Temas

Una base sólida: protección de cuentas y dispositivos

Dispositivos Seguros

Además de las cuentas, es esencial mantener todos los dispositivos (computadoras, teléfonos, USB, discos duros externos, etc.) bien protegidos. Esta protección empieza por tener cuidado con el tipo de dispositivos que su organización y su personal compran y utilizan. Los proveedores o fabricantes que elija deben tener un historial demostrado de cumplimiento de las normas mundiales relativas al desarrollo seguro de dispositivos de hardware (como teléfonos y computadoras). Todos los dispositivos que adquiera los deben fabricar empresas de confianza que no tengan incentivos para entregar datos e información a un adversario potencial. Es importante señalar que el gobierno chino exige a las empresas chinas que proporcionen datos al gobierno central. Así que, a pesar de la presencia omnipresente y económica de teléfonos inteligentes como Huawei o ZTE, deben evitarse. Aunque el costo de un equipo barato puede ser muy atractivo para una organización, debido a los posibles riesgos de seguridad para las organizaciones que defienden la democracia, los derechos humanos o la rendición de cuentas, deberían orientarse hacia otras opciones de dispositivos, ya que este acceso a los datos ha contribuido a facilitar la persecución de determinadas personas y comunidades por parte del gobierno chino y otros gobiernos.

Sus adversarios pueden comprometer la seguridad de sus dispositivos (y todo lo que usted hace desde esos dispositivos) al obtener acceso físico o “remoto” a su dispositivo.

Seguridad de los Dispositivos y la Sociedad Civil

Foto cibernética

Algunos de los programas maliciosos más avanzados del mundo se han desarrollado y desplegado en todo el planeta para atacar a las organizaciones de la sociedad civil y a los defensores de los derechos humanos. En India, por ejemplo, Amnistía Internacional informó que al menos nueve defensores de los derechos humanos fueron objeto en 2020 de spyware (un tipo de software malicioso) en sus dispositivos móviles y computadoras. El spyware se distribuyó a través de una serie de correos electrónicos de phishing con enlaces a archivos infectados compartidos a través de Firefox Send (un programa de intercambio de archivos suspendido). En el caso de los objetivos que abrieron los archivos, sus dispositivos se infectaron con un software que grababa el audio, interceptaba las pulsaciones del teclado y los mensajes y, de hecho, los ponía bajo la total vigilancia de los atacantes. Este tipo de ataques, que con frecuencia se dirigen a grupos de la sociedad civil y a su personal individual, son una forma desgraciadamente común de que los atacantes obtengan acceso “remoto” a un dispositivo.

Acceso al dispositivo físico por pérdida o robo

Para evitar un compromiso físico, es esencial mantener sus dispositivos físicamente seguros. En resumen, no facilite que un adversario le robe o incluso le quite temporalmente su dispositivo. Mantenga los dispositivos bajo llave si los deja en casa o en la oficina. O si considera que es más seguro, llévelos consigo. Por supuesto, esto significa que parte de la seguridad de los dispositivos es la seguridad física de sus espacios de trabajo (ya sea en un entorno de oficina o en casa). Es posible que tenga que instalar cerraduras sólidas, cámaras de seguridad u otros sistemas de vigilancia, especialmente si su organización corre un alto riesgo. Recuerde al personal que debe tratar los dispositivos de la misma manera que trataría una gran cantidad de dinero en efectivo: no los deje tirados, desatendidos o desprotegidos.

¿Qué pasa si me roban un dispositivo?

Para limitar el impacto ocasionado si alguien consigue robar un dispositivo (o si solo acceden a él durante un breve período de tiempo), asegúrese de imponer el uso de contraseñas o códigos de acceso en las computadoras y teléfonos de todos. Los mismos consejos sobre contraseñas de la sección Contraseñas de este Manual se aplican a una buena contraseña para una computadora de escritorio o portátil. A la hora de bloquear el teléfono, utilice códigos de al menos seis u ocho dígitos y evite utilizar “patrones de deslizamiento” para desbloquear la pantalla. Para obtener más consejos sobre los bloqueos de pantalla, consulte el Data Detox Kit de Tactical Tech. El uso de buenas contraseñas para los dispositivos hace mucho más difícil que un adversario pueda acceder rápidamente a la información de su dispositivo en caso de robo o confiscación. Con un código de acceso seguro, activar el Face ID o el desbloqueo por huella dactilar puede estar bien, pero asegúrese de desactivarlo (dejando habilitado su código de acceso seguro) antes de cualquier actividad de alto riesgo, como protestas o cruces de fronteras, si usted y su personal están preocupados por la confiscación del dispositivo por parte de las autoridades.

Si alguno de los dispositivos entregados por la organización tiene una función “Find my Device” (Encontrar mi dispositivo), como Find My iPhone de iPhone y Find My Device de Android, considere la posibilidad de exigir al personal que la active. Anime al personal a utilizar estas funciones también en sus dispositivos personales. Con estas funciones activadas, el propietario del dispositivo (o un contacto de confianza) puede localizarlo o borrar a distancia su contenido en caso de robo, pérdida o confiscación. En el caso de los teléfonos iPhone, también puede configurar el dispositivo para borrar automáticamente después de varios intentos fallidos de inicio de sesión. Estas funciones de gestión de dispositivos adquieren una importancia fundamental para una organización cuando un dispositivo con información sensible se pierde o cae en manos equivocadas.

¿Y el cifrado de los dispositivos?

Es importante utilizar el cifrado, codificando los datos para que sean ilegibles e inutilizables, en todos los dispositivos, especialmente en computadoras y teléfonos inteligentes. Si es posible, debe configurar todos los dispositivos de su organización con algo llamado cifrado de disco. El cifrado de disco significa que la totalidad de un dispositivo está cifrada, de modo que un adversario, si lo robara físicamente, no podría extraer el contenido del dispositivo sin conocer la contraseña o la clave que se utilizó para cifrarlo.

Muchos teléfonos inteligentes y computadoras ofrecen cifrado de disco. Los dispositivos de Apple, como los iPhone y los iPads, activan convenientemente el cifrado de disco cuando se establece un código de acceso normal del dispositivo. Las computadoras Apple que usan macOS ofrecen una función llamada FileVault que puede activar para el cifrado de disco completo.

Los equipos con Windows que ejecutan licencias profesionales, empresariales o educativas ofrecen una función llamada BitLocker que puede activar para el cifrado de disco completo. Puede activar BitLocker siguiendo estas instrucciones de Microsoft; probablemente lo tenga que activar primero el administrador de su organización. Si el personal solo tiene una licencia doméstica para sus computadoras Windows, BitLocker no está disponible. Sin embargo, aún pueden activar el cifrado de disco completo al ir a “Update & Security” (Actualización y seguridad) > “Device encryption” (Cifrado de dispositivos) en la configuración del sistema operativo Windows.

Los dispositivos Android, a partir de la versión 9.0, vienen con el cifrado de archivos activado de manera predeterminada. El cifrado basado en archivos de Android funciona de forma diferente al cifrado de disco, pero proporciona una gran seguridad. Si utiliza un teléfono Android relativamente nuevo y ha establecido un código de acceso, el cifrado basado en archivos debería estar activado. Sin embargo, es una buena idea comprobar la configuración para estar seguro, especialmente si el teléfono tiene más de un par de años. Para comprobarlo, vaya a “Settings” > “Security” (Ajustes > Seguridad) en su dispositivo Android. Dentro de la configuración de seguridad, debería ver una subsección de “cifrado” o “cifrado y credenciales”, que le indicará si su teléfono está cifrado y, si no, le permitirá activar el cifrado.

En el caso de las computadoras (ya sean Windows o Mac), es especialmente importante guardar las claves de cifrado (denominadas claves de recuperación) en un lugar seguro. En la mayoría de los casos, estas “claves de recuperación” son esencialmente contraseñas largas o frases de contraseña. En caso de que olvide la contraseña normal de su dispositivo o de que ocurra algo inesperado (como una falla del dispositivo), las claves de recuperación son la única forma de recuperar sus datos cifrados y, si es necesario, trasladarlos a un nuevo dispositivo. Así que cuando active el cifrado de disco, asegúrese de guardar estas claves o contraseñas en un lugar seguro, como una cuenta segura en la nube o el administrador de contraseñas de su organización.

Acceso remoto a dispositivos, también conocido como piratería

Además de mantener los dispositivos físicamente seguros, es importante mantenerlos libres de malware. La publicación Security-in-a-Box de Tactical Tech ofrece una descripción útil de lo que es el malware y por qué es importante evitarlo, lo que se adapta ligeramente en el resto de esta sección.

Entender y evitar el malware

Hay muchas maneras de clasificar el malware (un término que significa software malicioso). Los virus, el spyware, los gusanos, los troyanos, los rootkits, el ransomware y los cryptojackers son todos tipos de malware. Algunos tipos de malware se propagan por internet a través del correo electrónico, los mensajes de texto, las páginas web maliciosas y otros medios. Algunos se propagan a través de dispositivos como las memorias USB que se utilizan para intercambiar y robar datos. Y, mientras que algunos tipos de malware requieren que un objetivo desprevenido cometa un error, otros pueden infectar silenciosamente los sistemas vulnerables sin que usted haga nada malo.

Además del malware general (que se libera ampliamente y está dirigido al público en general), el malware selectivo suele utilizarse para interferir o espiar a una persona, organización o red en particular. Los delincuentes habituales utilizan estas técnicas, pero también lo hacen los servicios militares y de inteligencia, los terroristas, los acosadores en línea, los cónyuges maltratadores y los actores políticos sospechosos.

Se llamen como se llamen y se distribuyan como se distribuyan, los programas maliciosos pueden arruinar las computadoras, robar y destruir datos, llevar a las organizaciones a la bancarrota, invadir la privacidad y poner en peligro a los usuarios. En resumen, el malware es realmente peligroso. Sin embargo, hay algunas medidas sencillas que su organización puede tomar para protegerse contra esta amenaza común.

¿Nos protegerá una herramienta contra el malware?

Lamentablemente, las herramientas contra el malware no son una solución completa. Pero es una muy buena idea utilizar algunas herramientas básicas y gratuitas como base. Con nuevos riesgos tan frecuentes en el mundo real, el malware cambia tan rápido que confiar en cualquier herramienta de este tipo no puede ser su única defensa.

Si utiliza Windows, debería echar un vistazo al Windows Defender incorporado. Las computadoras Mac y Linux no llevan incorporado un software contra el malware, ni tampoco los dispositivos Android e iOS. Puede instalar una herramienta de confianza y de uso gratuito como Bitdefender o Malwarebytes para esos dispositivos (y también para las computadoras con Windows).  Pero no confíe en eso como su única línea de defensa, ya que seguramente no resistirán algunos de los nuevos ataques más específicos y peligrosos.

Además, tenga mucho cuidado de descargar únicamente herramientas contra malware o antivirus de buena reputación de fuentes legítimas (como los sitios web con enlaces mencionados anteriormente). Por desgracia, existen muchas versiones falsas o comprometidas de herramientas contra malware que hacen mucho más daño que bien.

Si utiliza Bitdefender u otra herramienta contra malware en su organización, asegúrese de no ejecutar dos de ellas al mismo tiempo. Muchas de ellas identificarán el comportamiento de otro programa contra el malware como sospechoso y detendrán su ejecución, lo que dejará a ambos en mal funcionamiento. Bitdefender u otros programas contra el malware de buena reputación pueden actualizarse gratuitamente, y el Windows Defender incorporado recibe actualizaciones junto con su computadora. Asegúrese de que su software contra malware se actualice con regularidad (algunas versiones de prueba del software comercial que se entrega con la compra de una computadora se desactivan después de que expira el período de prueba, lo que vuelve al software más peligroso que útil). Cada día se escriben y distribuyen nuevos programas de malware, y su computadora se volverá rápidamente más vulnerable si no se mantiene al día con las nuevas definiciones de malware y las técnicas contra el malware. Si es posible, debe configurar su software para que instale las actualizaciones automáticamente. Si su herramienta contra malware tiene una función opcional “siempre activa”, debe activarla y considerar la posibilidad de escanear ocasionalmente todos los archivos de su computadora.

Mantener los dispositivos actualizados

Las actualizaciones son esenciales. Utilice la última versión de cualquier sistema operativo que se ejecute en un dispositivo (Windows, Mac, Android, iOS, etc.), y mantenga ese sistema operativo actualizado. Mantenga también actualizado el resto del software, el navegador y los complementos del mismo. Instale las actualizaciones tan pronto como estén disponibles, idealmente activando las actualizaciones automáticas. Cuanto más actualizado esté el sistema operativo de un dispositivo, menos vulnerabilidades tendrá. Piense en las actualizaciones como si pusiera una curita sobre un corte abierto. Sella una vulnerabilidad y reduce en gran medida la posibilidad de que su computadora se infecte. Desinstale también el software que ya no utilice. El software obsoleto suele tener problemas de seguridad, y es posible que haya instalado una herramienta que el desarrollador ya no actualiza, lo que la hace más vulnerable a los hackers.

El Malware en el Mundo Real: Las Actualizaciones son Esenciales

Foto de software malicioso

En 2017, los ataques de ransomware WannaCry infectaron millones de dispositivos en todo el mundo, dejando fuera de servicio hospitales, entidades gubernamentales, organizaciones grandes y pequeñas y empresas en decenas de países. ¿Por qué fue tan efectivo el ataque? Debido a los sistemas operativos Windows desactualizados y “sin parches”, a muchos de los cuales los piratearon primero. Gran parte de los daños (humanos y financieros) podrían haberse evitado con mejores prácticas de actualización automatizada y el uso de sistemas operativos legítimos.

Cuidado con los USB

Tenga cuidado al abrir los archivos que le envíen como adjuntos, a través de enlaces de descarga o por cualquier otro medio. Además, piénselo dos veces antes de insertar en su computadora elementos extraíbles, como memorias USB, tarjetas de memoria flash, DVD y CD, ya que pueden ser un vector de malware. Los dispositivos USB que han sido compartidos durante un tiempo son muy propensos a tener virus. Para conocer opciones alternativas para compartir archivos de forma segura en toda la organización, eche un vistazo a la sección de intercambio de archivos del Manual.

Tenga también cuidado con los dispositivos que conecta a través de Bluetooth. Está bien sincronizar el teléfono o la computadora con un altavoz Bluetooth conocido y de confianza para reproducir su música favorita, pero tenga cuidado con vincular o aceptar solicitudes de cualquier dispositivo que no reconozca. Permita solo las conexiones con dispositivos de confianza y recuerde apagar Bluetooth cuando no esté en uso.

Sea inteligente mientras navega

Nunca acepte ni ejecute aplicaciones que provengan de sitios web que no conozca y en los que no confíe. En lugar de aceptar una “actualización” ofrecida en una ventana emergente del navegador, por ejemplo, compruebe si hay actualizaciones en el sitio web oficial de la aplicación correspondiente. Tal y como se comenta en la sección sobre phishing del Manual, es esencial mantenerse alerta cuando se navega por sitios web. Compruebe el destino de un enlace (pasando el mouse por encima) antes de hacer clic, eche un vistazo a la dirección del sitio web después de seguir un enlace y asegúrese de que parezca adecuada antes de introducir información personal, como su contraseña. No haga clic en los mensajes de error o las advertencias, esté atento a las ventanas del navegador que aparezcan automáticamente y léalas detenidamente en lugar de limitarse a hacer clic en Sí o en Aceptar. 

¿Qué sucede con los teléfonos inteligentes?

Al igual que en el caso de las computadoras, mantenga actualizados el sistema operativo y las aplicaciones de su teléfono, y active las actualizaciones automáticas. Realice instalaciones solo desde fuentes oficiales o de confianza, como la Play Store de Google y la App Store de Apple (o F-droid, una tienda de aplicaciones gratuita y de código abierto para Android). Las aplicaciones pueden tener malware insertado y aún así parece que funcionan con normalidad, por lo que no siempre sabrá si una es maliciosa. Asegúrese también de que descarga la versión legítima de una aplicación. Especialmente en los Android, existen versiones “fake” (falsas) de aplicaciones populares. Así que asegúrese de que una aplicación la haya creado la empresa o el desarrollador adecuados, que tenga buenas críticas y el número de descargas esperado (por ejemplo, una versión falsa de WhatsApp podría tener solo unos cuantos miles de descargas, pero la versión real tiene más de 5,000 millones). Preste atención a los permisos que solicitan sus aplicaciones. Si parecen excesivas (como una calculadora que pide acceso a su cámara o Angry Birds que pide acceso a su ubicación, por ejemplo), niegue la petición o desinstale la aplicación. Desinstalar las aplicaciones que ya no use también puede ayudar a proteger su teléfono inteligente o tableta. Los desarrolladores a veces venden la propiedad de sus aplicaciones a otras personas. Estos nuevos propietarios pueden intentar ganar dinero al añadir código malicioso.

El Malware en el Mundo Real: Aplicaciones Móviles Maliciosas

Pantalla de iphone

Durante años, los hackers de múltiples países han utilizado aplicaciones falsas en la tienda Google Play para distribuir malware. Un caso concreto dirigido a usuarios de Vietnam salió a la luz en abril de 2020. Esta campaña de espionaje utilizaba aplicaciones falsas, que supuestamente ayudaban a los usuarios a encontrar pubs cercanos o a buscar información sobre las iglesias locales. Una vez instaladas por los usuarios involuntarios de Android, las aplicaciones maliciosas recopilaban registros de llamadas, datos de localización e información sobre contactos y mensajes de texto. Esta es solo una de las muchas razones para tener cuidado con las aplicaciones que se descargan en los dispositivos.

Ahorre dinero y aumente la seguridad de los dispositivos con Tails para su Organización

Una opción muy segura, pero que requiere un poco de habilidad técnica para configurarla, es el sistema operativo Tails. Este sistema operativo portátil es de uso gratuito y puede activarse directamente desde un dispositivo USB, lo que evita la necesidad de depender de sistemas operativos con licencia de Windows o Mac. Tails también es una buena opción para aquellos que corren un riesgo extremadamente grande, ya que incorpora una amplia gama de funciones que mejoran la privacidad. Estas funciones incluyen la integración de Tor (de la que hablaremos más adelante) para asegurar su tráfico web, y el borrado completo de la memoria cada vez que apaga el sistema operativo. Estas funciones le permiten esencialmente comenzar con un estado original cada vez que reinicie su computadora. Tails también tiene un “modo de persistencia”, que permite guardar archivos y configuraciones importantes en varias sesiones, si lo desea.

Otra opción para un sistema operativo gratuito y seguro es Qubes OS. Aunque no es la opción más sencilla para los usuarios no técnicos, Qubes está diseñado para limitar la amenaza del malware y es otra opción a tener en cuenta para los usuarios más avanzados y con alto riesgo de su organización, especialmente si los costos de las licencias son un desafío.

¿Y si no podemos costear un software legal?

Puede resultar caro comprar versiones con licencia de programas populares como Microsoft Office (Word, PowerPoint, Excel) para toda la organización, pero un presupuesto limitado no es excusa para descargar versiones piratas de software o no mantenerlas actualizadas. No se trata de una cuestión de moral, sino de seguridad. El software pirata suele estar repleto de malware y, a menudo, no se pueden cubrir con parches las vulnerabilidades de seguridad. Si no puede hacer frente al software que necesita su organización, existe una amplia gama de programas gratuitos de código abierto, como LibreOffice (un sustituto de las aplicaciones estándar de Microsoft Office) o GIMP (un sustituto de Photoshop), que pueden satisfacer sus necesidades. Considere también la posibilidad de registrarse a través de Tech Soup, una organización que ofrece grandes descuentos en software popular para organizaciones sin fines de lucro. Incluso si puede adquirir software y aplicaciones legítimos, su dispositivo sigue estando en peligro si el sistema operativo subyacente no es legítimo. 

Así que si su organización no puede adquirir licencias de Windows, considere alternativas más baratas como los Chromebooks, que son una opción excelente y fácil de proteger si su organización trabaja principalmente en la nube. Si utiliza Google Docs o Microsoft 365, no necesita muchas aplicaciones de escritorio: los editores gratuitos de documentos y planillas de cálculo en el navegador son más que suficientes para casi cualquier uso. Si tiene personal con conocimientos técnicos, otra opción es instalar en cada computadora un sistema operativo gratuito basado en Linux (una alternativa de código abierto a los sistemas operativos Windows y Mac). Una opción de Linux popular y bastante fácil de usar es UbuntuIndependientemente del sistema operativo que elija, asegúrese de que alguien en la organización sea responsable de comprobar regularmente con el personal que han aplicado las últimas actualizaciones. 

Cuando está tomando una decisión sobre una nueva herramienta o sistema, considere cómo su organización puede respaldarlo técnicamente y financieramente a largo plazo. Hágase preguntas como: ¿Puede pagar y retener al personal necesario para mantenerlo de manera segura? ¿Se pueden pagar suscripciones recurrentes? ¿Tienes acceso a descuentos de grupos como el mencionado TechSoup? Responder a estas preguntas puede ayudar a garantizar que sus estrategias de software y tecnología sean más exitosas con el tiempo.

Mantener la Seguridad de los Dispositivos

  • Capacite al personal sobre los riesgos del malware y las mejores prácticas para evitarlo.
    • Proporcione políticas sobre la conexión de dispositivos externos, hacer clic en enlaces, descargar archivos y aplicaciones, y la comprobación de los permisos de software y aplicaciones.
  • Ordene que los dispositivos, el software y las aplicaciones se mantengan totalmente actualizados.
    • Active las actualizaciones automáticas siempre que sea posible.
  • Asegúrese de que todos los dispositivos utilicen software con licencia.
    • Si el costo es prohibitivo, cambie a una alternativa gratuita.
  • Exija la protección con contraseña de todos los dispositivos de la organización, incluso los dispositivos móviles personales que se utilizan para las comunicaciones relacionadas con el trabajo.
  • Habilite el cifrado de disco completo en los dispositivos.
  • Recuerde con frecuencia al personal que mantenga sus dispositivos físicamente seguros, y gestione la seguridad de su oficina con cerraduras adecuadas y formas de proteger las computadoras.
  • No comparta archivos utilizando dispositivos USB ni conecte dispositivos USB a sus computadoras.
    • Utilice opciones alternativas para compartir archivos de forma segura.