Buenas prácticas de seguridad

descargaPDF     Animacion

La seguridad en tú equipo de cómputo puede ser mejorada siguiendo algunos consejos básicos que te ayudarán a prevenir problemas que pongan en riesgo tu información importante. En la actualidad no es suficiente que tengas instalado en tú equipo software de seguridad (como por ejemplo software antivirus, firewall personal, etc.), sino también, se deben seguir una serie de lineamientos que ayudarán a disminuir la probabilidad de que tú computadora sufra daños por parte de algún tipo de código malicioso o intruso.

No abras archivos de extraña procedencia

Una gran diversidad de virus en el Internet se propaga a través del correo electrónico, adjuntando a estos un archivo infectado con lo cual se puedan seguir propagando.

Es recomendable no abrir los archivos que presenten una o más de las siguientes características:

  • Archivos con doble extensión, por ejemplo, archivo.doc.src.
  • Archivos con extensiones .exe, .src, .vbs, .pif, por mencionar algunos.
  • Archivos no solicitados, por ejemplo, el recibir un archivo de alguien desconocido que invita a abrir el archivo porque es información solicitada, o es el último video de moda, o es una foto de un artista famoso, entre otras.
  • No abrir archivos comprimidos con contraseña, la cual viene en el texto del mensaje. Se está volviendo cotidiana esta técnica con la cual las firmas antivirus son evadidas.
  • Archivos de correo electrónicos sospechosos. Es común que los virus después de contaminar a los equipos, utilicen las libretas de direcciones del equipo infectado para seguir propagándose y al recibir un correo electrónico de un contacto de confianza lo abrimos. Por lo tanto, se recomienda verificar si este correo es "normal", es decir, preguntarnos si el usuario que mando el correo nos iba a mandar información, nos escribe continuamente, es de las personas que nos manda correo para divertirnos, etc. Esto puede evitar que nos contaminemos con un virus que es enviado por alguien de confianza cuyo equipo se infectó con un código malicioso.
  • No se deben abrir correos con ligas a supuestas tarjetas virtuales o videos animados, debido a que esto podría ser una forma de introducir un virus al equipo comprometiendo su seguridad.

Revisa cualquier archivo en busca de virus

Los virus se propagan en una gran diversidad de formatos como lo son, documentos de texto (.doc, .exe, .ppt.), imágenes (.gif, .jpg), archivos comprimidos (zip, rar), aplicaciones (.exe, .src, .vbs, .pif ), entre otras.

Por lo tanto es recomendable que antes de abrir un archivo proveniente de cualquier medio (correo electrónico, disco flexible, memoria usb, cd-rom), se analice con un antivirus, el cual debe estar actualizado con las definiciones más recientes de virus.

Si no se cuenta con antivirus instalado en tu equipo, existen versiones de antivirus que realizan un análisis en línea, con los cuales puedes revisar el equipo o determinadas partes del equipo.

Para mayor información puedes consultar: Software Antivirus

Establece una contraseña compleja en tu equipo

La mayoría de las veces no basta con tener un firewall, un antivirus y un antispyware, debido a que los intrusos cuentan también con técnicas para atacar a tu equipo con solo conocer el nombre de usuario y la contraseña del mismo.

Hoy en día es muy común que los equipos tengan contraseñas débiles, lo que representa un riesgo de seguridad alto. Esta mala configuración de contraseñas por lo general tiene los siguiente defectos:

  1. Contraseñas en blanco, es decir, no utilizar una contraseña para entrar al equipo.
  2. Usar el nombre o apellido del usuario , usar el nombre de alguna persona afectiva, el mismo nombre de usuario del equipo, fecha de nacimiento, etc. En pocas palabras utilizar algo que es fácil de identificar y descifrar.
  3. 1.Usar una palabra que aparezca en un diccionario, como por ejemplo, puma, gato, casa, mama, papa, entre otras.

Es recomendable utilizar una contraseña fuerte para aumentar la seguridad de nuestros equipos. Una contraseña fuerte debe cumplir con las siguientes características:

  • Debe tener una longitud igual o mayor a 8 caracteres.
  • Debe contener letras mayúsculas.
  • Debe contener letras minúsculas.
  • Debe contener números.
  • Debe contener símbolos, con ello nos referimos por ejemplo a:. ! @ # $ % ^ & * ( ) _ + | ~ - = \ ` { } [ ] : " ; ' ? , . /.

Daremos un ejemplo:

Comencemos con algo simple, seleccionando una o dos palabras juntas: "soyuniversitario".

Ya cumplimos con la primera característica de que la contraseña debe de ser igual o mayor a 8 carácteres, ahora vamos con la segunda para esto transformamos las primeras letra de las palabras en mayúsculas "SoyUniversitario". Claramente notamos que cumplimos con la segunda y tercera característica.

Vamos por la cuarta para lo cual cambiamos una letra "l" (ele) por un número "1" o "7", una letra "o" la reemplazamos por un "0" (cero), una "e" por un "3" una "s" por un "5". Con solo un poco de imaginación nuestra frase queda de la siguiente forma: "S0yUn1v3rs1tario".

Ahora por último solo nos falta agregar símbolos para lo cual se puede cambiar una "s" por "$", una "y" por "&" o una "a" por una "@" y la frase terminaría de esta manera: "$0yUn1v3rs1t@rio" que ya es una contraseña fuerte.

Otra técnica es el uso de la passphrase. Para esta técnica se utilizan frases comunes o cosas personales fáciles de recordar. Como por ejemplo: "El Congreso de Seguridad se ha celebrado 11 veces", algo largo pero más fácil de recordar que 32x!Ewzmsc. Otro ejemplo sería "La comida es a las 14 horas".

Si a todo esto le combinamos el cambiar letras por números o símbolos como lo habíamos mencionado anteriormente nos quedaría una contraseña aun más fuerte y difícil de romper como es : "L@ c0mida 3s a las 14 hor4s".

Finalmente se recomienda que las contraseñas sean cambiadas después de un determinado tiempo, además de utilizar contraseñas diferentes para cada servicio que utilices.

No reveles tu contraseña a ninguna persona extraña

Debes tomar en cuenta que una contraseña fuerte deja de ser fuerte cuando alguien más la conoce. Es muy importante que la contraseña sea confidencial para lo cual es necesario que no se comparta con ninguna otra persona, no se escriba en un post-it, una libreta, debajo del teclado o en algún otro sitio.

Lo anterior se debe a que es común que exista gente mal intencionada que al tener una contraseña en su poder, realice acciones no éticas en los equipos. Estas acciones pueden ser el borrar, modificar o copiar información, instalar programas que afecten la seguridad de nuestra información o que capturen contraseñas de otras cuentas. En el peor de los casos, un usuario podría utilizar la contraseña para realizar actividades maliciosas contra otros equipos.

Sé cuidadoso de los correos tipo Hoax

El correo tipo Hoax es un correo electrónico con información falsa, el cual se distribuye mediante una cadena. Las cadenas son correos reenviados por enésima vez por los usuarios.

La característica principal de estos correos es la información falsa anunciada sobre empresas, virus, gente que va a morir, desastres naturales, regalos artículos, promociones sobre convertirte en millonario, supersticiones en las cuales si rompes la cadenas morirás o te pasara algo malo, entre otros. En todos los casos el correo solicita que sea reenviado a todos los contactos para que se les informe sobre la información que promueven. Por lo tanto se recomienda eliminar el correo en vez de reenviarlo ya que además generan tráfico en los servidores de correo.

Utiliza una cuenta limitada en el sistema

Si en tu sesión de trabajo no necesitas instalar programas ni modificar seriamente la configuración de tu equipo, puedes crear una cuenta de privilegios limitados, lo cual evitará que programas no deseados como spyware, troyanos o algún otro código malicioso, tengan permisos para modificar el equipo. Además, con esto te aseguras de no alterar la configuración del equipo de manera accidental.

En Windows esto se puede hacer a través de la sección Cuentas de Usuario dentro del Panel de Control. En la opción de Crear una Cuenta Nueva, después de proporcionar el nombre de la cuenta se puede definir el tipo y solicitar la cuenta limitada. No olvides establecer una contraseña robusta y diferente a la de tu cuenta de mayores privilegios (la cuenta de administrador).

Revisión histórica

  • Liberación original: 2 de agosto de 2005
  • Última revisión: octubre de 2009

El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:

  • Juan López Morales
  • Oscar Andrés Zaragoza García
  • Jesús Ramón Jiménez Rojas
  • Rocío del Pilar Soto Astorga

Para mayor información acerca de éste documento de seguridad contactar a:

UNAM CERT Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo DGSCA - UNAM
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43

Animación:

[ Más videos ] [ Volver a Eduteca ][ Volver al menu ]

Definiciones

Defensa

Amenazas

Históricos

Comenta

Envíanos tus dudas o comentarios sobre terminología de seguridad informática

Nombre

e-mail

Comentarios

También puedes cambiar tu estado de suscripción al llenar de nuevo esta forma y seleccionando si quieres recibir el Boletín

Tu registro se identifica por tu correo electrónico

Universidad Nacional Autonoma de México 100 años UNAM EQA ISO 27001 FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT