Las diez leyes inmutables de la seguridad digital

Las diez leyes inmutables de la seguridad digital

Si quieres preservar tu seguridad digital, lo primero que debes hacer es comprender estos principios.

Hace dieciséis años desde que Scott Culp, entonces investigador de seguridad en Microsoft, escribió un artículo titulado "Diez leyes inmutables de la seguridad". Estos lineamientos siguen vigentes, en particular porque nos permiten comprender la manera en la que son creadas las vulnerabilidades más relevantes: estos problemas no derivan de fallas en la forma en que los productos fueron creados, sino más bien de la manera en que funcionan los ordenadores y la forma en que los usuarios se relacionan con ellos.

1: Si un "tipo malo" puede persuadirte de ejecutar su programa en tu ordenador, ya no es más tu ordenador

Cuando ejecutas un programa o aplicación, estás tomando la decisión de entregarle cierto nivel de control sobre tu equipo. Ésta es la razón por la cual es importante no ejecutar jamás un programa que venga de una fuente en la que no confíes. Una simple búsqueda en internet de cualquier cosa que desees descargar (ese último episodio de Juego de Tronos) te llevará a miles de resultados llenos de phishing y malware, y con frecuencia basta simplemente con hacer clic en ellos para entregar el control de tu equipo a un software malintencionado.

2: Si un "tipo malo" puede alterar el sistema operativo de tu ordenador, ya no es más tu ordenador

¿Qué es un sistema operativo? Archivos almacenados en tu equipo que le dicen qué debe hacer. Si alguien más puede cambiar esos archivos, pues tu equipo puede hacer cosas completamente diferentes, como entregar tu información, almacenar tus pulsaciones de teclado, o borrar tus archivos. Ésta es la razón por la cual existen privilegios de administrador, y la razón por la cual no deberías usar una cuenta de administrador para tus actividades cotidianas.

3: Si un "tipo malo" tiene acceso físico a tu ordenador, ya no es tu ordenador

Sin importar que tu ordenador esté protegido con contraseña, hay un millón de maneras increíblemente sencillas de obtener acceso a toda la información contenida en él si tu adversario obtiene acceso físico al dispositivo. Ésta es la razón por la cual tus dispositivos deben estar físicamente protegidos contra un atacante (hay candados y alarmas par portátiles, y en general cifrar tus datos nunca es mala idea).

4: Si permites que un "tipo malo" ejecute contenido activo en tu sitio web, ya no es más tu sitio web

Si tu sitio web ofrece espacios abiertos donde las personas pueden subir archivos, y si esto permite que alguien suba programas que puedan ejecutarse en tu servidor o en el navegador de las personas que visiten el sitio web, esta persona podría obtener control de tus servidores, del almacenamiento de datos o de la red misma, y si hay otros sitios hospedados en la misma infraestructura, esto crearía peligros para ellos también.

5: Las contraseñas débiles derrotan la seguridad fuerte

De nada sirve usar contraseñas en todos tus dispositivos y cuentas en línea, si el "tipo malo" puede hacerse con tu contraseña. Aprender a desarrollar contraseñas complejas es probablemente una de las medidas más esenciales que puedes tomar para preservar tu seguridad digital.

seguridad digital
"Phone security" por Ervins Strauhmanis bajo licencia CC BY 2.0.

6: Un ordenador sólo está seguro en la medida en que su administrador es confiable

Todo ordenador tiene un administrador: alguien con los privilegios suficientes para instalar software, administrar el sistema operativo, añadir nuevos usuarios, etcétera. Esto significa, una persona con control absoluto sobre el ordenador: si el administrador no es confiable, está en capacidad de modificar o revertir cualquier medida de seguridad que hayas tomado, así como de borrar cualquier evidencia de ello. Por ende, sólo debes otorgar privilegios de administrador a personas en las que puedas confiar por completo.

7: Los datos cifrados sólo están tan seguros como la llave de cifrado

En el mismo orden de ideas de las contraseñas débiles, si dejas la llave de tu casa debajo de una maceta en la puerta, no importa qué tan buena sea la cerradura. Tu llave de cifrado debe estar almacenada en algún lugar, y si el lugar donde está almacenada no es un lugar seguro, tus comunicaciones cifradas tampoco lo está. Si tu llave de cifrado es una contraseña, hazla tan fuerte como sea posible, y memorízala.

8: Un antivirus/antimalware desactualizado es sólo ligeramente mejor que ningún antivirus

Todos los días se crea nuevo malware: si la base de datos de malware está desactualizada, no reconocerá el malware más reciente. El malware tiene un tiempo de vida relativamente corto, dado que se esparce precisamente en el tiempo en el que los antivirus aún no pueden detectarlo: es indispensable acortar esa ventana de oportunidad tanto como sea posible, actualizando el software regularmente.

9: El anonimato absoluto no es factible, online u offline

A menos que te mudes a una cueva en medio de la nada. Toda interacción humana implica un intercambio de datos, y si bien puedes protegerte en gran medida (usando anonimizadores, deshabilitando las cookies, navegando a través de Tor), la realidad es que no tienes control sobre la gran mayoría de la información que existe sobre ti en el mundo, y sumar una cantidad suficiente de información para identificarte es extremadamente fácil. Esto es lo mismo que decir que puedes tomar medidas para proteger tu privacidad, en particular si sabes de quién la estás protegiendo, pero si lo que buscas es completo y total anonimato, tendrás que empezar por desconectar el WiFi y mudarte al bosque.

10: La tecnología no es una panacea

No existe tal cosa como la tecnología perfecta, 100% segura. No existe tal cosa como "seguridad perfecta". Si alguien te está vendiendo eso, te está mintiendo (probablemente para hacerte comprar un producto). El primer paso es comprender que la seguridad está compuesta de varios elementos, y que la tecnología es apenas un aspecto de ésta. Tener buenos hábitos, una comprensión amplia del riesgo y un poco de sentido común es tan importante, o incluso más, que tener buen hardware y buen software.
El aspecto más importante de la seguridad digital es comprender cómo funciona el riesgo, y entender estas diez reglas es una buena parte de eso. Léelas de nuevo. Envíaselas a tus amigos y a tu familia: es hora de protegernos, y todos podemos empezar por algún lado.

Fuente: Las diez leyes inmutables de la seguridad digital

Comentarios

Publicar un comentario

Entradas populares de este blog

Dabbleboard, una pizarra para hacer más productivas las reuniones

Imagen
Gracias a la red, cada vez es más habitual desarrollar proyectos y trabajar con equipos de trabajo deslocalizados , es decir, situados en distintas ubicaciones geográficas distintas (empresas con varias sedes, empleados que desempeñan sus funciones en teletrabajo , freelances …). En este tipo de entornos de trabajo es fundamental una buena coordinación y el establecimiento de mecanismos de comunicación ágiles que permitan hacer fluir la información o concentrar toda la información que se genera dentro de un repositorio común. Herramientas como Skype o, incluso, los hangouts de Google+ pueden ayudarnos a mantener reuniones virtuales y, por tanto, a “acortar distancias” pero fruto de una reunión es posible que surjan múltiples ideas que nos interesen plasmar en algún tipo de mapa conceptual para que el brainstorming no se pierda y pueda desarrollarse dentro del proyecto; esta tarea podemos hacerla también de manera colaborativa recurriendo, por ejemplo, a Dabbleboard Dabbleb
Leer más

Community Managers: Una fórmula sencilla de medir el ROI para Pymes

Imagen
Ya lo sabéis, lo que no podemos medir, no podemos mejorarlo . Lo importante de las métricas no es tan sólo saber qué estamos haciendo mal o  bien, sino el análisis que podemos obtener de los números, la interpretación correcta de esas cifras pueden ser fundamentales para mejorar nuestra estrategia de Social Media Marketing . Sin embargo, la mayoría de las pymes e incluso grandes empresas parecen en muchas ocasiones desbordadas por cifras que pueden no ser las más certeras para conocer la eficacia de su presencia en redes y medios sociales, por ello, vamos a empezar por el principio. estrategia y táctica : aunque para la mayoría de los negocios puedan parecer dos términos sinónimos, nada más lejos de la realidad, y sin embargo es un error en el que habitualmente caen managers y directivos. Una estrategia es un plan diseñado para lograr un objetivo específico y concreto, por ejemplo, si queremos conseguir nuevos clientes a través de internet, lo podemos hacer a través de Facebook
Leer más

3 plataformas para construir elegantes sitios web sin programar

Imagen
Cada vez es más común ver cómo alguien que no tiene grandes conocimientos de programación consigue crear un sitio web realmente rápido, bonito, moderno y elegante, y eso es algo que puede conseguirse con varias plataformas existentes en la actualidad. En esta breve lista os mostramos tres opciones que vale la pena tener presentes para todos aquéllos que quieran comenzar a trabajar creando sitios web: – Slides : Se trata de una solución no gratuita que tiene bastante fama en el mercado. Han lanzado ahora la versión 3.0, mucho más intuitiva y flexible. Las ventajas de usar Slides es que tiene componentes individuales que pueden configurarse de muchas formas diferentes para crear una infinidad de combinaciones. Podemos elegir varios tipos de menús, listas, títulos, botones, formularios, tablas de precios, enlaces, galerías de fotos… Solo tenemos que ir navegando por las secciones que queremos incluir en cada página, seleccionar las opciones deseadas y adaptar el diseño
Leer más