Mes de la Ciberseguridad: Tips Zerolynx Capítulo 4

¡Muy buenas!

Bienvenidos al cuarto y último video de tips de seguridad de Zerolynx. Hoy, nuestro compañero Luis Vázquez analista senior de ciberseguridad nos trae un único consejo, pero de una gran importancia.

Si nos seguís por redes sociales, nos habréis escuchado decir muchísimas veces que las contraseñas que usamos en nuestro día a día deben ser robustas, usando la mayor cantidad posible de caracteres especiales, mayúsculas, minúsculas y números. Pero claro, ¿quién se puede acordar de contraseñas tan largas? Tradicionalmente hemos usado los post-it para escribir estas contraseñas tan difíciles de recordar, pero hoy en día tenemos claro que esta no es una buena opción. Para evitar el uso de estos soportes, los navegadores actuales traen gestores de contraseñas incorporados que introducen automáticamente las credenciales necesarias cuando accedemos al login de una página web. Y, claro, parece evidente que estos sistemas son más seguros que un post-it, pero… ¿podemos confiar en ellos?

Si accedemos al gestor de contraseñas de un Google Chrome, por ejemplo. podremos comprobar que, si queremos ver las credenciales que usamos para acceder a algún sitio web, tenemos que introducir nuestra contraseña de Windows, evitando que un atacante pueda ver las contraseñas si tuviera acceso a nuestro equipo de alguna forma.

Ahora bien, ¿existe alguna forma de obtener estas credenciales en claro sin conocer la contraseña? Por desgracia, sí, si tienes acceso de Administrador al equipo. Las credenciales del gestor de Chrome se almacenan en una base de datos cifrada con una clave AES llamada “Stage Key”, que a su vez se encuentra cifrada mediante la API de protección de datos de Windows (conocida como DPAPI). Esta API cifra utilizando una clave única por cada usuario del sistema llamada “DPAPI Master Key”, que puede ser obtenida con una herramienta muy conocida en el mundo hacker llamada Mimikatz si tenemos privilegios de Administrador en el equipo. Una vez se obtenga esta clave, podremos descifrar la Stage Key de Chrome y, con ello, la base de datos de credenciales almacenadas.

Los gestores de contraseñas de los navegadores son más fiables que un post-it, pero ni mucho menos son totalmente seguros. Ahora bien, ¿qué podemos considerar seguro? Desde Zerolynx recomendamos el uso de Keepass, una herramienta Open Source que cifra nuestra base de datos de credenciales con una contraseña que sólo nosotros conoceremos. En nuestra mano queda que esta contraseña sea robusta y no quede escrita en ningún sitio.

Y esto es todo. Esperamos sinceramente que estos cuatro vídeos os hayan servido para mejorar vuestra seguridad. No dudéis en seguirnos en redes sociales y seguir aprendiendo con nosotros. ¡Muchas gracias y hasta pronto!

Mes de la ciberseguridad: Tips Zerolynx Capítulo 2

¡Muy buenas!

Bienvenidos al segundo video de tips con motivo del mes de la ciberseguridad de Zerolynx. Hoy nuestra compañera Laura, consultora junior de ciberseguridad, nos trae una serie de consejos que podemos aplicar en nuestro día a día tanto a nivel personal como profesional.

La gran mayoría de las personas que habitualmente utilizan perfiles en redes sociales publican fotos que, muchas veces, dan información de más sin querer. Esto es porque en todos los ficheros existe una información extra que no se encuentra a la vista: los metadatos. Son datos internos del propio archivo y que puede dar información sobre el propietario, la ubicación, la fecha de creación y modificación, el dispositivo con el que se ha tomado la foto, etc. Por ello, siempre que sea posible, es recomendable que se eliminen los metadatos de los archivos y fotos que se comparten.

Siguiendo con la seguridad y privacidad, es importante que se revisen las opciones de privacidad de los perfiles y cuentas en redes sociales para tener el control de la información que los demás pueden ver. Por otra parte, si se quieren evitar miradas indiscretas a las pantallas del ordenador o el teléfono móvil se puede hacer uso de filtros de privacidad que ocultan lo que se está viendo desde ciertos ángulos. También se puede mejorar la privacidad tapando la webcam con un ipatch, es decir, con las tapitas de plástico que se suelen poner en las cámaras de los portátiles.

Dentro de los aspectos importantes que pueden afectar a la seguridad en el día a día también se puede hablar del phishing. Un phishing es un método mediante el que los ciberdelincuentes tratan de engañar a sus víctimas para que revelen información personal, como son contraseñas, datos bancarios o de tarjetas de crédito, entre otros. Se pueden recibir tanto por correo electrónico, como por SMS (smishing) o llamada telefónica (vishing). Y, ¿cómo se pueden detectar? Tanto en correos electrónicos como en SMS, por ejemplo, los enlaces que se incluyen suelen encontrarse alterados y no llevan a la página web original del sitio que están suplantando, los textos contienen faltas de ortografía y, en ocasiones, la página web a la que redirige no tiene en el navegador una indicación de que esta sea segura, por ejemplo, mediante un candado cerrado. También hay que verificar que quien envía este correo es alguien conocido, aunque igualmente hay que estar alerta, porque pueden haberle robado la cuenta y estar sufriendo una suplantación de identidad.

Por otra parte, otra cuestión a tener en cuenta es la privacidad en las comunicaciones por correo electrónico, que puede reforzarse utilizando un sistema de cifrado. Para ello se puede hacer uso de PGP (Pretty Good Privacy), por ejemplo, mediante la aplicación llamada Kleopatra. Con ella, se puede generar un par de claves, pública y privada. Se debe intercambiar la clave pública con los destinatarios, para poder cifrar el contenido de los correos electrónicos, así como los ficheros adjuntos, de manera que solo estos puedan descifrarlos con sus claves privadas.

Por último, otra recomendación es emplear software de cifrado que permita proteger nuestra información en caso de que sea robada. Actualmente, los dispositivos móviles y equipos portátiles cuentan con opciones de seguridad que permiten cifrar la información independientemente del sistema operativo. Para ello, existen aplicaciones de cifrado como por ejemplo, BitLocker, FileVault o VeraCrypt.

Esperamos que estas recomendaciones os hayan sido de utilidad y os permitan disfrutar de internet de una manera mucho más segura. 

Muchas gracias y… ¡nos vemos pronto!

Día Mundial del Videojuego

Hoy, 29 de agosto, se celebra el Día Mundial del Videojuego o Día del Gamer. Los videojuegos con el paso de los años y gracias a las nuevas tecnologías se han expandido de una forma vertiginosa y cada vez son más las personas que juegan online cada día. Desde Zerolynx queremos aprovechar esta ocasión para daros una serie de consejos para que vuestra navegación sea lo más segura posible. 

• Es crucial utilizar contraseñas seguras para evitar accesos no autorizados. Una contraseña débil o repetida supone una puerta abierta a nuestra información. Para evitarlo, debemos definir contraseñas fuertes, basadas en frases de paso, aleatorias y que tengan al menos 12 caracteres e incluyan mayúsculas, minúsculas, símbolos y números. En este sentido, es indispensable no repetir contraseñas en todas nuestras cuentas y utilizar un 2FA (doble factor de autenticación), para obtener una protección mayor.

• Tened cuidado con registraros en páginas que encontramos en anuncios online. Puede que, con la esperanza de conseguir descuentos o regalos en un videojuego, nos suscribamos a servicios de micropagos que podrían ser fraudulentos. Confiad sólo en fuentes oficiales.

• Recordad desconfiar siempre de staff o administradores de páginas que pidan información confidencial como, por ejemplo, las contraseñas. Son datos que no debemos revelar si queremos proteger nuestras cuentas de posibles robos. 

• En Internet se anuncian muchos software para hacer trampas en videojuegos (cheats). No es ético y muchas plataformas de juego lo penalizan, además estas aplicaciones suelen contener malware que puede infectar tu ordenador y robarte tu información. 

Ojalá os resulten útiles estos consejos y, si hay algo de la lista que no habíais tenido en cuenta, hoy es un buen día para ponerlo en práctica y hacer de vuestro tiempo de ocio online un espacio seguro. 

También queremos aprovechar este día para recordaros que el 14 de septiembre empieza la décima temporada del ESL Masters CSGO y al igual que en la anterior estaremos con muchas sorpresas preparadas. Estad atentos a nuestras redes si no queréis perderos nada 😊 ¡Nos vemos pronto!