Maquinas virtuales para protegernos de virus y malware

En esta ocasión quiero presentaros una opción para protegernos de virus o malware cuando accedemos a sitios delicados, como el banco o bien a sitios peligrosos, como pueden ser los de descargas (mejor usar sitios legales).

Una solución pasa por utilizar maquinas virtuales para acceder específicamente a esos sitios.

En este screencast os muestro como instalar un Centos 7, que es una distribución Linux, en una máquina virtual Virtual Box.

Esta instalación al ser de un clon de RedHat, que es una distribución Linux muy usada en entornos empresariales os puede servir de guía si queréis utilizarlo para cuestiones de trabajo y realizar pruebas como la que realiza en la serie de BigData con Spark

Espero que os sea de utilidad.

Proteger las cuentas en la nube: Verificación en dos pasos

Que lejos quedan los tiempos en los que solo manejábamos una contraseña en Internet, la de la conexión telefónica, que era la misma que la del correo. Hoy día manejamos cantidades muy considerables de usuarios y contraseñas, en gmail, en las redes sociales, en los comercios electrónicos y en un etcétera de sitios web que nos piden registrarnos para poder usarlos.

Tantas contraseñas que llegan a convertirse en un problema. Hay personas que abordan esta proliferación de registros en sitios web utilizando la misma contraseña en todos lo sitios. Algo que no es muy seguro. Otros utilizan diferentes contraseñas para cada sitio y se apoyan en herramientas que permiten mantener una relación de sitio web y contraseña utilizada, incluso permitiendo generar aleatoriamente la contraseña.

Porque este es otro de los problemas con las contraseñas, que son más seguras cuanto más largas sean y más caracteres especiales contengan. Y a ser posible que no sean contraseñas de diccionario, es decir una palabra que se pueda encontrar en un diccionario. Pero cuanto más segura es la contraseña, normalmente es mas complicado acordarse de ella.

En todos los casos las contraseñas no son un mecanismo de un nivel de fortaleza muy alto. De hecho dentro de los diferentes mecanismos de autenticación que existen el usuario y contraseña está catalogado como de los más bajos en nivel de fortaleza. Todos hemos visto en los medios de comunicación casos de personajes famosos a los que les han robado fotos del móvil o de la nube. O de comunicados de sitios web que pedían a sus usuarios que cambiasen la contraseña porque habían sufrido un robo de las mismas. Y sin necesidad de llegar tan lejos en una ocasión me encontré mi cuenta de Facebook bloqueada porque habían detectado una entrada anómala. Algún hacker estaba intentando acceder a mi cuenta desde Rusia.

Porque antiguamente para que te robasen algo tenían que entrar físicamente en tu casa. Pero con la proliferación de servicios en la nube esa seguridad física ha desaparecido.

Debido a todos estos problemas las principales empresas que ofrecen sus servicios en la nube han implementado mecanismos para dotar de mayor seguridad a sus servicios. Estos mecanismos son los que se conocen como verificación en dos pasos o de dos factores.

Su funcionamiento se basa en algo que sabemos, primer paso o factor y en algo que tenemos, segundo paso o factor.

Normalmente lo que sabemos es una contraseña y lo que tenemos suele ser o una tarjeta de coordenadas, popularmente conocidas como guerra de barcos, o bien un móvil.

Las tarjetas de coordenadas suelen ser más utilizadas por bancos y organismos oficiales ya que suponen entregar físicamente una tarjeta al usuario. Algo que no es tan sencillo para sitios web que están radicados en el extranjero. El inconveniente es que si queremos acceder al sitio web tenemos que portar la tarjeta para poder consultarla, lo cual puede ser un incordio.

Pero hay algo que todos llevamos encima siempre y es el teléfono móvil. Así que muchos sitios recurren al envío de un SMS con una contraseña de un solo uso, conocida como OTP (One Time Password). Pero este método tiene un par de inconvenientes. Tiene un coste, al enviar un SMS y, aunque no es muy habitual, puede ser que no te llegue el código antes de que caduque. A me ha ocurrido en alguna ocasión.

Las grandes empresas tecnológicas que prestan sus servicios en la nube utilizan una variante del OTP conocida como TOTP (Time-based One Time Password).

En este caso se suele disponer de una aplicación en el móvil, normalmente Google Authenticator que genera una contraseña en intervalos de 30 segundos y que deberemos introducir cuando se nos solicite. Servicios como la propia Google, Evernote o GitHub entre otros permiten configurar la autenticación en dos pasos utilizando la aplicación Google Authenticator.

El proceso suele ser muy sencillo, normalmente consiste en entrar en la configuración de servicio que queremos proteger y activar la autenticación en dos pasos. Momento en el que se nos mostrará un código QR en la pantalla del ordenador y que deberemos capturar con la cámara del móvil y que nos configurará la aplicación. A partir de ese momento cuando nos pidan el código deberemos entrar en la aplicación y poner el código que nos genera.

Es muy conveniente activar la autenticación en dos pasos en todos aquellos servicios que utilicemos. Nos proporciona mayor seguridad, es sencillo de hacer y no muy engorroso de utilizar.

 

 

Protección de datos del portatil

Hoy día con la bajada de precios del hardware es bastante común que dispongamos de portátiles para realizar nuestro trabajo.

No voy a describir los beneficios de tener un portátil o no, pero si quiero centrarme en un aspecto que me parece muy importante y es la protección de los datos en caso de robo o extravío.

Es bastante común que tengamos contraseñas de sitios almacenadas en el ordenador, así como documentos, tanto de nuestra empresa como de nuestros clientes que pueden ser confidenciales.

Existe una forma bastante sencilla de proteger toda esta información, que consiste en emplear dos o tres programas.  No estoy hablando de protegerlo contra hackers o la NSA, sino contra el ratero.

Por una parte TrueCrypt  nos permite tener un disco duro virtual basado en un fichero encriptado. Esto nos permite tener almacenados documentos que si no se dispone de la contraseña para montar el disco duro no van a poder ser accedidos.

Por otra parte complementando al TrueCrypt tenemos PortableApps que es una aplicación que nos permite tener versiones portables de muchos programas, es decir sin necesidad de instalación. Una de las aplicaciones más interesantes es el Chrome, es decir el navegador de Google.

Podemos, en vez de utilizar el Chrome instalable, utilizar la versión portable dejándola en el disco duro que hemos creado con TrueCrypt. En caso de perdida del portátil sin la contraseña no van a poder acceder al disco duro y consiguientemente tampoco a todas las contraseñas que hay guardadas en el navegador.

El problema de la proliferación de contraseñas

Este ha sido un año de compras navideñas por Internet, en varios sitios en los que no había comprado nunca. Esto ha supuesto que me he tenido que registrar en nuevos sitios.

Hasta ahora seguía un método para registrarme en estos sitios basado en utilizar las mismas contraseñas. Pero empieza a ser un problema porque no todos los sitios admiten los mismos criterios de contraseñas y por ejemplo te piden una longitud mínima o tener mayúsculas y minúsculas, con lo que empieza a ser un problema el recordarlas todas.

Aparte el usar las mismas contraseñas implica asumir un cierto riesgo ya que con una contraseña reventada se puede acceder a muchos sitios. Como se suele decir la resistencia de una cadena es la de su eslabón mas débil.

Es por ello que me he planteado que debo poner remedio a esta situación.

La primera opción que me planteo es la de tener un ficherito de texto encriptado con gnupg. El primer problema que se plantea esta situación es que debes de tener el software instalado en donde quieras utilizar las contraseñas y hoy día en el que utilizamos en nuestro día a día varios ordenadores (casa, trabajo, portátil, móvil,…) no es un planteamiento muy factible.

La siguiente opción que se plantea es utilizar un software de creación de discos virtuales encriptados, estilo TrueCrypt . Esta opción es interesante ya que no solo te permite guardar contraseñas sino cualquier tipo de ficheros. Pero sigue teniendo el mismo problema que el gnupg y es el hecho de necesitar tener instalado software en donde quieras utilizarlo.

La siguiente opción que se plantea es usar algún programa específico para estos menesteres. Existe en KDE un programa que se llama kwallet que ya uso para las contraseñas del ordenador de sobremesa de casa, pero me falla en el uso desde el móvil y en sistemas no Linux, como el ordenador del trabajo.

Al final buscando por Internet he llegado al programa Keepass que creo que puede satisfacer mis necesidades:

  • Multiplataforma: Linux, Android y Windows, con la posibilidad de tener una versión portable.
  • Open Source: Me fío mas de un código que es público.

Me ha servido de información las siguientes direcciones:

http://www.kriptopolis.org/el-peligro-de-reutilizar-passwords

http://www.kriptopolis.org/keepass-contrasenas-a-buen-recaudo

http://es.wikipedia.org/wiki/Gestor_de_contraseñas