están las dos seguidas, primero la mía y luego, la cuenta de Quadux que es de Salva.

Cuando recibimos el aviso de Twitter, casi a la vez, vía mail nos cruzamos un «hostia» ¡Qué casualidad ! y ciertamente aquí puede haber opiniones para todos los gustos, ahí quedan 3 de las muchas opciones posibles.

Como dato adicional, he de decir que hace cerca de un mes escribí en Twitter algo así como «no uses como cuenta de admin tu cuenta personal en Google Apps» (para que, en el caso de un acceso no autorizado, puedas recuperar tu cuenta «normal», aconsejaba hacer otra con un nombre «enrevesado» y administrar Google Apps desde esa). Puse como «hashtag« (#) GoogleApps.

¿Casualidad?

Una mera casualidad, el súper algoritmo «Panda» de Google o los responsables de la cuenta de Google Apps España van buscando temas sobre administración de sistemas, la gestión de cuentas de Google, «hastags» o menciones que contengan «GoogleApps», etc y encuentran lo que escribí en Twitter sobre Google Apps, «ven» la relación entre la cuenta de Salva y la mía y nos siguen a ambos. Sería lo normal pero ¡ qué casualidad ! que sea después de los mails. Aunque de eso van las casualidades ¿no?

¿Causalidad?

Causa-efecto. En los dos mails que nos enviamos, Salva y yo estábamos usando cuentas de Gmail / Google Apps, como dentro de los mensajes se hacía mención a Google Apps, su súper algoritmo (modo <conspi-paranoide> ON ;) rastrea las palabras, el mensaje viaja por Matrix y llega a «su sitio» en Google, acto seguido, (en una hora) nos sigue su cuenta de Google Apps España en Twitter. Sería algo muy factible en lo técnico a la par que más que censurable en cuanto a la privacidad.

¿Inseguridad?

 Este último punto vendría a colación si la respuesta fuese «causalidad«. Muchas veces, comentamos la gran cantidad de datos que maneja Google sobre todos nosotros (y muchas otras empresas) así como de los usos que hacen de datos «cruzados» las compañías. Bien para ofrecernos algún servicio determinado, saber nuestras preferencias de navegación, lugares visitados, etc (aquí se podría hablar de las cookies). Aunque no es menos cierto, que el administrador de tu correo, también puede leerlo sin llamarse Google…

Os comento que esta entrada ha estado como «borrador» durante unos días, esperando a que pasase un poco el tiempo para intentar quitarle trascendencia, sólo con el título escrito y con todos los papeles de no pasar de «borrador». Pero también que, aún con las risas que nos echamos Salva y yo respecto a lo sucedido, uno se queda con «la mosca detrás de la oreja» como se suele decir. Si me preguntáis sobre mi respuesta, diría que claramente se trata de una casualidad, pero en este negocio de «los unos y ceros«, hay artistas (del código-;) que pueden convertir las «casualidades» en inquietantes «realidades» (y viceversa).

 

DaboBlog Podcast, número 31. «Kernel Panic» y «Manzanas Traigo».

Publicado el Por dabo en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

tuxipod.jpgAquí estamos de nuevo a la carga con la entrega número 31 del podcast. Es para nuestra pequeña historia en Internet quizás un episodio muy especial ya que cumplimos 2 años como podcast y una vez más hay que dar las gracias a todos los que estáis ahí, con mención especial al equipazo de colegas habituales, junto a los de los «especiales» que lo han hecho posible.

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos en esta entrega (Duración 2,14 h)

> Intro (00:00 hasta el minuto 03:40)

(Por David Hernández, Dabo) Comentarios sobre este episodio 31 y los 2 años de podcast.

> Kernel Panic (Minuto 3:40 hasta 1h:08 m)

En Twitter; Dabo y Forat  (Diego aka n1mh estará en el próximo, por cierto, felicidades por su boda !).

En esta entrega Forat y yo hablamos de las experiencias con su nuevo equipo y GNU/Linux, de su aceptación cada vez mayor al uso de Ubuntu con Unity, de sus diferencias con GNOME o KDE y de las diferentes fases que puede pasar un usuario con sus equipos y sistemas. Inevitable la mención a la futura versión de Ubuntu (11.10) que saldrá el 13 de Octubre.

Damos un repaso a noticias y temas que han sido de interés en el mundillo durante el pasado mes de Agosto para los que estáis con «la cuesta de Septiembre», hay un espacio dedicado a las recomendaciones a otros blogs y sobre todo el gran Forat «en estado puro» ;D.

Dentro de unos días saldrá un especial Debian y Fluxbox, hablando de otros gestores de ventanas con el amigo Debish.

> Manzanas Traigo (1:09 h hasta 2:14 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En «Manzanas Traigo» obviamente la baja de Steve Jobs como C.E.O de Apple tiene su protagonismo (también la baja de «lur», a ver si el jodio regresa del «limbo»;) y en este episodio 31 nos hacemos eco con opiniones «para todos los gustos». Seguimos hablando de «Lion», también de noticias, novedades sobre Hardware y lo que está por venir (iPhone5, MacBook Pro) y cómo hacer que el botón «home» de tu iPhone «reviva».

Damos un repaso a aplicaciones para Mac o IOS y descubrimos como a Oreixa sólo le dan confianza «los Noruegos» hablando del tiempo que vamos a tener, a falta de las «manzanas» de lur, estrenamos una sección protagonizada por AJ con el nombre de «No te gastes la pasta en» (aunque sean gratuitas, que el tiempo también es dinero-;).  Junto a Oscar Reixa, A. J Pérez.

Seguir leyendo

Con seguridad (informática), si estás cansado, no lo hagas. Y si lo haces…

Publicado el Por dabo en Dabo | Personal, GNU/Linux, Mi Opinión, Seguridad Informatica, Webmaster

Que nuestro mayor enemigo somos a veces nosotros mismos no es nada nuevo, aquí en DaboBlog no es la primera vez que hablo de ello. Que hay veces en las que las cosas no salen como queremos y pasado un tiempo acaban saliendo, también es algo de todos conocido. Murphy y su Ley están ahí, esperando el momento justo para «justamente» mandar al carajo ese trabajo que tanto te importa. Es por ello el; «si estás cansado, no lo hagas. Y si lo haces…» con precaución.

A lo largo de estos años, he podido comprobar que el cansancio, las preocupaciones externas y esa mitificada (pero ciertamente real) falta de sueño que suele acompañar a desarrolladores, administradores de sistemas o alguien que lleva adelante un proyecto web, son factores que afectan a nuestro rendimiento y se multiplican exponencialmente en situaciones «críticas». No digamos si a eso le sumas que puedas estar enfermo o tomando alguna medicación que merme tus facultades.

No voy a hacer un pseudo estudio barato de psicología, pero la experiencia me dice que hay veces en las que por mucho que queramos avanzar, nuestra mente está perezosa y por mucha cafeína que te metas en vena, salvo algún «pico» de lucidez, es mejor hacer un «suspend to RAM« al equipo y a tu cabeza, para pasado un tiempo, volver a ello con más fuerza y seguridad.

En mi caso, dentro los trabajos que realizo administrando servidores web, bien sea en tareas de mantenimiento o actualizaciones del sistema, como en cuestiones de seguridad que a diario debo afrontar dentro de APACHEctl (Implementación de un IDS, Firewall, auditorías, tests de intrusión, análisis de logs, etc) me encuentro a veces con esas situaciones un tanto «críticas» que comentaba en las que hay terceros que pueden verse afectados por un fallo y nadie está libre de ello. Lo importante es intentar evitarlo a toda costa y si nos sobreviene, tener un buen «plan B» para aplicarlo con rapidez.

Hay algo muy bueno cuando estás trabajando con una línea de comandos, la falta de una capa gráfica que puede abstraerte de tu verdadero fin ayuda a concentrarse, también que si fallas, lo puedes ver al momento. No he visto a muchos terminales equivocándose. Tampoco soy la persona más indicada para dar consejos a nadie, pero quizás encuentras algo aplicable a tu forma de trabajar en estas líneas.

# Algún consejo…
Seguir leyendo

«Seguridad Por Niveles», el libro. Descarga gratuita en PDF (700 pag).

Publicado el Por dabo en Hacking | Redes, Prensa | Libros, Seguridad Informatica, Tutoriales | Guías

Cuando el amigo Alejandro Corletti te envía un e-mail, ya sabes que es sinónimo de buen material. Tanto aquí como en Daboweb, más de una vez nos hemos hecho eco de sus trabajos y el que hoy os recomiendo, es sencillamente impresionante. En este caso con un prólogo y presentación firmado por Arturo Ribagorda Garnacho y Jorge Ramió Aguirre.

En el libro «Seguridad por niveles» (Con licencia Copyleft) se da un excelente repaso a lo que alguien interesado en redes o seguridad informática puede necesitar, desde las capas más bajas del sistema (Modelos OSI, DARPA, etc) a las más altas, desgranando el protocolo TCP-IP, pasando por el análisis de tráfico de red (algo que hace muy bien nuestro gran colaborador y redactor de Daboweb Alfon de «Seguridad y Redes«) con herramientas como Wireshark, tcpdump, etc además de introducirnos en el mundo de los «sniffers». Hablando de estos temas, puedes ver el gran trabajo que está realizando Alfon en Daboweb desde este enlace con su saga «Análisis de capturas de Red«.

En el libro también se habla también de; ARP, ICMP, IGMP, DHCP, IPV6, DNS, Telnet, FTP, SSH, SMTP, SSL-TLS, los Honey Pots, Criptografía, PKI, etc, además de cómo se pueden detectar vulnerabilidades en estos protocolos así como los procesos por los cuales se pueden ver comprometidos (ARP o DNS Spoof).

Hay un capítulo dedicado a los IDS (Sistemas de detección de intrusiones) y no podían faltar en un libro como este herramientas Open Source tan populares y efectivas como Snort, Nikto, OpenSSH, Netcat, Nmap, Iptables y un largo etc.

Al final del libro podrás encontrarte con capítulos en los que se habla de auditorías de seguridad, la familia ISO 27000 (sistema de gestión de la seguridad de la información), IPsec o lo que es un Plan de Continuidad de Negocio.

En definitiva, una guía bajo mi punto de vista que resume muchos aspectos imprescindibles para aficionados y profesionales tanto de la gestión de sistemas, redes o seguridad desde la base hasta niveles más altos en cuestiones técnicas.

Muchas gracias Alejandro una vez más por tu aportación a la comunidad, la forma de distribuir tu libro y tu profesionalidad -;).

Acceso a la información sobre el libro en darfe.es

Descarga directa del libro en PDF (709 páginas, 22 mb).

 

¿Seguridad en la nube? ¿o será en Internet? El de toda la vida, vaya.

Publicado el Por dabo en Mi Opinión, Seguridad Informatica

Todos caemos muchas veces en un exceso de «modernidad digital» (acusado por la movida «2.0») en un intento por reinventar una rueda con muchos kilómetros a sus espaldas como puede ser Internet, pero también buscando más opciones de negocio.

Que yo recuerde, hace unos cuantos años, (eso sí, no teníamos las interfaces actuales) muchos ya usábamos eso de la «sincronización«, por ejemplo en móviles como aquél Nokia que tenía bajo Symbian creando cuentas de correo por IMAP.

Lo de la «geolocalización« ya viene desde los tiempos ¿Os suena eso de la dirección IP?, claro que sí, también lo de los proxys y cómo evitar dejar rastros allí por dónde navegas. Si nos vamos a los servidores web, ahora los llaman «On Cloud», pero la información, aún siendo en máquinas virtuales, que se redimensionan a golpe de click, donde los discos duros y los Kernels se cargan vía red, etc, sigue estando en un datacenter y por ende, se accede vía SSH o FTP, pero ojo, la virtualización también es algo con muchos años de vida.

Cuando no había «Redes Sociales» estaban las BBS, el IRC o los foros, con diferentes formas de compartir la información y dejar tus datos más o menos expuestos (nombres de usuario, correos, imágenes). En mi caso, sólo diferencio la ubicación de los datos, dependiendo de si están en mi casa o en algún servidor/servicio web, lo de «la nube», no deja de ser casi un «gentilicio» en un afán de querer llamar de otro modo a casi lo mismo en cuanto a cuestiones de acceso y almacenamiento.

Siguiendo con el tema de los «enlaces maliciosos» de las Redes Sociales, ¿Quién no recuerda por poner un ejemplo, hace unos cuantos años cuando te llegaba un link asociado a algún tipo de malware en el programa de mensajería de turno? (Podía ser MSN Messenger en sus tiempos de «esplendor»), luego te dabas cuenta de que mucha gente se lo comía «con patatas» cuando tu bandeja de correo de entrada se llenaba de virus provenientes de las direcciones de correo del afectado.

Los ataques por «ingeniería social» o «phishing» buscando a través del engaño y la confianza del usuario al hacer click en uno de esos enlaces a los que aludía son algo también de tiempos pasados, eso de «prudencia y sentido común» sigue siendo válido para tiempos presentes…

Lo que sí está claro que cambia es la variedad de servicios web que usamos, al igual que los dispositivos desde los que nos conectamos. No podemos negar esa evidencia y si hace unos días hablé de las cuentas «huérfanas» o «mal creadas», hoy tocaría decir algo como «Toma las precauciones de toda la vida a nivel general, y las más concretas en servicios puntuales».

Créeme, al final todo se reduce casi a lo mismo. Passwords sólidos con una frecuencia de cambio adecuada dependiendo del servicio y nombres de usuario que no te identifiquen o se encuentren en listas creadas para realizar ataques por fuerza bruta. Usa SSL (ojo que en Gmail sigue siendo una opción) en todo lo que puedas, conéctate por SFTP en lugar de por FTP a tu sitio web o server (VPS, Dedicado u «On Cloud»).

Protege con sistemas de bloqueo, localización y borrado remoto tus dispositivos móviles, también los discos duros de tus equipos, llaves USB o tu información almacenada en «la nube» (el Dropbox de turno) con cifrados de todo tipo y no te olvides que la cadena de la seguridad, se puede romper a unos metros de ti, en la configuración de tu router wi-fi por ejemplo y un etc que, sería quizás un tanto largo para este post. Si estás empezando a preocuparte por la seguridad te recomiendo nuestra sección «Seguridad básica» en Daboweb.

A veces me pregunto si «estamos en la nube» o «nos vamos por las nubes», (antes se decía «por las ramas»).

¿Cómo afectan a tu seguridad las cuentas de usuario «huérfanas» o «mal creadas»?

Publicado el Por dabo en Hacking | Redes, Mi Opinión, Seguridad Informatica

Sobre estos temas suelo escribir más en Daboweb, pero también aquí en DaboBlog les presto atención, por mucho que a veces pueda sonar a algo un tanto recurrente. Podíamos llamar «huérfana« a esa cuenta que abriste «ese día» para «aquel servicio» y salvo un para de veces, no lo volviste a usar. Es un error muy común en el que todos acabamos cayendo alguna vez, el problema es que te olvidas y un día ves tu correo y password publicados en algún lugar como «Pastebin Leaks»

Cierto es que quizás ahora tus passwords son más sólidos que en esa época, quizás tu correo también ha cambiado,  pero no está de más rebuscar y volver un poco atrás en el tiempo para cerrar registros en algún caso, cambiar esas viejas k0ntrA$3ñ@$ (un pequeño ejemplo) o replantearte si ese registro está realizado adecuadamente (de ahí lo de «mal creadas«). Vamos a desarrollar un poco el tema…

Hace unos días, en mi cuenta de Twitter dejé a modo de consejo un;

«No uses como cuenta administrativa de Google Apps tu cuenta habitual o pública«.

¿Los motivos? en el caso de que tu cuenta se vea comprometida siempre tendrás otro usuario como admin (créalo con un nombre totalmente imposible de relacionarlo contigo) para poder en un momento de urgencia, cambiar rápidamente el password, o recuperar la cuenta.

Otra de las ventajas de Google Apps, es que no se puede recuperar un password vía la opción de recuperación de Gmail, sólo el administrador puede, por lo que creo que queda claro el motivo de usar una cuenta sin privilegios y otra para administrar (tal y cómo haríamos en nuestros equipos).

Quizás a eso me refiero con lo de «replantearte si ese registro está realizado adecuadamente». Pero vamos a ir algo más allá, muchos problemas de seguridad de usuarios con una actividad media/baja en Internet, pero que afectan más a gente con perfiles un tanto ¿públicos? o relevantes (tienes una comunidad a tu cargo, blog de peso, foro o empresa), se verían reducidos si al realizar los registros en el «servicio 2.0 de turno», se utilizase una cuenta de correo electrónico que no pueda ser asociada a tu persona en el caso de que los datos de esa cuenta (de PayPal por citar un ejemplo) acaben siendo públicos.

¿Las razones para ello? obviamente si lo piensas desde un punto de vista lógico, no es lo mismo que acabe siendo expuesta [email protected] y un password determinado (que sí, obviamente te puede generar un problema) a que se vea expuesto tu «nick» o «nombre de guerra» (incluso el real, como ejemplo Google +) en La Red, junto a un correo que te identifique y un password…

La cadena de problemas que pueden surgir a partir de cuestiones como esta, puede ser larga y complicada para quien lo padece. Hablando de particulares, la posible explotación de otros servicios web caso de que uséis el mismo password o e-mail (algo totalmente desaconsejable, pero aún a sabiendas de ello, por pereza le pasa a mucha gente). También lo que ahora se llama «pérdida de reputación online«, hablando de empresas pero también de usuarios con proyectos en los que participan terceros, etc.

Y aquí podríamos recordar también la necesidad de que los «correos de recuperación» no se elijan a la ligera, puedes llegar a sorprenderte si revisas como fue mi caso cuentas que tenían más de 5 años. Está claro que a nadie le agrada «parar» y dejar de hacer lo que te gusta para ponerte a revisar cuentas, servicios, passwords, correos, etc, pero una vez que lo vas haciendo, te vas dando cuenta que tu seguridad va en aumento. Eso sí, aquí nadie está libre de pasar un día por ello, la cuestión que si se da el caso, el impacto sea el mínimo posible (quien suscribe/escribe el primero -;).