III.

Tu plan de acción de ciberseguridad

Para conocer tu grado de seguridad y saber qué tipo de métodos debes usar para protegerte, puedes crear un plan de seguridad. En él, deberás valorar qué tipo de información tienes en formato electrónico y cómo quieres protegerla.

  • Define el activo que deseas proteger.

  • Evalúa el riesgo para determinar el nivel de protección necesario (confidencialidad, integridad y disponibilidad).

  • Piensa en la defensa en profundidad y añade medidas de protección.

Una buena manera de reflexionar sobre la seguridad es utilizar la tríada CID que aprendimos en el primer capítulo de este curso. La tríada CID está formada por tres componentes de una misma entidad:

  • Confidencialidad

  • Integridad

  • Disponibilidad

Ejemplo

Para que te hagas una idea de cómo puedes ser más consciente de la seguridad, veamos un ejemplo:

Bea utiliza Google Mail como su principal servicio de correo electrónico. Con su dirección @gmail.com, se ha registrado en la mayoría de los servicios que usa.

En primer lugar, definamos en qué consiste el activo.

  • Contiene todos sus correos electrónicos personales.

  • Se puede utilizar para robos o suplantaciones de identidad en Internet.

  • Contiene información personal de todo tipo de servicios, direcciones, números de teléfono, posiblemente números de identificación e incluso información de tarjetas de crédito.

  • Se puede usar como correo electrónico de recuperación para la mayoría de las cuentas que tiene.

Como ves, la dirección de correo electrónico puede ser mucho más que una simple dirección. ¿Cómo definirías el riesgo de esta cuenta? ¿Qué tipo de medidas de protección debes aplicarle?

Seguramente, habrás determinado que el riesgo que conlleva perder esta cuenta es alto. Ahora, pensemos en lo que podemos hacer para protegerla y evitar que se use de manera indebida.

  • La contraseña que utiliza debe tener mucha entropía, de modo que debe ser larga.

  • La contraseña no debe guardarse en ningún lugar en formato de texto en claro.

  • Las cuentas de Google permiten usar la autenticación multifactor, que añade una capa adicional de seguridad.

En el caso de Bea, hay varias formas de enfocar la seguridad. Pero ¿cuál es la mejor manera de equilibrarla para no sacrificar demasiado la usabilidad? ¿Cómo accede al correo electrónico?

Una forma razonable de proteger la cuenta es utilizar una contraseña larga, de al menos 15 caracteres. Se puede memorizar o almacenar en un gestor de contraseñas o en un papel guardado en una caja fuerte. Se puede habilitar la autenticación multifactor y, con los servicios de Google, usar la aplicación que ofrece Google como token adicional. Es un método más seguro que usar SMS y no requiere nada más que tener instalada la aplicación de Google que permite autenticarse.

Sin embargo, si Bea utiliza la aplicación de correo electrónico que venía ya instalada en su móvil, sus mensajes estarán tan protegidos como lo esté el acceso a ese teléfono. Es decir, si le roban el móvil y el atacante conoce su código PIN, podrá utilizar su cuenta de muchas maneras. Para tratar de evitar el uso indebido de su cuenta de correo, Bea puede acceder a ella solamente a través de un navegador y, después de utilizarla, cerrar siempre la sesión. Esto afectaría muchísimo a la usabilidad. Por eso, sería mejor que no le dijera a nadie cuál es su código PIN. Cada persona debe decidir cómo enfrentarse a esta cuestión y encontrar un equilibrio entre usabilidad y seguridad.

Si Bea utiliza su teléfono como token multifactor, debería habilitar las copias de seguridad de ese dispositivo, para poder recuperar rápidamente el acceso si el móvil se pierde o se estropea. Es fundamental contar con otros medios para acceder a la cuenta, además del teléfono. La mayoría de los sitios web que ofrecen autenticación multifactor pueden facilitarte códigos alternativos por si pierdes tu token. Estos tokens de un solo uso se pueden utilizar para recuperar la cuenta si ya no puedes acceder al dispositivo o al software que proporciona los tokens. Las copias de seguridad protegen el componente de disponibilidad de la tríada CID. Si tu disco duro se estropea y no tienes una copia de seguridad actualizada, no habrá ningún tipo de disponibilidad de los datos.

Note

Google ofrece un programa llamado Protección Avanzada, que solo permite iniciar sesión en tu cuenta de Google con tokens de seguridad de hardware o utilizando la aplicación Google Smart Lock.

Pero aún no hemos terminado: debemos pensar también en el sistema que usa Bea para acceder a la cuenta. Debe instalar todas las actualizaciones de software para que no haya vulnerabilidades conocidas en el sistema operativo ni en los programas que utiliza. También debe asegurarse de que su software antivirus tenga las definiciones de virus actualizadas.

Además, Bea debe acostumbrarse a identificar qué tipo de red está usando para acceder a su cuenta de correo electrónico. Si se conecta a una red inalámbrica pública, puede proteger el tráfico de red con un software de VPN.

Note

Nick Rosener ha escrito una entrada muy útil en su blog sobre cómo gestionar la ciberseguridad personal.

Si no utilizas los servicios de Google, no te preocupes. La mayoría de los servicios ofrecen opciones de seguridad similares. Del mismo modo, existen alternativas a la mayor parte de los programas de software que hemos mencionado en este curso.

Al final, eres tú quien decide cuánta seguridad quiere, pero debe ser una decisión fundamentada y no la primera opción que se te ocurra.

Recapitulando, la cuenta de correo electrónico de Bea es un activo muy importante, ya que, si perdiera el acceso a ella o si un atacante accediera a su contenido, eso supondría un gran riesgo. Debería aplicar un método de defensa en profundidad para superponer diversas medidas de seguridad utilizando los tres componentes de la tríada CID:

  • Confidencialidad: contraseñas seguras, cifrado que proteja los datos mientras se transmiten y autenticación multifactor.

  • Integridad: solo Bea debe tener acceso a la cuenta y no debe compartir con nadie los datos para iniciar sesión.

  • Disponibilidad: hacer una copia de seguridad de los datos que permiten acceder a la cuenta.

Part summary

Al finalizar el capítulo 4, deberías ser capaz de:

  • Entender el funcionamiento básico de las redes.

  • Comprender la importancia de que las conexiones sean seguras y por qué el cifrado es una medida importante para lograrlo.

  • Entender cómo interactúan los dispositivos y el hardware con los problemas de seguridad de la red.

  • Explicar los conceptos básicos de cómo proteger tus dispositivos y tu hardware.

You reached the end of Chapter 4

Correct answers

0%

Exercises completed

0/0

Next Chapter
5. Las tecnologías emergentes y el futuro