¿Eres consciente de los ciberriesgos que corres diariamente usando tus dispositivos portátiles? Si la respuesta es no, te conviene seguir los consejos que te vamos a dar en esta campaña de CSIRT-CV: “Diez recomendaciones de ciberseguridad para equipos domésticos”.
Durante la última década hemos observado un descenso de los precios de los equipos y componentes informáticos, lo que ha producido un aumento muy significativo de las ventas de equipos portátiles y después de los dos últimos años, con la pandemia por la COVID-19 el uso de equipos domésticos se ha generalizado aún más entre la población, e incluso en sectores que no estaban familiarizados con ellos.
Esta campaña tiene como objetivo abrir los ojos a todos aquellos usuarios que consultan su correo electrónico en una cafetería mientras toman un café, ven películas mientras esperan en el aeropuerto, se conectan a una red wifi gratuita o comparten su equipo con todos los miembros de su familia. Queremos que todos ellos sean conscientes de los peligros que corren y tomen medidas para proteger sus equipos y la información valiosa que tienen en ellos:
1. Promover la seguridad y controlar nuestra privacidad es importante. A diario utilizamos muchas aplicaciones y redes sociales que tienen acceso a gran cantidad de información (imágenes, vídeos, datos bancarios…). Entre sus principales peligros se sitúan el robo de identidad, el spam, el acoso, el phishing o los malware. Nadie está exento de sufrir dichos peligros.
Por este motivo, se recomienda disponer siempre de una copia de seguridad que nos permita proteger esa información. Los backups son necesarios para garantizar la recuperación de los datos en caso de ciberincidentes, errores humanos, técnicos o naturales.
Las copias de seguridad pueden ser almacenadas en soportes como los discos duros externos, las memorias USB, e incluso, la nube. En el caso de las redes sociales, estas plataformas suelen contar con herramientas y opciones de backup.
Para una adecuada gestión de copias de seguridad es necesario tener en cuenta factores como la ubicación, el período de conservación, el cifrado de datos y/o la gestión y destrucción de soportes. Algunos consejos que nos ayudarán a proteger nuestra información son:
• Contar con un plan de copias de seguridad diario.
• Realizar backups de forma automática.
• Comprobar periódicamente que se están realizando.
• Duplicar periódicamente las copias diarias a un soporte externo (USB, nube…).
2. La protección de la información y los dispositivos es esencial para prosperar en un mundo tan conectado como el actual. Actualizar el software de los dispositivos, entender cómo navegar de forma segura a través de las redes WIFI públicas, y entrar en webs con el protocolo HTTPS son buenas prácticas destinadas a mantener nuestra información segura.
No obstante, parece básico, pero imprescindible que todos los dispositivos cuenten con antivirus de calidad y fiables para detectar malware u otros elementos maliciosos, mitigando posibles amenazas y siendo capaces de poner el dispositivo en cuarentena para evitar males mayores. Mantener el software antivirus actualizado se convierte en una práctica determinante para seguir estando protegidos.
Los programas antivirus tienen como propósito evitar que nuestro sistema se infecte e identificar cambios que pudieran ser realizados por algún malware (programas maliciosos).
Por su parte, existen otras herramientas de seguridad como el firewall. Esta herramienta se dedica a escanear los paquetes de red y los bloquea o no según las reglas previamente definidas. Gracias a los firewalls se puede inspeccionar el tráfico web, identificar usuarios, y bloquear accesos no autorizados. Existen firewalls de todo tipo, de filtrado de paquetes, de proxy, software, hardware o nube.
3. Para proteger nuestro ordenador (u otro dispositivo) del uso no autorizado de otras personas es fundamental establecer contraseñas en el sistema operativo (o aplicar un cifrado a un disco duro), evitando el acceso y protegiendo la información contenida.
El bloqueo de acceso al BIOS con contraseña es el primer control de seguridad a implementar en un equipo portátil. La contraseña BIOS es una medida que se debe introducir tanto para prevenir cambios en la configuración del BIOS como en el arranque del sistema.
Es imprescindible que esta contraseña sea robusta. Aquí tienes algunas recomendaciones sobre cómo crearlas y protegerlas:
https://concienciat.gva.es/sabias_que/contrasenas-seguras/
Sin la contraseña BIOS, un desconocido no podrá acceder al menú de configuración de inicio del equipo, ni iniciar el sistema operativo.
Si todavía no la tienes instalada, hazlo cuanto antes.
En nuestro minicurso sobre seguridad en equipos portátiles te explicamos detalladamente cómo hacerlo:
https://concienciat.gva.es/cursos/seguridad-en-dispositivos-portatiles/
4. En el consejo anterior os explicábamos la necesidad de tener una contraseña BIOS como primera medida de seguridad para acceder al equipo. Ahora bien, ¿qué otros controles de acceso podemos establecer cuando se tiene que iniciar el sistema operativo?
Hay varias posibilidades, ya que se pueden implementar controles de acceso más sofisticados que las tradicionales contraseñas. Estos son algunos de ellos:
• Memorias USB utilizadas como contraseña.
• Tarjetas criptográficas.
• Lectores de huella dactilar.
• Sistemas de proximidad.
Si quieres implantar estas medidas de ciberprotección en tu equipo, te explicamos cómo hacerlo aquí: https://concienciat.gva.es/cursos/seguridad-en-dispositivos-portatiles/
5. Hay que tener en cuenta que con las contraseñas de acceso evitamos que se tenga acceso al BIOS y al arranque del sistema, pero NO que se extraiga el disco duro, se coloque en otro equipo y se acceda a la información.
Para garantizar que la información que tenemos en nuestro dispositivo portátil no pueda robarla ni leerla nadie que quiera utilizarla con fines maliciosos, podemos recurrir al cifrado.
El cifrado es la base principal de la seguridad de datos, y dependiendo de la naturaleza de la información contenida podemos optar por dos opciones:
– Cifrar todo el sistema.
– Cifrar únicamente determinados archivos y datos sensibles.
La mayoría de sistemas operativos ofrecen la opción de cifrar las carpetas personales de los usuarios de forma nativa.
Si quieres saber más sobre este tema, haz nuestro minicurso gratuito de 1 hora sobre seguridad en equipos portátiles:
https://concienciat.gva.es/cursos/seguridad-en-dispositivos-portatiles/
6. ¿Qué herramientas nos pueden ayudar a recuperar nuestros dispositivos portátiles en caso de robo?
Hoy en día existen varios programas que se ayudan de cámaras web, GPS y redes inalámbricas integradas en los portátiles, de forma que cuando el equipo tiene conectividad a Internet puede enviar a una dirección de correo electrónico capturas de pantalla, fotos tomadas desde la webcam o incluso las coordenadas del GPS marcando la posición en la que se encuentra.
Una buena utilidad es Prey: http://preyproject.com/
Es libre y multiplataforma, disponible para Windows, Mac Os y Linux.
Además, algunos dispositivos móviles disponen de herramientas nativas de borrado remoto y/o localización del terminal. Para conocerlas puedes consultar nuestras guías de uso seguro:
- Android: https://concienciat.gva.es/tutoriales/guia-de-uso-seguro-de-android/
- iOS: https://concienciat.gva.es/tutoriales/guia-de-uso-seguro-de-ios/
7. Muchas veces usamos nuestros equipos portátiles fuera del puesto de trabajo o del hogar, y es muy posible que nos conectemos a una WiFi pública. Conectarse a las redes WIFI públicas y gratuitas es tentador en determinadas circunstancias (aeropuertos, cafeterías, hoteles…), pero los riesgos a los que nos exponemos son altos. Al usarlas exponemos nuestros datos, nuestro tráfico y nuestra identidad de forma casi total.
En caso de que nuestro equipo sea vulnerable, ya sea mediante Bluetooth o Wireless, estaremos expuestos a ser víctimas de un ciberataque.
Desde CSIRT-CV siempre recomendamos deshabilitar las conexiones inalámbricas en caso de no estar utilizándolas, de esta forma no solo estaremos protegiendo nuestro equipo, sino que también reduciremos el consumo de las baterías.
De igual modo, otras buenas recomendaciones son:
- No usar aplicaciones con información sensible si hay versiones web de esos servicios. Por ejemplo, acceder con un navegador a esos servicios –web de Facebook- para garantizar que el protocolo utilizado en esa página sea HTTPS antes de introducir las credenciales.
- Cerrar la sesión de los servicios utilizados para que no quede ningún “resto” de nuestra conexión a esos sitios web.
- Usar VPNs para la protección de las comunicaciones a través de la conexión virtual punto a punto.
8. Muchas veces los equipos que tenemos en casa son utilizados por todo el entorno familiar. Para estos casos, recomendamos siempre crear cuentas de usuario para cada uno de los miembros de la familia «sin permisos de administrador» y dejar al usuario administrador solo para tareas de configuración e instalación de aplicaciones.
De esta forma, cada usuario podrá tener su propio escritorio, con una configuración y preferencias personalizadas y además, se reduce el riesgo de pérdida de información debido a fallos y errores no intencionados. Como existe un entorno aislado para cada usuario, evitaremos que, por ejemplo, alguien borre accidentalmente nuestros documentos de trabajo.
Pero no solo eso, también estaremos más protegidos frente a virus, troyanos, etc. ya que si nuestro equipo se infecta mientras estamos usando una cuenta de usuario estándar, el impacto será siempre mucho menor.
Además de todas estas ventajas, existen opciones de configuración en las cuentas de usuario cuyo objetivo es incrementar la seguridad de los menores. Para ello es muy útil Microsoft Family Safety. Aquí tienes más información: https://www.microsoft.com/es-es/microsoft-365/family-safety?rtc=1
9. La seguridad física de nuestros dispositivos es vital y tiene por objeto mantener nuestra información a salvo. En este sentido, algunas medidas para proteger tu ordenador pueden parecer muy obvias y quizá no nos planteamos su implantación justamente por eso.
Las medidas de protección del hardware están destinadas a mantener la integridad de los dispositivos, periféricos (discos duros, USB…), y el conjunto de elementos físicos o materiales que componen nuestros dispositivos.
Algunas de las medidas que nos van a ayudar a proteger nuestros dispositivos son:
- No mostrar excesivamente los equipos en lugares públicos, salvo que sea necesario.
- Evitar, preferentemente, los maletines de portátil. Lo mejor es utilizar mochilas o maletines que no induzcan a pensar que contienen equipos portátiles.
- Dejar un número de contacto adherido al portátil. De esta forma, si el equipo es extraviado y encontrado, será posible contactar con el dueño y devolvérselo.
- Bloquear el dispositivo una vez hayamos dejado de utilizarlo, o si vamos a ausentarnos momentáneamente.
- No perder de vista nuestros dispositivos en ningún momento. Especialmente si nos encontramos en sitios públicos.
- Guardar nuestros dispositivos o aquellos dispositivos de almacenamiento con información sensible, en lugares seguros, sin riesgo de golpes, caídas o temperaturas extremas.
- Configurar nuestro equipo para evitar que se auto ejecuten dispositivos externos como USB.
10. Es posible que muchos usuarios de equipos portátiles que estén leyendo este post, piensen que la información que contienen sus dispositivos domésticos no es crítica y que no es necesario tomar medidas de seguridad para salvaguardar los datos que contienen en ellos, pero muchas veces no tienen en cuenta que en caso de robo perderían información tan valiosa como esta:
- Fotografías y vídeos personales que podrían llegar a ser publicados en Internet, e incluso ser utilizados para extorsionar y chantajear a la víctima del robo bajo la amenaza de que se hagan públicas.
- Ficheros con contraseñas: existen usuarios que almacenan sus contraseñas en ficheros descifrados u hojas de cálculo.
- ”Recordar contraseñas” en navegadores: Muchos usuarios utilizan la opción “recordar contraseña” que tienen los navegadores para no tener que escribir las contraseñas de acceso en los servicios online que más utilizan.
- Correo electrónico almacenado: si el correo no está cifrado, queda expuesto a ser consultado por usuarios maliciosos.
- Información bancaria que podría ser utilizada para realizar compras por Internet, contratar servicios a cuenta del usuario y realizar movimientos bancarios ilícitos.
Si ahora lo ves más claro, te recomendamos adoptar cuanto antes las medidas lógicas y físicas, que te hemos propuesto en esta campaña para proteger tus equipos domésticos.
Termina así la campaña de CSIRT-CV: “Diez recomendaciones de ciberseguridad para equipos domésticos”, en la que os hemos querido mostrar todas las medidas de protección lógicas y físicas que existen para vuestros equipos portátiles y que muchas veces no se ponen en práctica por desconocimiento o simplemente, por no ser conscientes de la información tan valiosa que contenemos en ellos.
Esperamos que esta campaña sea de utilidad a todos aquellos usuarios que hasta ahora no eran conscientes de los peligros que corrían y tomen las medidas necesarias para proteger su información y sus equipos.
Tomar este tipo de medidas nunca está de más, y en caso de robo o pérdida de nuestro equipo doméstico o de la información que en él tenemos, nos alegraremos mucho de haberlas tenido en cuenta con anterioridad.