Seguridad de las contraseñas

Transcripción

1 Este trabajo fue originalmente desarrollado por CERT.br, parte de NIC.br, con el obje<vo de promover la concien<zación sobre el uso seguro de Internet y se basa en la Car<lla de Seguridad para Internet (hdp://car<lla.cert.br/). Esta obra se encuentra bajo la licencia Crea<ve Commons Reconocimiento- No comercial- Compar<r bajo la misma licencia 3.0 Brasil (CC BY- NC- SA 3.0). CERT.br/NIC.br otorga a Usted una licencia de cobertura mundial, libre de regalías, no exclusiva, sujeta a los términos y condiciones de esta Licencia, para ejercer los derechos sobre la Obra como se indica a con<nuación. a. Reproducir la Obra, incorporar la Obra en una o más Obras Colec<vas y reproducir la Obra incorporada en Obras Colec<vas; b. Crear y reproducir Obras Derivadas, siempre que cualquier Obra Derivada, incluida cualquier traducción, en cualquier medio, adopte medidas razonables para indicar claramente, delimitar o iden<ficar de cualquier otro modo que se han realizado cambios a la Obra Original. Una traducción, por ejemplo, podría señalar que "La Obra Original fue traducida del inglés al portugués", o una modificación podría indicar que "La Obra Original ha sido modificada"; c. Distribuir y ejecutar públicamente la Obra, incluidas las Obras incorporadas en Obras Colec<vas; y d. Distribuir y ejecutar públicamente Obras Derivadas. Bajo las siguientes condiciones: Atribución Usted debe atribuir la obra de la manera especificada por el <tular o por el licenciante original (pero no de una manera que sugiera que éste lo apoya o que suscribe el uso que Usted hace de su obra). En el caso de este trabajo, deberá incluir la URL del trabajo original (Fuente hdp://car<lla.cert.br/) en todas las diaposi<vas. Uso no comercial Esta obra no se puede u<lizar con fines comerciales. Compar9r bajo la misma licencia En caso de alterar, transformar o ampliar este trabajo, Usted solo deberá distribuir el trabajo resultante bajo la misma licencia o bajo una licencia similar a la presente. Advertencia En toda reu<lización o distribución, Usted deberá dejar claro cuáles son los términos de la licencia de esta obra. La mejor manera de hacerlo consiste en colocar un enlace a la siguiente página: hdp://crea<vecommons.org/licenses/by- nc- sa/3.0/es/ La descripción completa de los términos y condiciones de esta licencia está disponible en: hdp://crea<vecommons.org/licenses/by- nc- sa/3.0/es/legalcode.es 1

2 Contenido: Contraseñas: Introduce el concepto de contraseña y presenta algunas de las formas en las cuales las contraseñas pueden ser descubiertas de forma indebida. Principales riesgos: Presenta algunas de las acciones que puede ejecutar un hacker si logra acceder a tus contraseñas. Cuidados a tener en cuenta: Presenta los cuidados que se deben tener en cuenta para proteger las contraseñas. Fuentes 2

3 Contraseñas: Una contraseña, o password, sirve para auten<car una cuenta, es decir, se usa en el proceso de verificación de la iden<dad del usuario, asegurando que realmente sea quien dice ser y que <ene derecho de acceder al recurso en cues<ón. Es uno de los dos principales mecanismos de auten<cación u<lizados en Internet, principalmente debido a su simplicidad. Tu cuenta de usuario es de conocimiento público y es lo que permite iden<ficarte. Muchas veces se deriva de tu propio nombre, pero puede ser cualquier secuencia de caracteres que permita iden<ficarte unívocamente, como por ejemplo tu dirección de correo electrónico. Los mecanismos de auten<cación existen para garan<zar que una cuenta solo sea usada por su dueño. Existen tres grupos básicos de mecanismos de auten<cación y éstos u<lizan: aquello que el usuario es: información biométrica (huellas digitales, palma de la mano, la voz y los ojos) aquello que solo el usuario posee: una tarjeta de contraseñas bancarias, token generador de contraseñas. aquello que solo el usuario sabe: preguntas de seguridad, contraseñas. 3

4 Contraseñas: Estas son algunas de las formas en que tu contraseña puede ser descubierta: si la u<lizas en computadoras infectadas. Una vez que infectan una computadora, muchos códigos maliciosos guardan las teclas que pulsas (incluidas las contraseñas), espían el teclado a través de la cámara web (si <enes instalada una cámara apuntando al teclado) y registra la posición de la pantalla donde se hace clic el mouse; si la u<lizas en si<os falsos (phishing). Cuando escribes tu contraseña en un si<o falso pensando que estás en un si<o verdadero, un atacante puede guardarla y luego u<lizarla para acceder al si<o verdadero y allí realizar operaciones en su nombre; mediante intentos de adivinación; si es capturada mientras transita por la red sin estar encriptada; mediante el acceso al archivo donde se almacena la contraseña si ésta no se ha encriptado; con el uso de técnicas de ingeniería social, como una forma de persuadirte para que la entregues voluntariamente; observando el movimiento de tus dedos en el teclado o de los clics del mouse en los teclados virtuales. 4

5 Riesgos principales : En las diaposi<vas siguientes presentamos algunos de los principales riesgos asociados con el uso de contraseñas. 5

6 Riesgos principales : Si alguien conoce tu cuenta de usuario y <ene acceso a tu contraseña, esta persona podría usar esta información para hacerse pasar por < en Internet y realizar acciones en su nombre, como por ejemplo: acceder a tu cuenta de correo electrónico y: leer tus correos; robar tu lista de contactos; enviar mensajes en tu nombre, conteniendo spam, engaños, phishing y códigos maliciosos; solicitar que reenvíes las contraseñas de otras cuentas a esta dirección de correo electrónico (para poder acceder a las mismas); cambiar la contraseña, dificultando así que puedas ingresar nuevamente a tu cuenta. 6

7 Riesgos principales : Si alguien conoce tu cuenta de usuario y <ene acceso a tu contraseña, esta persona podría usar esta información para hacerse pasar por < en Internet y realizar acciones en su nombre, como por ejemplo: acceder a tu computadora y: obtener información confidencial almacenada, como por ejemplo tus contraseñas y los números de tus tarjetas de crédito; borrar tus archivos; instalar códigos y servicios maliciosos; u<lizar tu computadora para esconder la verdadera iden<dad de esta persona (el invasor) y así realizar ataques contra otras computadoras; cambiar tu contraseña, dificultando así que puedas ingresar nuevamente a tu cuenta. 7

8 Riesgos principales : Si alguien conoce tu cuenta de usuario y <ene acceso a tu contraseña, esta persona podría usar esta información para hacerse pasar por < en Internet y realizar acciones en su nombre, como por ejemplo: acceder a tu red social y: dañar tu imagen; abusar de la confianza de tus amigos/seguidores; enviar mensajes en tu nombre, conteniendo: spam, rumores, phishing y códigos maliciosos; cambiar la configuración que seleccionaste, haciendo pública la información privada; cambiar tu contraseña, dificultando así que puedas ingresar nuevamente a tu perfil. 8

9 Riesgos principales : Si alguien conoce tu cuenta de usuario y <ene acceso a tu contraseña, esta persona podría usar esta información para hacerse pasar por < en Internet y realizar acciones en su nombre, como por ejemplo: acceder a tus cuenta bancarias y verificar el saldo y el movimiento de tus cuentas; acceder a tu si<o de comercio electrónico y: realizar compras en tu nombre; modificar la información de registro; verificar información sobre tus compras anteriores; acceder a tu disposi<vo móvil y: robar tu lista de contactos y tus mensajes; acceder y/o copiar tus fotos y videos; bloquear el acceso al disposi<vo; borrar completamente los datos almacenados. 9

10 Cuidados a tener en cuenta: En las próximas diaposi<vas presentamos algunos de los principales cuidados que se deben tener en cuenta en relación con las contraseñas. 10

11 Elección de contraseñas: Una buena contraseña, bien elegida, es una contraseña didcil de descifrar (fuerte) y fácil de recordar. No es recomendable escoger una contraseña fuerte si a la hora de u<lizarla no la recuerdas. Tampoco conviene escoger una contraseña fácil de recordar si un atacante también puede adivinarla fácilmente. Algunos elementos que no debes usar al escoger tus contraseñas: Cualquier 9po de dato personal: Evita usar nombres, apellidos, nombres de usuario, números de documentos, matrículas de automóviles, números de teléfono y fechas (una persona que quiera hacerse pasar por < podría obtener y u<lizar estos datos fácilmente). Secuencias de teclado: Evita las contraseñas en las cuales los caracteres están relacionados entre sí por su proximidad en el teclado, como por ejemplo 1qaz2wsx y QwerTAsdfG, ya que son bastante conocidas y alguien que te observa podría deducirlas fácilmente. Palabras que forman parte de una lista: Evita las palabras que aparecen en listas conocidas públicamente, como nombres de canciones, equipos de fútbol, personajes de películas, diccionarios de diferentes idiomas, etc. Existen programas que intentan descubrir las contraseñas combinando y probando estas palabras, por lo que no debemos usarlas. 11

12 Elección de contraseñas: Algunos elementos que debes usar al escoger tus contraseñas: Números aleatorios: Cuanto más aleatorios sean los números u<lizados mejor, especialmente en los sistemas que solamente aceptan caracteres numéricos. Muchos caracteres: Cuanto más larga sea la contraseña más didcil será descubrirla. Aunque en un primer momento las contraseñas largas parecen didciles de ingresar, con el uso frecuente terminan siendo fáciles de escribir. Diferentes 9pos de caracteres: Cuanto más "desordenada" sea la contraseña más didcil será descubrirla. Intenta mezclar caracteres, como números, signos de puntuación y letras mayúsculas y minúsculas. Usar signos de puntuación puede hacer que la contraseña sea bastante didcil de descubrir, pero sin que necesariamente sea didcil de recordar. 12

13 Elección de contraseñas: Algunos consejos prác<cos que puedes usar al escoger tus contraseñas: Selecciona caracteres de una frase: Escoge una frase y selecciona la primera, la segunda o la úl<ma letra de cada palabra. Ejemplo: Con la frase Un Elefante se balanceaba sobre la tela de una Araña se puede generar la contraseña? UEsbsltduA (el signo de interrogación inicial se colocó para que la contraseña incluya un símbolo). U9liza una frase larga: Escoge una frase larga, que tenga sen<do para <, que sea fácil de memorizar y, de ser posible, que tenga diferentes <pos de caracteres. Evita las frases comunes (como los refranes) y las frases que puedan tener una relación directa con<go (como el estribillo de tu canción favorita). Ejemplo: Si cuando eras niño soñabas con ser astronauta, podrías u<lizar como contraseña 1 día veré los anillos de Saturno!!!. Reemplaza algunos de los caracteres: Inventa un modelo de sus<tución, por ejemplo, basado en la similitud visual ( w y vv ) o foné<ca ( se y c ) entre los caracteres. Inventa tu propio modelo, ya que algunas sus<tuciones son bastante evidentes. Ejemplo: Duplicando las letras s y r, reemplazando o por 0 (número cero), reemplazando "e" por "3" y usando la frase Sol, astro rey del Sistema Solar puedes generar la contraseña SS0l, asstrr0- rr3y d3l SSisstema SS0larr. 13

14 Uso de las contraseñas: No reveles tus contraseñas asegúrate de que nadie esté mirando cuando las digites; no las dejes anotadas donde otros puedan verlas (por ejemplo, en un papel sobre la mesa o pegado a tu monitor); evita ingresarlas en computadoras y disposi<vos móviles de otras personas No entregues tus contraseñas a otras personas cuidado con los correos electrónicos y las llamadas telefónicas solicitando datos personales U9liza conexiones seguras siempre que el acceso implique el uso de contraseñas 14

15 Uso de las contraseñas: Evita: guardar tus contraseñas en el navegador Web; evita usar opciones como Recordar cuenta y Seguir conectado ; usar la misma contraseña para todos los servicios a los que te conectas (basta con que un atacante obtenga una contraseña para que pueda acceder a las demás cuentas donde la u<lizas). No u9lices las contraseñas de uso profesional para acceder a asuntos personales (y viceversa). Respeta los contextos. 15

16 Uso de las contraseñas: Crea grupos de contraseñas según el riesgo involucrado: Crea contraseñas: únicas y fuertes y u<lízalas en los si<os que involucren recursos valiosos. Ejemplo: Para acceder a la banca electrónica o al correo electrónico; únicas, algo más sencillas, para casos en los cuales el valor de los recursos protegidos sea menor. Ejemplo: si<os de comercio electrónico, siempre que la información de pago no se guarde para su uso posterior; simples y u<lízalas para acceder cuando no haya riesgo. Ejemplo: para bajar un archivo. Guarda tus contraseñas de forma segura: anótalas en un papel y guárdalo en un lugar seguro: este método es mejor que u<lizar contraseñas débiles, ya que es más fácil asegurarse de que nadie tendrá acceso al papel que evitar que una contraseña débil sea descubierta; grábalas en un archivo encriptado: mantén un archivo encriptado y úsalo para ingresar manualmente tus cuentas y contraseñas; u<liza programas de administración de cuentas/contraseñas: estos programas permiten guardar grandes can<dades de cuentas/contraseñas en un solo archivo, accesible mediante una clave maestra. 16

17 Cambio de las contraseñas: Debes cambiar tu contraseña: Inmediatamente: si crees que tu contraseña ha sido descubierta o que una computadora en la cual has usado tu contraseña ha sido hackeada o infectada. Rápidamente: si han robado o has perdido una computadora donde estaba guardada; si u<lizas un modelo para la formación de contraseñas y sospechas que una de ellas ha sido descubierta (debes cambiar el modelo y todas las contraseñas que hayas formado con el mismo, ya que un atacante podría inferir las demás); si usas la misma contraseña en más de un si<o y crees que ha sido descubierta en alguno de ellos (cambia la contraseña en todos los si<os donde la uses) al adquirir disposi<vos accesibles a través de la red, como por ejemplo enrutadores Wi- Fi y módems ADSL (muchos de estos disposi<vos vienen configurados de fábrica con una contraseña por defecto que se puede encontrar fácilmente en Internet por lo que, de ser posible, debe ser modificada). 17

18 Recuperación de las contraseñas: Incluso si has tenido cuidado al escoger tu contraseña y has u<lizado mecanismos de administración, podría ocurrir que la pierdas. Para restablecer el acceso perdido, algunos sistemas ofrecen recursos tales como: permi<r que respondas una pregunta previamente determinada; enviar la contraseña (actual o nueva) a la dirección de correo de recuperación previamente definido; confirmar tus datos de registro, como tu fecha de cumpleaños, país de origen, nombre de tu madre, números de documentos, etc.; presentar un indicio de contraseña previamente registrado; enviarla por mensaje de texto a un número de celular previamente registrado. Cuando u9lices preguntas de seguridad: evita registrar preguntas que se puedan averiguar fácilmente, como el nombre de tu perro o de tu madre; trata de crear tus propias preguntas, preferentemente con respuestas falsas. Ejemplo: Si <enes miedo a las alturas, podrías crear la pregunta " Cuál es tu deporte favorito?" y colocar como respuesta "paracaidismo" o "alpinismo". 18

19 Recuperación de las contraseñas: Cuando u9lices indicios de contraseña escoge aquellos que sean lo suficientemente vagos como para que nadie pueda descubrirlos y lo suficientemente claros como para que puedas entenderlos. Ejemplo: Si usas la contraseña SS0l, asstrr0 rr3y d3l SSisstema SS0larr, registra como indicio Una de las notas musicales. Esto te hará recordar la palabra Sol y así recordarás la contraseña. Cuando solicites el envío de tus contraseñas por correo electrónico: trata de cambiarlas lo más rápido posible. Muchos sistemas envían contraseñas en texto plano, es decir, sin ningún <po de encriptación y éstas pueden ser obtenidos si alguien <ene acceso a su cuenta de correo o u<liza sniffers; asegúrate de registrar una dirección de correo de recuperación al cual accedas regularmente para no olvidar la contraseña de esta cuenta también; trata de no depender de programas de administración de contraseñas para acceder a tu dirección de correo de recuperación (si olvidas tu clave maestra o si por algún otro mo<vo ya no <enes acceso a tus contraseñas, acceder a tu dirección de correo de recuperación podría ser la única forma de restablecer los accesos perdidos); presta mucha atención al registrar el correo de recuperación de manera de no ingresar una dirección inválida o que pertenezca a otra persona. Para 19

20 Phishing y códigos maliciosos: DesconQa de los mensajes que recibas: no consideres que un mensaje es confiable sobre la base de la confianza que depositas en el remitente, ya que el mensaje puede haber sido enviado desde una cuenta hackeada, un perfil falso o puede haber sido falsificado. Evita hacer clic o seguir enlaces recibidos en mensajes electrónicos: trata de escribir la URL directamente en el navegador. Evita u9lizar un buscador para acceder a servicios que requieran contraseñas, como tu correo electrónico web y tus redes sociales. Ten cuidado al hacer clic en enlaces acortados: u<liza complementos que permitan expandir el enlace antes de hacer clic sobre el mismo. 20

21 Privacidad: Intenta reducir la can9dad de información que se pueda recolectar sobre tu persona. Alguien podría usar esta información para adivinar tus contraseñas. Ten cuidado con la información que publiques en blogs y redes sociales. Alguien podría usar esta información para intentar: confirmar tus datos de registro; descubrir indicios de contraseñas; responder preguntas de seguridad. 21

22 Computadora: Instala las versiones más recientes de todos los programas. Desinstala los programas que ya no u<lices. Solemos olvidar los programas que no u<lizamos, por lo que muchas veces quedan instaladas versiones desactualizadas (y potencialmente vulnerables) de los mismos. Desinstala las versiones an<guas. Adquiere el hábito de verificar la existencia de nuevas versiones, ya sea mediante las opciones disponibles en los propios programas o accediendo directamente a los si<os de los fabricantes. Instala las versiones más recientes y las actualizaciones de todos los programas. Siempre que sea posible, configura los programas para que se actualicen automá<camente. Programa las actualizaciones automá<cas para que se descarguen e instalen en horarios en los que tu computadora esté encendida y conectada a Internet. U<liza mecanismos de seguridad, como programas an4spam, an4malware y un firewall personal, y asegúrate de mantenerlos actualizados. 22

23 Computadora: Nunca compartas la contraseña de administrador Crea una cuenta separada y u<lízala para realizar tus tareas de ru<na Solo u<liza la cuenta de administrador lo mínimo necesario Solo u<liza la opción "ejecutar como administrador" cuando necesites privilegios administra<vos Crea tantas cuentas separadas como personas u<licen tu computadora Asegúrate de que todas las cuentas que existan en tu computadora tengan contraseña Asegúrate de que tu computadora esté configurada para solicitar el nombre de usuario y la contraseña en la pantalla de inicio Asegúrate de que la opción de login (inicio de sesión) automá<co esté deshabilitada No crees ni permitas que nadie u<lice cuentas compar<das, cada cuenta solo debe ser u<lizada por una persona (esto permite rastrear las acciones realizadas por cada usuario y detectar usos indebidos) Crea tantas cuentas con privilegios de administrador como personas u<licen tu computadora y necesiten estos privilegios 23

24 Disposi9vos móviles: Registra una contraseña que sea bien elaborada. De ser posible, configura el disposi<vo para que acepte contraseñas complejas (alfanuméricas). En caso de pérdida o robo, cambia las contraseñas que puedan estar guardadas en el disposi<vo. 24

25 Computadoras de terceros: Asegúrate de cerrar tu sesión (logout) cuando accedas a si<os que requieran el uso de contraseñas. Siempre que sea posible, trata de usar opciones para navegar en forma anónima. Evita realizar transacciones bancarias y comerciales. Al regresar a tu computadora, trata de cambiar cualquier contraseña que hayas u<lizado. 25

26 Seguridad en las Redes Sociales Manténgase informado: En la Car<lla de Seguridad para Internet encontrará material de referencia. 26

27 Seguridad en las Redes Sociales ESTÁ PROHIBIDO ELIMINAR ESTA DIAPOSITIVA, LA CUAL DEBE EXHIBIRSE EN CUALQUIER REPRODUCCIÓN, INCLUSO EN LAS OBRAS DERIVADAS Esta obra fue originalmente desarrollada por CERT.br, parte de NIC.br, y es promovida por el Comité Gestor de Internet en Brasil (CGI.br). Forma parte de un conjunto de materiales educa<vos cuyo obje<vo es promover la concien<zación sobre el uso seguro de Internet y se basa en la Car<lla de Seguridad para Internet (hdp://car<lla.cert.br/). Esta obra se encuentra bajo la licencia Crea<ve Commons Reconocimiento- No comercial- Compar<r bajo la misma licencia 3.0 Brasil (CC BY- NC- SA 3.0) CERT.br/NIC.br otorga a Usted una licencia de cobertura mundial, libre de regalías, no exclusiva, sujeta a los términos y condiciones de esta Licencia, para ejercer los derechos sobre la Obra como se indica a con<nuación. a. Reproducir la Obra, incorporar la Obra en una o más Obras Colec<vas, y reproducir la Obra incorporada en Obras Colec<vas; b. Crear y reproducir Obras Derivadas, siempre que cualquier Obra Derivada, incluida cualquier traducción, en cualquier medio, adopte medidas razonables para indicar claramente, delimitar o iden<ficar de cualquier otro modo que se han realizado cambios a la Obra Original. Una traducción, por ejemplo, podría señalar que "La Obra Original fue traducida del inglés al portugués", o una modificación podría indicar que "La Obra Original ha sido modificada"; c. Distribuir y ejecutar públicamente la Obra, incluidas las Obras incorporadas en Obras Colec<vas; y d. Distribuir y ejecutar públicamente Obras Derivadas. Bajo las siguientes condiciones: Atribución Usted debe atribuir la obra de la manera especificada por el <tular o por el licenciante original (pero no de una manera que sugiera que éste lo apoya o que suscribe el uso que Usted hace de su obra). En el caso de este trabajo, deberá incluir la URL del trabajo original (Fuente hdp://car<lla.cert.br/) en todas las diaposi<vas.. Uso no comercial Esta obra no se puede u<lizar con fines comerciales. Compar9r bajo la misma licencia En caso de alterar, transformar o ampliar este trabajo, Usted solo deberá distribuir el trabajo resultante bajo la misma licencia o bajo una licencia similar a la presente. Advertencia En toda reu<lización o distribución, Usted deberá dejar claro cuáles son los términos de la licencia de esta obra. La mejor manera de hacerlo consiste en colocar un enlace a la siguiente página: hdp://crea<vecommons.org/licenses/by- nc- sa/3.0/es/ La descripción completa de los términos y condiciones de esta licencia está disponible en: hdp://crea<vecommons.org/licenses/by- nc- sa/3.0/es/legalcode.es 27