Sebastián Thüer

Comunicación, diseño y tecnología

seguridad

Steganos Privacy Suite 18: Que lo privado siga siendo privado

· ·

Abrir un email del trabajo. Compartir fotos de la familia. Agendar una reunión en un calendario sincronizado. Cada vez son más las actividades que realizamos en red y cada vez es más importante la cantidad de datos que corremos el riesgo de dejar expuestos.

No hace falta tener almacenada la fórmula de la Coca Cola. Cualquier dispositivo conectado a Internet es un potencial blanco de cibercriminales por una sencilla razón: nuestra computadora, Tablet o teléfono se puede transformar en parte de un ejército destinado a sabotear un sitio con una simple orden remota.

Steganos Privacy Suite, herramientas para añadir una capa de seguridad extra a tu vida digital. usuarioFotografía: Hannah Wei

Para prevenirlo, existen una serie de prácticas de seguridad básicas: mantener actualizado el sistema operativo, contar con un firewall que proteja la conexión a la red, emplear un antivirus para revisar los archivos que se alojan en el disco y tener precaución con cualquier correo extraño que nos invite a bajar archivos, proporcionar una contraseña o ganar dinero fácil.

Sin embargo, existen algunas soluciones específicas para quienes están interesados en dotar a su computadora de una capa de protección adicional: las suites de privacidad. En este apartado se engloba Steganos Privacy Suite, una utilidad enfocada en que los datos privados sigan siendo privados.

Comenzando con Steganos Privacy Suite 18

La instalación de la suite es sencilla y no presenta mayores obstáculos. Una vez finalizada tendremos una pantalla inicial muy clara que nos muestra las utilidades disponibles. Además, una barra lateral nos muestra el nivel de seguridad del sistema. E

Esto puede prestarse a la confusión: el nivel de seguridad no se basa en una revisión general de la computadora y su configuración; se trata más bien de la cantidad de utilidades del programa que usamos. Si tenemos todo activo, el nivel de protección llega al 100%.

Una interfaz clara y sencilla engloba a todos los programas.

Archivos seguros

Steganos Privacy Suite 18 tiene diferentes utilidades destinadas a proteger nuestros archivos. Básicamente, lo que hace es encriptarlos para que su contenido sea muy difícil de visualizar por extraños. Recordemos: niveles de protección del 100% son imposibles aun para firmas que gastan millones.

Steganos Safe se encarga de crear un área segura. Todos los archivos que coloquemos dentro estarán encriptados. Sería una especie de caja fuerte donde colocamos el contenido que es valioso. La encriptación se puede realizar de tres modos diferentes:

  • En nuestro disco rígido local
  • En un dispositivo portable (pen drive, disco externo, etc.)
  • En archivos en la nube (Dropbox, Google Drive, One Drive, etc)
Steganos Safe permite cifrar archivos locales, en unidades extraíbles o en la nube.

El proceso resulta sencillo y transparente para el usuario. Otra opción interesante es que el contenido esté oculto además de encriptado. Es decir, que si esas cosas dejamos nuestra computadora al alcance de un extraño no podrá ver el contenido oculto si utiliza el administrador de archivos de Windows. Una herramienta más destinada a poner archivos fuera del alcance de miradas indiscretas.

Un administrador es la clave

Todo servicio en red comparte una misma característica: es necesario identificarse con una contraseña. Desde el cajero automático hasta Facebook, si olvidamos la calve no podremos hacer nada.

Una solución chapucera consiste en usar siempre la misma clave. Un error muy frecuente pero no por ello menos grave: es como tener una única llave para acceder a diferentes puertas de entrada. Quien encuentre la llave, podrá ingresar a cualquier lado.

Los expertos en seguridad recomiendan utilizar siempre una contraseña diferente cada vez que sea posible. Y si no se puede, establecer diferentes niveles de seguridad según lo sensible que es el servicio que estemos usando (por ejemplo, la contraseña del home banking no se debería compartir con ningún otro servicio).

En la práctica, lo que termina ocurriendo es que olvidamos las claves. Para estos usuarios, existen los gestores de claves. Si bien no es la solución ideal porque todas las claves están protegidas con una contraseña maestra; muchos usuarios emplean esta alternativa.

El gestor de claves es sencillo de usar, pero no se pueden crear carpetas para organizar los datos.

Steganos cuenta con una utilidad de este tipo muy sencilla. De hecho, demasiado sencilla para mi gusto. No incluye la posibilidad de agrupar clave, crear carpetas o subcarpetas tal como sí tienen otros programas del estilo. En fin, está destinado a un uso muy básico.

Cifrando los mensajes y más

Steganos Privacy Suite 18 permite cifrar el correo electrónico, esto es, que si alguien intercepta algún mensaje no pueda leerlo de manera tan sencilla (recordemos: el 100% de seguridad no existe). Además, podemos hacer que los favoritos del navegador sean privados y contamos con un par de utilidades para borrar nuestros rastros.

Destructor se encarga de borrar los archivos que borramos. Puede parecer redundante pero no lo es. En la práctica, cuando borramos un archivo va a la papelera de reciclaje. Y si lo eliminamos de aquí siguen quedando rastros ¿Por qué?

Porque los sistemas operativos de las computadoras personales realizan un borrado lógico, es decir, el archivo borrado queda marcado como borrado (para que ese espacio pueda ser usado posteriormente). Como tachar el nombre de una persona de una lista de invitados: el lugar que esa persona ocupaba está disponible, pero sus datos siguen estando disponibles.

TraceDestructor tiene la misma tarea, pero con nuestros pasos online. Se encarga de borrar todas las huellas que dejamos mientras usamos Internet.

Conclusión

Steganos Privacy Suite 18 proporciona herramientas que agregan una capa de seguridad extra al software estándar como antivirus y firewall. La suite puede resultar atractiva para aquellos que manejan información sensible y quieran dejar sus datos resguardados. Pero, hay que aclararlo, no sustituye al empleo de prácticas seguras en el uso de dispositivos digitales.

La instalación y configuración de la suite es sumamente sencilla y no presenta mayores inconvenientes aun para usuarios novatos en estos temas. Los programas tienen una interfaz clara y las opciones son fáciles de comprender. Se nota que hay mucho trabajo en este sentido porque el cifrado de archivos no es precisamente un tema sencillo o al cual el público no especializado esté habituado.

Sin embargo, también hay que reconocer que para los más expertos algunas herramientas disponibles pueden quedar cortas. Por ejemplo, el gestor de contraseñas puede funcionar bien para algunas decenas de claves. Pero, si manejamos unas 100 contraseñas (puede parecer mucho, pero no lo es si tenemos una vida digital intensa) es difícil hacerlo sin tener un sistema de catalogación como carpetas y subcarpetas.

Otra cuestión a considerar es que varias de las soluciones que ofrece esta suite también están disponibles en software libre, lo cual tiene la ventaja de que hay una comunidad de expertos que puede revisar y proponer mejoras al programa si encuentra un error. Por contrapartida, también hay que admitir que a veces veces los desarrolladores de software libre no se preocupan demasiado por la interfaz y el manejo de estos programas puede no resultar sencillo para aun novato.

En definitiva, Steganos Privacy Suite 18 es una buena alternativa para aquellos usuarios no expertos preocupados porque los datos que almacena en su computadora puedan hacerse públicos.

Cómo asegurar nuestros archivos en la nube

· ·

seguridad-en-la-nube

Usar la nube es cómodo. Los servicios como Dropbox, Goolge Drive y Microsoft OneDrive ofrecen almacenamiento para nuestros archivos y así poderlo tener siempre a mano sin depender del dispositivo que estamos usando.

Las ventajas de poder acceder a todos sus archivos de forma compartida con otros usuarios y a la vez poder visualizar e incluso editar archivos desde cualquier dispositivo son insuperables. El almacenamiento de archivos en la nube es una tendencia consolidada tanto a nivel personal como uso corporativo.

Sin embargo, hay que ser conscientes de que el contenido que se envía deja de ser totalmente privado. En otras palabras, subir información a estos servidores representa un riesgo (como lo saben bien las estrellas que han sufrido filtraciones de fotos íntimas extraídas de su nube personal).

Entonces, ¿cómo evitar el robo de información privada en la nube? Para protegerse de estos ataques, hay una serie de medidas preventivas que reducirán los riesgos. Steganos, empresa alemana de seguridad digital, proporciona algunos consejos.

Encriptación de archivos

La encriptación o cifrado hace que un archivo sea inservible para un usuario no autorizado a leerlo. Incluso si lo ha interceptado o lo ha copiado, si no cuenta con la contraseña correspondiente, no podrá visualizarlo.

Los programas de este tipo funcionan como una caja fuerte virtual. Se crea una unidad segura que solo se puede abrir con la contraseña correcta. Si es posible, se recomienda utilizar algoritmos de encriptación avanzados como AES- XEX de 384 bit.

Contraseñas

Utilizar una contraseña segura también es esencial. La contraseña debe ser compleja, con una extensión superior a 8 caracteres, además de incluir letras minúsculas, mayúsculas, números y caracteres no alfanuméricos. Otro aspecto importante es que el usuario no debe repetir la misma contraseña en diferentes servicios. Este error es muy común, dado que es más práctico recordar una o pocas contraseñas. Acá los especialistas en seguridad tienen opiniones divididas.

Algunos, aconsejan utilizar gestores de contraseñas para generar claves difíciles de vulnerar. Este tipo de gestores, como Steganos Password Manager (pago), o KeePass (libre y gratuito), permiten almacenar diferentes servicios como email, home banking o redes sociales y a cada uno asignarle una clave diferente. Para evitar miradas curiosas, el archivo suele estar protegido con una contraseña maestra. El problema es que, si alguien consigue esa clave, tendrá acceso libre a toda nuestra vida digital.

Una alternativa, es emplear cadenas texto fáciles de recordar. Por ejemplo, frases o citas que nos gustan. Eso sí, tampoco hay que repetir la misma clave en diferentes servicios.

Antivirus

Un sistema de seguridad antivirus disminuirá el riesgo de que su equipo sea infectado por un malware o troyano. Este tipo de ataque al dispositivo puede resultar en el robo de las credenciales de usuario para entrar en cuentas personales y el consecuente acceso a todo tipo de información almacenada en la nube. Obviamente, el antivirus debe estar siempre actualizado.

Lo que Internet sabe de vos [infografía]

· ·

Nombre, dirección y fecha de nacimiento. Con estos simples datos básicos es posible que nos logren suplantar la identidad. No se trata de volverse paranoico y dejar de usar Internet, pero hay que ser consciente de que mucha de la información que brindamos en servicios online puede hacerse pública.

Esta infografía nos alerta de los riesgos de brindar información personal en la red. Especialmente si alguno de estos datos personales que circulan por la red es la contraseña que protege nuestro email, cuenta bancaria o seguro. Por eso, conviene tomar nota de qué información estamos compartiendo, con quién y qué podemos hacer para evitar que nuestros datos sean utilizados en nuestra contra.

ItsNotParanoiaTheInternetKnowsMoreThanYouThink_51f841c44694f

Vía Visual.ly

Como blindar tu WordPress: 10 Consejos prácticos

· ·

Uno de cada 10 sitios web del mundo usa WordPress. Lo que se dice, una banquete bastante apetecible para quienes se dedican a inundar de virus y programas malignos la red. Tiempo atrás publicaba en el blog una serie de consejos básicos de seguridad en WordPress para quien tuviera un sitio que corriera sobre este CMS.

En esta ocasión, he tratado de sistematizar y organizar algunas prácticas para incrementar la seguridad de una instalación en WordPress que van un poco más allá del «elegir una contraseña segura». Antes de hacer cualquier desastre conviene probar estos consejos con una instalación de prueba de WordPress para asegurarse que todo sale bien. Si bien no hay que ser un especialista en seguridad, vamos a tocar algunos archivos y configuraciones que podrían dejar nuestra web fuera de servicio si hacemos algo mal. Algo importante: siempre hacer las pruebas calcando la configuración de nuestro hosting y, de ser posible, en otro sitio de pruebas configurado en el mismo servidor.

Para quienes buscan blindar su sitio en WordPress, aquí van algunos consejos y trucos para incrementar la seguridad

1. Quitar el usuario admin

Hasta hace poco tiempo las instalaciones de WordPress creaban por defecto el usuario ‘admin’ para el administrador. Con eso, el atacante tenía resuelto el 50% de su problema: solo le queda conocer la clave. Si tu instalación de WordPress tiene tiempo es probable que tengas este usuario que, además, no se puede modificar desde la configuración de WordPress. Hay que hacerlo directamente desde la base de datos.

Con un gestor tipo phpMyAdmin es bastante sencillo. Se hace con el siguiente código (reemplazar ‘nuevousuario’ con el nombre deseado):

update tableprefix_users set user_login='nuevousuario' where user_login='admin';

2. Cambiar el prefijo de la base de datos

La configuración inicial de WordPress agrega el prefijo «wp_» a las tablas de la base de datos. El problema es que si algún día se descubre una vulnerabilidad sería bastante fácil para el atacante adivinar cuáles son las tables presentes en la base de datos si no modificamos este valor. Hacerlo es bastante sencillo: solo hay que abrir el archivo de configuración wp-config.php y modificar el valor presente por uno nuevo:

$table_prefix = 'nuevoprefijo_';

3. Menos detalles de error al fallar el login

La página de login en WordPress brinda demasiada información si uno no ingresa bien la clave. Por ejemplo, asvisa si el error se debe a que el usuario no existe o la clave no corresponde. Para evitar que WordPress revele estos datos basta con agregar un par de líneas al archivo function.php del theme que tenemos activo:

function explain_less_login_issues(){ return 'ERROR: Los datos ingresados son incorrectos.';}
add_filter( 'login_errors', 'explain_less_login_issues' );

4. No dejar directorios navegables

Un ABC de las medidas de seguridad es no dejar un directorio navegable porque el atacante puede conocer la estructura del sitio y ver los archivos. Esto suele se maneja directamente en la configuración del servidor pero hay algo que podemos hacer desde WordPress: poner un archivo index.php vacío en cada directorio vacío.

Por defecto WordPress lo hace pero se le ha olvidado uno: donde se suben los archivos. La solución es simple: crear con cualquier editor de texto un archivo vacío, nombrarlo como index.php y subirlo a wp-content/uploads

 5. Mover wp-config 

El archivo más sensible de toda instalación de WordPress es wp-config.php. Tiene la información para conectarse  a la base de datos y cualquiera que acceda a esta información está en condiciones de tomar el control de la web. Lo mejor es moverlo  a una ubicación más segura como puede ser un nivel superior a la raíz del sitio (por encima de la carpeta public_html o www).

Para no tocar el corazón de WordPress -y con ello tener que temer por cada actualización- lo más práctico es hacer un include desde el archivo en cuestión. Es decir, en el wp-config agregar una línea con algo así (cambiar por la ruta propia de cada servidor):

include ('/home/user/config.php');

Y en config.php ponemos todos los datos de conexión como usuario, contraseña y demás.

6. Deshabilitar editor de archivos

WordPress incluye un editor de archivos muy práctico para modificar los archivos del tema. Pero no se trata de una práctica segura por lo cual lo mejor para cambiar algo es ingresar vía FTP, descargar el archivo en cuestión, editarlo y volverlo a subir. Se puede deshabilitar el editor de archivos para evitar manos extrañas de una forma muy sencilla. Hay que añadir esta línea a wp-config.php

define('DISALLOW_FILE_EDIT', true);

7. Quitar versión de WordPress

Punto controvertido. Veamos: Todas las instalaciones de WordPress muestran su número de versión con fines «estadísticos». El problema es que si el sitio queda desactualizado ese número es casi una invitación a atacar el sitio. Sin embargo, los críticos dicen que de nada vale esconder el número de versión si la instalación de WordPress sigue teniendo agujeros por todas partes.

En fin, esconder la versión no sirve de nada si no se toman medidas de seguridad adicionales. Pero si nos interesa desviar la atención de curiosos hay que abrir el archivo functions.php del tema o escribir esto:

function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );

8.Remover archivos innecesarios

Luego instalar WordPress quedan un par de archivos con información sensible: readme.html y wp-admin/install.php. El primero muestra la versión de WordPress que estamos corriendo mientras que el segundo permite instalar el sistema. Mejor borrarlos.

9. Bloquear pedidos de url maliciosas

Un clásico de estas épocas en ataques a web es realizar peticiones desde páginas web maliciosas. El plugin Block Bad Queries se encarga de bloquear cualquier pedido extraño.

10. Permisos de archivos

En los equipos de escritorio no solemos prestar atención a los permismos de archivo pero un servidor es un aspecto de seguridad clave. Esto permite establecer quién puede leer, modificar o eliminar un archivo. La regla general es otorgar el mínimo de permisos posible para evitar que un usuario indeseado puede manipular datos sensible. Algunos consejos del WordPress Codex:

  • wp-config.php con permisos 400 o 440.
  • .htaccess con permisos 644 o 664.

Tip: ¿Cómo cambiar permisos de archivo vía FTP?

5 chequeos básicos de seguridad para WordPress

· ·

¿Cómo matener un sitio en WordPress a salvo de instrusos?En el blog de Namecheap nos dan cinco puntos básicos pero muy útiles para manejar un blog o sitio web de forma segura con este gestor de contenidos. Lo interesante es que no hacen un listado de plugins a instalar o modificaciones a realizar sobre la instalación de base. Por el contrario, la base está en tener prácticas seguras para las tareas más sencillas.

1. Usar nombres de usuarios y claves fuertes

Fundamental, pero a veces se olvida. Hay que olvidarse de usar admin como nombre de usuario por defecto y elegir una contraseña segura que contenga caracteres alfanuméricos y, si es posible, algún caracter extraño tipo numeral, arroba, coma o guion bajo. Acá hay algunos consejos para crear contraseñas seguras. Importante: no repetir usuario y clave de otros servicios (correo, redes sociales, etc.), en especial la del hosting.

2. Actualizar frecuentemente

Otro paso básico pero fundamental: tener la instalación de WordPress al día como también los plugins y plantillas. Cada tanto se descubre alguna vulnerabilidad pero rápidamente suelen aparecer los parches o correcciones que evitan los problemas. Igual comportamiento a seguir con plugins o plantillas que tengamos instaladas.

3. Realizar backups

La copia de seguridad es esa cosa que todo el mundo sabe que debe hacer pero no siempre lo cumple.Hay muchas empresas que ofrecen este servicio como CodeGuard que tiene un servicio que arranca en los USD $5 por mes. También existen plugins para WordPress que automatizan el proceso como BackupWordPress o WP-DB-Backup.

4. Usar plantillas y plugins de autores reconocidos

La trampa es vieja pero todavía funciona: muchos autores de virus hacen pasar sus creaciones por plugins o plantillas que tienen alguna utilidad. La realidad es que con algunas líneas de código extrañas metidas en el medio consiguen que perdamos el control de nuestro sitio web. WordPress tiene una enorme base de plugins y plantillas gratuitos. También hay muchos programadores y diseñadores que comparten libremente sus creaciones pero conviene tener cuidado y asegurarnos que provenga de una fuente segura.

5. Chequeos generales de seguridad

Conectarse al sitio de forma segura (SSL), usar una conexión de FTP segura (SFTP) y cambiar las claves con cierta frecuencia son otras prácticas seguras que sirven para tener a raya a los intrusos.